這個標題下的好似我是好戰份子,fighting,fighting ...
但資安人不就是如此的生活嗎 ! 而我們資安業務也時時與客戶做意見交換(軟性針鋒相對)。
今天分享的是在一個不經意的優規項目提供事件，造成客戶內部的騷動。
優規品名: 外部攻擊面管理 ( EASM : External Attack Surface Management)
這二年間，我們大力推行這項檢測，但客戶的回應都是不想做、不要做、看不懂、主管没要求。
就在這淡然的日子中，突然有一客戶為了這檢測大打出手了。
出現機率大約1/50。
騷動事件

1. 資安科一線主管與資安長大吵起來，資安小員看不下去只好向我們資安顧問求救。外來和尚會唸經。
2. 資安顧問做為第三方，期望可以緩解雙方的憂慮 : 資安人對於風險的恐懼、資訊人對於少做少錯的信仰。
3. 於是顧問寫了一篇說明文章:
   • 風險不是缺失 ; 缺失是有明確違反規範或法規的證據，而風險則是尚未發生識別的風險情境下的預期可能。
     風險必需考量該項風險對機關的衝擊性與資源的提供，亦可以「補救措施」來降低風險發生時的損害。
   • 風險揭露不可怕 ; 視各項資源與可行性，由管理人員提出對應的風險處理方式（如降低風險、接受風險、轉 移風險或避免風險），以期全方位的提出風險處理規劃，降低資安風險。
     外部攻擊面管理(EASM)是啥咪?
     Gartner將EASM定義為“為發現企業面向外部的資產和系統可能存在的漏洞而部署的流程、技術和專業服務"
     EASM檢測項目
     大致分為 5 大類別：網路服務、網站、電子郵件、帳號密碼和雲端安全。
     如何檢測
     提供URL即可，大約15分鍾即可在外爬出與這URL相關的資料 , 完全不影響網站，只對外收集。
     風險案例
     1.電子郵件 : 沒有 SPF 紀錄：請為您的網域設定 SPF 紀錄 ;
     2.電子郵件 : 未找到 DMARC 紀錄。DMARC 紀錄是一筆 DNS 文字（TXT）記錄，幫助讓發信端和收信端雙方可 確認對方身分，可用於防止詐騙和網路釣魚。
     3.帳號密碼 : 檢測到您的帳密在外洩事件中被公布。建議可參考政府零信任政策，導入多因子驗證機制，避免單 一密碼外洩風險。
     風險等級
     報告提供風險矩陣圖，以符合即時區域的趨勢，可以根據各自風險承受程度，設定不同的風險處理優先順序。
     國際合規標準
     分析您的資安態勢是否符合國際合規標準，包括 ISO27001 （資訊安全管理系統）、GDPR （歐盟一般資料保護 條例）、PCI DSS （支付卡產業資料安全標準） 和 NIST CSF （美國網路安全框架。
     我的想法
     買不起暗網情資,先買EASM,只是深度及廣度比較小,但便宜很多。
     如果可以逐一修復也是一大豐功偉業，總比做了高檔的檢測但卻望而卻步的好。