零信任的興起是源于現(xiàn)代企業(yè)對傳統(tǒng)IT架構(gòu)進(jìn)行安全升級的迫切需求，但零信任建設(shè)的前提是，首先需要知道要保護(hù)什么。隨著企業(yè)數(shù)字化發(fā)展的不斷深入，大量新設(shè)備和應(yīng)用不斷出現(xiàn)，安全團(tuán)隊(duì)很難對網(wǎng)絡(luò)資產(chǎn)進(jìn)行及時(shí)發(fā)現(xiàn)與全面管理。

企業(yè)在部署建設(shè)零信任策略之前，應(yīng)該徹底摸清企業(yè)的關(guān)鍵資產(chǎn)，對基礎(chǔ)架構(gòu)、應(yīng)用程序、服務(wù)和供應(yīng)商(包括任何子公司的資產(chǎn))等進(jìn)行細(xì)致的分類。如果大量未知資產(chǎn)存在于企業(yè)網(wǎng)絡(luò)時(shí)，將給零信任建設(shè)與應(yīng)用帶來較大的風(fēng)險(xiǎn)隱患。而通過外部攻擊面管理技術(shù)(External Attack Surface Management，簡稱“EASM”)，則可以幫助企業(yè)有效應(yīng)對這一挑戰(zhàn)。

EASM的主要能力與應(yīng)用場景

Gartner在2021年發(fā)布的《新興技術(shù)：外部攻擊面管理關(guān)鍵洞察》報(bào)告中認(rèn)為，EASM應(yīng)該是一種流程和技術(shù)的組合，用于發(fā)現(xiàn)可能存在漏洞的面向外部(互聯(lián)網(wǎng)暴露)的企業(yè)資產(chǎn)和系統(tǒng)。EASM的一個(gè)關(guān)鍵優(yōu)勢在于，以攻擊者的視角，幫助企業(yè)更好地發(fā)現(xiàn)面向外部的資產(chǎn)，如域、子域、IP、公共云服務(wù)配置、泄露的代碼、暴露的數(shù)據(jù)庫以及可被攻擊者利用的漏洞等。

圖1 由外而內(nèi)的攻擊面管理視角

EASM的主要能力包括：

• 監(jiān)測：持續(xù)掃描各種環(huán)境(如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施)和分布式生態(tài)系統(tǒng)(如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施)。
• 資產(chǎn)發(fā)現(xiàn)：發(fā)現(xiàn)和清點(diǎn)企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng)。
• 分析：評估和分析資產(chǎn)屬性，確定資產(chǎn)是否存在風(fēng)險(xiǎn)、脆弱性或異常行為。
• 優(yōu)先排序：對風(fēng)險(xiǎn)和漏洞進(jìn)行優(yōu)先排序，并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級分析。
• 修復(fù)：提供優(yōu)先緩解措施的實(shí)施計(jì)劃，以及修復(fù)緩解工作流程，并集成工單系統(tǒng)、事件響應(yīng)工具、SOAR等解決方案。

如果企業(yè)能夠進(jìn)行有效的外部攻擊面管理，將為后續(xù)的零信任建設(shè)提供很多有益的幫助。Gartner認(rèn)為，外部攻擊面管理的典型應(yīng)用場景包括：

• 資產(chǎn)的識別及清點(diǎn)：識別未知的(影子)數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書和云服務(wù))，并實(shí)時(shí)維護(hù)資產(chǎn)列表。
• 漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來進(jìn)行風(fēng)險(xiǎn)等級分析以確定優(yōu)先級。
• 云安全與治理：識別組織的各類跨云供應(yīng)商的公共資產(chǎn)，以改善云安全和治理，EASM可以提供全面的云資產(chǎn)清單，補(bǔ)充現(xiàn)有的云安全工具。
• 數(shù)據(jù)泄漏檢測：監(jiān)測數(shù)據(jù)泄漏情況，如憑證泄漏或敏感數(shù)據(jù)。
• 子公司風(fēng)險(xiǎn)評估：進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè)，以便更全面地了解和評估風(fēng)險(xiǎn)。
• 供應(yīng)鏈/第三方風(fēng)險(xiǎn)評估：評估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見性，以支持評估組織的暴露風(fēng)險(xiǎn)。
• 并購(M&A)風(fēng)險(xiǎn)評估：了解待并購公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。

實(shí)現(xiàn)更全面的零信任策略

通過外部攻擊面管理技術(shù)，企業(yè)可以更好地發(fā)現(xiàn)所擁有的IT資產(chǎn)。在此基礎(chǔ)上，還需要全天候、不間斷地跟蹤越來越龐大的數(shù)字化應(yīng)用與信息流動，確保其實(shí)時(shí)可見。企業(yè)中的未知資產(chǎn)是動態(tài)且不斷變化的，EASM需要能夠及時(shí)識別出企業(yè)當(dāng)前擁有的全部資產(chǎn)，幫助安全團(tuán)隊(duì)減少人為錯(cuò)誤和未加管理的部署或數(shù)據(jù)配置。

企業(yè)實(shí)施零信任策略必須考慮保護(hù)三大類別的資產(chǎn)：用戶、應(yīng)用程序和基礎(chǔ)架構(gòu)，而通過EASM技術(shù)都可以有效地發(fā)現(xiàn)并掌控。

對于用戶來說，企業(yè)有必要了解誰可以訪問哪些系統(tǒng)，以及通過何種方式訪問(比如通過公司筆記本電腦或私人電腦)。當(dāng)用戶改用遠(yuǎn)程或在家辦公后，網(wǎng)絡(luò)安全團(tuán)隊(duì)通過EASM可以將遠(yuǎn)程辦公員工數(shù)量與一天內(nèi)不重復(fù)的訪問請求數(shù)量相互對照，以識別潛在的風(fēng)險(xiǎn)區(qū)域，并保護(hù)系統(tǒng)遠(yuǎn)離惡意攻擊者。

對于應(yīng)用程序來說，零信任支持辦公室內(nèi)的安全通信，EASM有助于實(shí)時(shí)反映暴露的資產(chǎn)，并清晰地列出面向外部的應(yīng)用程序、用戶遠(yuǎn)程連接和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。安全團(tuán)隊(duì)可以將這些信息與內(nèi)部系統(tǒng)生成的信息相互對照，以確認(rèn)合法性，并識別對系統(tǒng)而言是異常的地理位置信息。

最后，零信任是針對每個(gè)已知來源部署的，而通過EASM則可以不斷梳理出暴露的外部端口和IT系統(tǒng)，以便網(wǎng)絡(luò)安全團(tuán)隊(duì)管理。企業(yè)可以通過EASM對基礎(chǔ)架構(gòu)(比如路由器、交換機(jī)、云、物聯(lián)網(wǎng)和供應(yīng)鏈系統(tǒng))進(jìn)行安全監(jiān)控。

正如零信任更新改造了“絕對信任”(implicit trust)方法，外部攻擊面管理也將是改變所有外部暴露資產(chǎn)的一般管理方法。零信任顛覆了去中心化系統(tǒng)中通信節(jié)點(diǎn)之間的絕對信任。然而，如果要遷移或撤銷節(jié)點(diǎn)，往往不會實(shí)施安全規(guī)程來確保外部攻擊面依然安全。隨著企業(yè)規(guī)模越來越龐大，這些廢棄的資產(chǎn)很容易變成高風(fēng)險(xiǎn)、易受攻擊的入口，攻擊者很容易趁虛而入。

EASM可以讓企業(yè)深入、及時(shí)地了解外部攻擊面的現(xiàn)狀，是實(shí)施完整零信任策略的前提和基礎(chǔ)。全面摸清外部攻擊面有助于為CISO簡化網(wǎng)絡(luò)安全規(guī)程，并減少未知資產(chǎn)的數(shù)量。大量流動的未知資產(chǎn)表明企業(yè)需要為撤銷或拆卸通信節(jié)點(diǎn)制定最佳實(shí)踐，以防止其受到攻擊。