了解企業(yè)資產(chǎn)存在的暴露面，掌握這些暴露面存在的潛在風(fēng)險(xiǎn)是開(kāi)展有效安全計(jì)劃的基礎(chǔ)。為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，Randori與ESG日前開(kāi)展了一項(xiàng)調(diào)查，對(duì)398位企業(yè)安全團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行了訪(fǎng)談和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報(bào)告》，報(bào)告數(shù)據(jù)顯示：

• 67%的受訪(fǎng)組織表示，他們的外部攻擊面在過(guò)去12個(gè)月中擴(kuò)大了。
• 69%的組織因未知、未受管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅。
• 組織平均需要80多小時(shí)來(lái)更新其攻擊面清單。
• 70%的組織使用至少10種解決方案來(lái)管理其安全衛(wèi)生狀態(tài)。
• 近3/4的組織仍然依靠電子表格來(lái)管理他們的攻擊面。
• 不到1/3的組織擁有正式的外部攻擊面管理解決方案。
• 外部攻擊面管理是2022年大型企業(yè)的第一投資重點(diǎn)。

研究發(fā)現(xiàn)，行業(yè)正在努力跟上數(shù)字環(huán)境的快速擴(kuò)張和不斷變化的步伐，但缺乏有效做到這一點(diǎn)所需的工具和流程。結(jié)果導(dǎo)致了真正暴露給攻擊者的風(fēng)險(xiǎn)與安全團(tuán)隊(duì)已知的風(fēng)險(xiǎn)之間的差距越來(lái)越大。研究人員認(rèn)為，以下三種力量正成為推動(dòng)攻擊面管理（ASM）解決方案需求不斷增長(zhǎng)的重要因素：

攻擊面繼續(xù)擴(kuò)大，但可見(jiàn)性仍然很差

報(bào)告調(diào)研發(fā)現(xiàn)，在過(guò)去一年中，隨著遠(yuǎn)程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)組織的外部攻擊面進(jìn)一步擴(kuò)大。

從表面上看，攻擊面擴(kuò)大并不奇怪，因?yàn)槭澜缫恢背鼮榛ヂ?lián)和分散的方向發(fā)展，連接到互聯(lián)網(wǎng)的資產(chǎn)數(shù)量自然會(huì)增加，攻擊面擴(kuò)大也是理所當(dāng)然的。但值得警惕的是，導(dǎo)致攻擊面擴(kuò)張的原因，除了云采用率和SaaS應(yīng)用程序及服務(wù)的增長(zhǎng)外，企業(yè)對(duì)第三方供應(yīng)商的日益依賴(lài)也是重要因素，企業(yè)組織對(duì)第三方供應(yīng)商處的資產(chǎn)可見(jiàn)性管理能力不足，這引入了新的風(fēng)險(xiǎn)和盲點(diǎn)。

值得慶幸的是，調(diào)查顯示絕大多數(shù)企業(yè)都認(rèn)為應(yīng)該提升對(duì)攻擊面的監(jiān)控能力，但這種意識(shí)形態(tài)并沒(méi)有發(fā)揮作用。40%的受訪(fǎng)企業(yè)仍然依賴(lài)于傳統(tǒng)的IT資產(chǎn)管理系統(tǒng)進(jìn)行攻擊面的檢測(cè)和發(fā)現(xiàn)；41%的企業(yè)通過(guò)廣泛的網(wǎng)絡(luò)威脅情報(bào)系統(tǒng)對(duì)新威脅進(jìn)行監(jiān)測(cè)。

雖然企業(yè)目前所采用的方案具有一定的價(jià)值，但傳統(tǒng)的資產(chǎn)管理系統(tǒng)僅涵蓋企業(yè)的IT和安全團(tuán)隊(duì)已知的資產(chǎn)，而網(wǎng)絡(luò)威脅情報(bào)解決方案也僅能監(jiān)測(cè)已知的威脅。這兩種工具都不具備主動(dòng)發(fā)現(xiàn)未知攻擊面或?qū)σ蛭幢黄髽I(yè)重視的攻擊面進(jìn)行管理的能力，而這些恰好是企業(yè)進(jìn)行安全管理的重要驅(qū)動(dòng)力。

相比之下，專(zhuān)用的ASM解決方案具備自動(dòng)監(jiān)控和持續(xù)發(fā)現(xiàn)功能，可提高對(duì)攻擊面的可見(jiàn)性。但調(diào)查顯示，目前只有34%的受訪(fǎng)企業(yè)在其安全堆棧中擁有該專(zhuān)用解決方案。這意味著半數(shù)以上的企業(yè)在攻擊面的可見(jiàn)性方面仍處于劣勢(shì)，由于未采用專(zhuān)用的ASM工具，這些企業(yè)組織面臨的攻擊威脅風(fēng)險(xiǎn)更大。

現(xiàn)有管理流程效率有待提高

2021年12月，Log4j漏洞被披露后，短短5小時(shí)內(nèi)，Randori公司就開(kāi)發(fā)出了一個(gè)有效的漏洞利用；48小時(shí)內(nèi)，GreyNoise Intelligence等公司便觀(guān)察到了針對(duì)該漏洞的廣泛利用嘗試。

這表明攻擊者的速度正變得越來(lái)越快，攻擊者采取行動(dòng)時(shí)，大多數(shù)的企業(yè)組織卻仍?huà)暝诹私庾陨硎欠癖┞兜碾A段。企業(yè)組織平均需要80多小時(shí)來(lái)編譯其攻擊面的更新清單，而攻擊者僅需48小時(shí)就能開(kāi)發(fā)出有效的漏洞利用。

當(dāng)被問(wèn)及“將采取什么行動(dòng)來(lái)改善攻擊面管理”時(shí)，31%的受訪(fǎng)企業(yè)表示將增加專(zhuān)用于發(fā)現(xiàn)和評(píng)估外部資產(chǎn)狀況的漏洞掃描頻率；29%的企業(yè)將根據(jù)關(guān)于資產(chǎn)可利用性的威脅情報(bào)，提高分析外部攻擊面中資產(chǎn)并為資產(chǎn)分配風(fēng)險(xiǎn)評(píng)分的能力；25%的企業(yè)表示將為安全和IT人員提供更多的攻擊面管理培訓(xùn)。

外部攻擊面管理成為重要的投資領(lǐng)域

調(diào)查顯示，73%的企業(yè)仍在使用電子表格管理企業(yè)攻擊面；34%的企業(yè)擁有專(zhuān)用的外部攻擊面管理（external attack surface management，EASM）解決方案；31%的企業(yè)將EASM作為2022年的重點(diǎn)投資領(lǐng)域，他們將圍繞其攻擊面管理計(jì)劃建立正式的KPI和指標(biāo)，并開(kāi)始利用EASM解決方案從滲透測(cè)試和攻防演練工作中獲得更大的價(jià)值。

專(zhuān)用的EASM解決方案能夠消除傳統(tǒng)電子表格在對(duì)攻擊面管理時(shí)導(dǎo)致的編譯、管理混亂問(wèn)題。還可以通過(guò)持續(xù)監(jiān)控暴露的資產(chǎn)，在新風(fēng)險(xiǎn)出現(xiàn)時(shí)及時(shí)向企業(yè)發(fā)出警報(bào)，了解企業(yè)對(duì)諸如Log4j等漏洞問(wèn)題的暴露程度就像檢查員工的電子郵件或登錄控制臺(tái)一樣簡(jiǎn)單，可大大降低安全團(tuán)隊(duì)的工作壓力，降低安全人員倦怠的風(fēng)險(xiǎn)。

外部攻擊面管理的重要意義體現(xiàn)在多個(gè)方面。其中最主要的是，攻擊面是抵御攻擊的第一道防線(xiàn)。如果企業(yè)的攻擊面中有大量未知或未受管理的資產(chǎn)，則可能隨時(shí)遭遇未知攻擊。

對(duì)外部攻擊面進(jìn)行管理可以實(shí)現(xiàn)對(duì)企業(yè)攻擊面的持續(xù)可見(jiàn)性監(jiān)測(cè)，能夠幫助企業(yè)更加準(zhǔn)確地評(píng)估這些風(fēng)險(xiǎn)。一般來(lái)說(shuō)，企業(yè)的攻擊面一直處于變化之中，這也是持續(xù)性監(jiān)測(cè)的重要意義所在。

此外，企業(yè)對(duì)外部攻擊面管理的了解只是一個(gè)開(kāi)始。隨著企業(yè)的攻擊面不斷擴(kuò)大，不能僅停留在對(duì)風(fēng)險(xiǎn)的識(shí)別、發(fā)現(xiàn)和監(jiān)控上，企業(yè)還必須能夠通過(guò)持續(xù)的測(cè)試和驗(yàn)證來(lái)改進(jìn)其安全控制措施，以確保企業(yè)資產(chǎn)和基礎(chǔ)設(shè)施能夠得到妥善的防護(hù)。

參考鏈接

https://info.randori.com/hubfs/State%20of%20ASM%20Report.pdf。