眾所周知，被動的網(wǎng)絡(luò)防御已經(jīng)淪為一種漸漸失效的安全策略，攻擊面管理 (ASM) 是向進(jìn)攻性或主動式安全方式轉(zhuǎn)變的開始。企業(yè)開始意識到，他們可以看到外部遠(yuǎn)遠(yuǎn)超出自己邊界的情況，盡早洞察內(nèi)部威脅，并采取適當(dāng)措施來緩解威脅和降低風(fēng)險。

主動安全策略意味著防御方（企業(yè)）必須像攻擊者一樣看到整個攻擊面，這樣做將使企業(yè)能夠使用持續(xù)測試來確定補(bǔ)救措施的優(yōu)先級并驗證防御的有效性，從而比潛在的攻擊者領(lǐng)先一步。但是，大多數(shù)企業(yè)在考慮安全性時通常不會占據(jù)這一有利位置，并且還沒有尋求諸如外部攻擊面管理 (EASM) 之類的策略來保護(hù)自身的安全。

不過，EASM 已經(jīng)在企業(yè)的主動安全保護(hù)實踐中發(fā)揮了關(guān)鍵作用，并且必然會在網(wǎng)絡(luò)安全的未來發(fā)揮價值。以下是企業(yè)如何更好地了解攻擊面管理的演變以及他們可以為未來的安全建設(shè)做準(zhǔn)備的幾種方式。

當(dāng)今的攻擊面管理

目前，不斷增長的暴露面和攻擊面使得企業(yè)保護(hù)關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施變得復(fù)雜。影子資產(chǎn)成為是一個常見又重要的問題，許多企業(yè)已經(jīng)受到未知、未管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)的危害。

這種對管理網(wǎng)絡(luò)風(fēng)險的深切擔(dān)憂已經(jīng)上升到企業(yè)領(lǐng)導(dǎo)層的最高層。由于網(wǎng)絡(luò)攻擊導(dǎo)致的業(yè)務(wù)風(fēng)險增加，高管和公司董事會越來越多地要求更深入地了解其組織的安全風(fēng)險。此外，他們還要求通過實時數(shù)據(jù)分析和更好的項目管理來提供精準(zhǔn)的指標(biāo)。

如今，大多數(shù)安全團(tuán)隊采用手動的、多線程的類似 ASM 的流程，通過提供一系列面向外部資產(chǎn)和風(fēng)險概況的情報來幫助他們管理風(fēng)險。EASM 解決方案從攻擊者的角度，以連續(xù)和自主的方式探測企業(yè)的可發(fā)現(xiàn)攻擊面，幫助企業(yè)評估攻擊的可能性及其弱點的影響。

雖然 ASM 流程對企業(yè)的整體安全狀況已經(jīng)做出了重大改進(jìn)，但 EASM 解決方案仍然可以而且應(yīng)該做很多事情來提高效率和易用性。

盡管當(dāng)今的 EASM 解決方案提供了許多與資產(chǎn)洞察相關(guān)的能力，但它們無法讓企業(yè)實時做出更好的基于風(fēng)險的決策，從而讓企業(yè)避免遭受直接的攻擊威脅和第三方風(fēng)險影響。

關(guān)于EASM的未來預(yù)測

EASM 解決方案將成為大型企業(yè)的重要安全投資。Gartner 在其 《2022 年安全運(yùn)營入門》中闡述了這一點；“要取得成功，安全與風(fēng)險管理領(lǐng)導(dǎo)者必須更好地了解不斷擴(kuò)大的攻擊面?！?/p>

那么，企業(yè)領(lǐng)導(dǎo)者應(yīng)該對他們在攻擊面管理方面的投資有什么期望呢？

預(yù)測1：EASM 將整合更多的數(shù)字業(yè)務(wù)風(fēng)險能力，以提高其價值和投資回報率。

企業(yè)越來越受到可見性的困擾，淹沒在海量的威脅情報中。這意味著他們難以發(fā)現(xiàn)、分類、優(yōu)先排序和管理面向互聯(lián)網(wǎng)的資產(chǎn)，這使他們?nèi)菀资艿焦舨⑶覠o法主動保護(hù)資產(chǎn)的安全。

隨著攻擊面的擴(kuò)大，企業(yè)無法將其工作局限在識別、發(fā)現(xiàn)和監(jiān)控方面，還必須通過增加持續(xù)的測試和驗證來改進(jìn)他們的安全管理。

為了使 EASM 解決方案更有效并減少團(tuán)隊需要管理的工具數(shù)量，應(yīng)該將 EASM 與漏洞管理和威脅情報相結(jié)合，這種更全面的方法可通過單一解決方案解決業(yè)務(wù)和 IT 風(fēng)險。

當(dāng)安全廠商將威脅情報和漏洞管理集成到 EASM 解決方案中時，除了使企業(yè)內(nèi)的業(yè)務(wù)線能夠根據(jù)業(yè)務(wù)價值分配風(fēng)險評分之外，價值還會呈指數(shù)級增長。然后，IT 安全部門、風(fēng)險經(jīng)理和業(yè)務(wù)負(fù)責(zé)人可以聯(lián)合起來做出基于風(fēng)險的決策。

預(yù)測2：EASM 將走向自動化，從而節(jié)省時間、金錢和精力。

EASM 解決方案應(yīng)該能讓企業(yè)輕松應(yīng)對。由于各業(yè)務(wù)團(tuán)隊已經(jīng)身處海量數(shù)據(jù)資產(chǎn)中，因此 EASM 解決方案在未來將旨在為安全團(tuán)隊的工作流程增加價值，而不是增加他們必須篩選的數(shù)據(jù)量，通過改進(jìn)的自動化方式將能夠達(dá)成這一點。

自動化有助于實現(xiàn)清晰和明確，它能夠回答諸如“這些數(shù)據(jù)有多準(zhǔn)確？”、以及“我的緩解措施是否精準(zhǔn)？”這樣的問題。

然而，太多的企業(yè)仍然依賴電子表格來管理他們的攻擊面。手動更新可能一年才進(jìn)行一次，每次需要 40 到 80 小時來編制一份并不完整的攻擊面清單。當(dāng)然，攻擊者幾乎不需要那么長時間就能找到暴露的資產(chǎn)并對其進(jìn)行破壞。攻防雙方識別攻擊面所需的時間和覆蓋度差異將給企業(yè)帶來風(fēng)險。

隨著 EASM 解決方案的成熟，自動化呈現(xiàn) 360 度攻擊面視圖將安全人員從繁瑣的工作中解放出來。這樣的解決方案將有助于通過可攻擊的內(nèi)容確定弱點的優(yōu)先級，然后安全人員可以專注于降低業(yè)務(wù)風(fēng)險，從而使業(yè)務(wù)獲得更大收益。

面向未來做出更有效的安全防護(hù)

安全419了解到，在國內(nèi)，EASM 尚處于起步階段，首家專注于 EASM 領(lǐng)域的安全廠商零零信安推出了00SEC-ASM攻擊面管理系統(tǒng)，通過將組織機(jī)構(gòu)與其不斷發(fā)展的數(shù)字足跡進(jìn)行映射、與漏洞情報數(shù)據(jù)進(jìn)行關(guān)聯(lián)， 并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織機(jī)構(gòu)和人員信息的泄露、以及對供應(yīng)鏈的攻擊面進(jìn)行檢測， 通過對全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的數(shù)千個情報源、數(shù)百億量級數(shù)據(jù)、本組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點優(yōu)先級分析， 為組織機(jī)構(gòu)輸出攻擊面情報，以提供給本組織更高級別的主動防御。

Log4j等影響深遠(yuǎn)的漏洞事件已經(jīng)向安全團(tuán)隊展示了他們對外部 IT 資產(chǎn)知之甚少。如果我們要從攻擊者發(fā)現(xiàn)和利用此漏洞的頻率和速度方面學(xué)到一些教訓(xùn)，那么便是企業(yè)應(yīng)該在攻擊面管理、漏洞優(yōu)先級評估等方面做出積極主動的實踐。