從研究人員近些年的調查結果來看，威脅攻擊者目前非常善于識別和利用最具有成本效益的網(wǎng)絡入侵方法，這就凸顯出了企業(yè)實施資產識別并了解其資產與整個資產相關的安全態(tài)勢的迫切需要。

目前來看，為了在如此復雜的網(wǎng)絡環(huán)境中受到最小程度上的網(wǎng)絡威脅，企業(yè)不應問 "我們暴露了嗎？"而應問 "我們暴露的程度如何？要了解這個問題，企業(yè)必須實施一種程序化和可重復的方法，將自己想象成威脅攻擊者，從敵對的角度看待自己的網(wǎng)絡防御系統(tǒng)。

網(wǎng)絡安全暴露的現(xiàn)狀

威脅者發(fā)動網(wǎng)絡攻擊可能會瞄準企業(yè)任何可能存在漏洞的地方。因此，企業(yè)需要實施多種安全控制、工具和流程來保護內部的網(wǎng)絡系統(tǒng)。

目前來看，企業(yè)的安全工作經(jīng)常被分割滲透測試、威脅情報管理和漏洞掃描等成不同部分。但是不幸的是，從以往的網(wǎng)絡攻擊案例來看，這種分割方法對企業(yè)所面臨的各種網(wǎng)絡風險的洞察力極其有限。在這樣的背景下，再加上缺乏全面的風險優(yōu)先級排序，使得企業(yè)在面臨安全挑戰(zhàn)時會顯得不知所措，無法充分指導企業(yè)首先應該解決哪些問題。

因此，企業(yè)需要一種系統(tǒng)性且一致的策略來衡量其面臨的安全風險，這就需要將重點轉移到思考威脅攻擊者有哪些攻擊途徑上去，并在發(fā)生網(wǎng)絡攻擊時不斷”評估“防御措施和響應計劃。

此外，企業(yè)了解威脅攻擊者的”動態(tài)"對于準確定位安全漏洞、告知安全團隊應首先在哪些方面應用安全措施以及有必要采取哪些額外的安全控制措施至關重要。（從威脅攻擊者的角度識別安全漏洞，能讓企業(yè)主動提升安全態(tài)勢）

企業(yè)得攻擊面不斷擴大

目前，大多數(shù)企業(yè)的 IT 生態(tài)系統(tǒng)包括從內部員工的身份，工作平臺以及云服務等，包含了各種各樣的數(shù)據(jù)資產，每種資產都可能因安全漏洞和錯誤配置而暴露。這些安全漏洞和錯誤配置可能被威脅攻擊者用來破壞組織的運營和數(shù)據(jù)資產。

混合環(huán)境中，這一挑戰(zhàn)更為嚴峻，因為混合環(huán)境融合了云和內部資產，再加上沒有明確的邊界，大大降低了可見性和控制力?？梢姡S著企業(yè)的發(fā)展，其攻擊面必然會隨著新的互聯(lián)資產的整合而擴大，從而增加了復雜性。

值得注意的是，外部威脅環(huán)境的不確定性使這種擴展變得更加復雜，新興威脅（包括由人工智能驅動的威脅）不斷改變著外部威脅環(huán)境，“影子 IT"也會大大增加了這種復雜性，這樣就會大大增加了業(yè)務風險、合規(guī)風險，使得安全管理變得更加復雜。

由此可見，企業(yè)數(shù)據(jù)資產的相互關聯(lián)性以及不斷發(fā)展的安全威脅，給安全管理員有效管理組織的安全態(tài)勢帶來了巨大挑戰(zhàn)。如果每個安全漏洞不加以解決，都可能成為通向更多資產或數(shù)據(jù)的通道，為威脅攻擊者創(chuàng)造潛在的利用途徑。

企業(yè)需要搞清楚攻擊面

威脅攻擊者利用常見的安全漏洞、泄密憑證或配置錯誤的安全設置”穿越“受害者網(wǎng)絡并訪問企業(yè)資產的攻擊途徑是一種重大威脅，這些途徑往往隱藏在復雜的網(wǎng)絡生態(tài)系統(tǒng)中。因此，安全團隊往往無法全面了解企業(yè)所面臨的潛在安全威脅，從而對可能導致勒索軟件部署的混合攻擊準備不足。

許多企業(yè)往往會主動提升內部的安全態(tài)勢以抵御勒索軟件等高風險威脅，這就好比在不斷擴大的資產庫存中修補安全漏洞，注定是一場無休止的”戰(zhàn)斗“。歸根結底，由于缺乏對優(yōu)先級和風險的范圍和理解，再加上大量漏洞的出現(xiàn)，使得企業(yè)在風險暴露方面有太多事情要做，而在首先采取什么行動方面卻幾乎沒有指導。因此，企業(yè)需要一種方法來解決 "我們是如何暴露的 "這一問題。

什么是安全風險攻擊面管理？

一個企業(yè)不可能對其運營的方方面面都能夠提供最好的安全防護。因此，需要優(yōu)先保護關鍵領域，在最需要的地方簡化安全工作。

通過調整優(yōu)先級，企業(yè)可以解決三個關鍵問題：

• 從威脅攻擊者的角度來看，我的組織是什么樣的？
• 我的組織中哪些部分最容易受到攻擊？
• 如果攻擊者設法破壞了這些攻擊路徑，會產生什么影響？

通過回答這三個問題，安全團隊可以更好地確定工作量的輕重緩急，并立即解決關鍵的安全風險。

攻擊管理側重于優(yōu)化安全措施，以更好地防范威脅，其主要目標是緊急突出和強化組織的最脆弱點。這一過程對于確定優(yōu)先級至關重要，當企業(yè)搞清楚遵守每項政策或衡量每項指標都不切實際時，就需要把防御重點轉移到封堵威脅攻擊者的潛在切入點上。

攻擊面管理往往從評估外部安全狀況開始，主要包括模擬威脅攻擊者針對組織的潛在行動（攻防演練），這種方法的主要好處之一是揭示了可能被利用的攻擊載體，使企業(yè)能夠先發(fā)制人地解決薄弱環(huán)節(jié)。特別是在資源緊張的情況下，這一點尤為重要。

參考文章：https://www.helpnetsecurity.com/2024/04/09/organizations-exposure-management/