多年來，外部攻擊面管理(EASM)一直是許多安全組織及其供應(yīng)商的重點關(guān)注領(lǐng)域。

EASM試圖發(fā)現(xiàn)組織外部攻擊面的全部范圍，并修復(fù)相關(guān)問題，其覆蓋面廣，主要針對軟件漏洞、錯誤配置和被忽視的影子IT資產(chǎn)，從外部著手管理安全風(fēng)險。對增加攻擊面可見性和外部資產(chǎn)認知的關(guān)注得到了CISO(首席信息安全官)、CIO和從業(yè)者的一致認同。

最近，一個新的網(wǎng)絡(luò)安全框架和工具集應(yīng)運而生——曝光管理(EM)。當(dāng)EM(有時稱為威脅曝光管理)應(yīng)用于組織時，它不僅關(guān)注漏洞和錯誤配置的發(fā)現(xiàn)，還著重于優(yōu)先處理這些安全發(fā)現(xiàn)，并將其轉(zhuǎn)化為可操作的結(jié)果，從而簡化工作流程并提升安全效果。

EM的創(chuàng)新在于將焦點從單純的漏洞轉(zhuǎn)向可被利用的漏洞，進而根據(jù)可利用性來優(yōu)先處理修復(fù)行動。

EASM的優(yōu)點與不足

Gartner于2021年首次在其《Gartner安全運營技術(shù)炒作周期》報告中提出EASM概念，且該類別迅速成為安全創(chuàng)新的觸發(fā)點，攀升至技術(shù)炒作周期的高峰。

安全生態(tài)系統(tǒng)快速意識到EASM的價值，市場的整合隨之加速。IBM收購了Randori，Palo Alto收購了Xpanse，微軟收購了RiskIQ，EASM迅速被整合進了網(wǎng)絡(luò)安全巨頭們更大、更全面的產(chǎn)品中。

EASM解決方案的架構(gòu)師和部署者認識到，要想發(fā)揮效力，安全范式必須能夠應(yīng)對并克服多個結(jié)構(gòu)性和后勤挑戰(zhàn)：

動態(tài)攻擊面：SaaS應(yīng)用程序和按需云服務(wù)的部署模糊了所需信息(如IP地址、設(shè)備名稱、網(wǎng)絡(luò)標(biāo)識等)的邊界，這些信息對準(zhǔn)確、最新的資產(chǎn)目錄化和跟蹤至關(guān)重要。用戶的不確定性，例如通過無害的重新配置暴露資產(chǎn)，以及將公司設(shè)備連接到有風(fēng)險的網(wǎng)絡(luò)，進一步加劇了這種動態(tài)性。

無網(wǎng)絡(luò)邊界：曾經(jīng)，企業(yè)網(wǎng)絡(luò)局限于組織總部，但隨著區(qū)域辦公室和合作伙伴組織的加入，這一邊界擴展了。云技術(shù)的采用進一步模糊了企業(yè)網(wǎng)絡(luò)的定義。BYOD(自帶設(shè)備)和COVID-19疫情期間的遠程辦公最終打破了關(guān)于清晰網(wǎng)絡(luò)邊界或資產(chǎn)分類規(guī)則的幻想，但這些資產(chǎn)依然需要得到防護。

信息和人員孤島：如今的組織規(guī)模龐大，部門界限日益模糊，這種動態(tài)性可能消除瓶頸、鼓勵主動性并提升生產(chǎn)力，但也阻礙了對部署資產(chǎn)(通常是非正式的)和隨意使用的資產(chǎn)進行準(zhǔn)確的目錄化和安全管理。

EASM能夠有效地進行持續(xù)的發(fā)現(xiàn)，并為許多新類型資產(chǎn)提供修復(fù)建議，然而，隨著它達到了炒作的頂峰，EASM的承諾開始出現(xiàn)問題。事實證明，過于追求資產(chǎn)可見性給漏洞管理團隊帶來了大量額外工作：

1. 盡管EASM工具強調(diào)的可見性提升了，但仍然留下了危險的盲點，特別是供應(yīng)商管理的資產(chǎn)風(fēng)險，大多數(shù)工具無法發(fā)現(xiàn)。此外，網(wǎng)站所依賴的代碼和腳本，例如第三方CSS和JavaScript，也可能面臨被攻破的風(fēng)險，但早期的EASM工具完全忽視了這些風(fēng)險。再加上EASM常常誤判資產(chǎn)歸屬、困在信息孤島中，以及生成大量誤報，導(dǎo)致客戶感到不滿和挫敗。

2. 可見性成為了另一個導(dǎo)致警報疲勞的來源。EASM本身并未提供處理這些噪音的流程，也沒有整合重復(fù)發(fā)現(xiàn)或?qū)⑵淙谌氍F(xiàn)有工具和工作流程中。

3. EASM的威脅驗證和優(yōu)先級設(shè)定是其薄弱環(huán)節(jié)：由于可見性增強帶來的大量噪音，確認警報的有效性并在對威脅嚴重性進行排序和分配修復(fù)優(yōu)先級之前是至關(guān)重要的。

4. 上述缺陷導(dǎo)致企業(yè)錯誤地評估了風(fēng)險暴露，處理了不相關(guān)的問題，浪費了時間和資源，同時讓關(guān)鍵風(fēng)險區(qū)域暴露在外。

因此，不足為奇的是，Gartner很快將EASM歸入了“幻滅的低谷”。EASM的前景廣闊，但仍然需要大量投資來解決其市場交付初期階段中的不足。

曝露管理(EM)的出現(xiàn)

EASM試圖通過不斷編目潛在的CVE和錯誤配置來“煮沸海洋”，而EM則智能地尋找現(xiàn)實世界中實際存在的暴露和配置問題。

曝光管理的目標(biāo)是確保組織發(fā)現(xiàn)并驗證這些暴露。驗證不僅支持優(yōu)先級的設(shè)定，還能幫助修復(fù)工作。

以下三個原則為從EASM向曝光管理轉(zhuǎn)變提供了路徑。

更廣泛、更深入的發(fā)現(xiàn)——了解更多關(guān)于潛在威脅、漏洞和暴露的信息，同時提供證據(jù)、背景和涉及資產(chǎn)的相對重要性。發(fā)現(xiàn)的范圍至關(guān)重要，應(yīng)包括組織管理和擁有的所有資產(chǎn)，如云和SaaS資產(chǎn)、供應(yīng)商管理的資產(chǎn)以及與組織資產(chǎn)連接的數(shù)字供應(yīng)鏈資產(chǎn)。資產(chǎn)歸屬證明也是全面發(fā)現(xiàn)過程中的關(guān)鍵一環(huán)。

驗證與優(yōu)先級設(shè)定——一旦發(fā)現(xiàn)了潛在的暴露，EM工具能夠幫助驗證這些發(fā)現(xiàn)，并根據(jù)業(yè)務(wù)影響和可利用性為其設(shè)定優(yōu)先級，這種方法確保首先處理暴露的關(guān)鍵資產(chǎn)。該原則不僅僅是創(chuàng)建漏洞清單，更主張對資產(chǎn)連接性的動態(tài)理解，通常以圖形表示，用以理解資產(chǎn)之間的關(guān)系以及安全問題的影響。

操作簡化——簡化操作流程是曝光管理(EM)的核心，減少平均修復(fù)時間(MTTR)對于管理暴露至關(guān)重要。EM專注于簡化警報處理流程，確保警報能夠及時到達正確的團隊。通過提供易于遵循的修復(fù)流程，幫助IT團隊快速且高效地采取行動。EM與安全信息與事件管理(SIEM)和工單系統(tǒng)的集成，確保適當(dāng)?shù)膯T工能夠迅速實施措施，減少被利用的時間窗口。

EASM 2.0 = 曝露管理

EM只是Gartner推出的下一個類別，引導(dǎo)CISO購買更多軟件工具嗎?

從傳統(tǒng)EASM到新興的曝光管理，不僅僅是語義上的變化。EASM通過強調(diào)攻擊面和可見性提供了良好的起點，但簡單地編目無數(shù)問題癥狀并不等同于理解其嚴重性，提供驗證的可利用性信息以及適當(dāng)?shù)男迯?fù)措施。

網(wǎng)絡(luò)安全市場需要一種專注于實際暴露的管理方式，并使用優(yōu)化的工具來持續(xù)分析可利用性并操作化修復(fù)措施。你可以將EM視為“EASM 2.0”的升級版，其基礎(chǔ)是關(guān)注可操作的發(fā)現(xiàn)和直接的指令。因此，曝光管理不僅是Gartner的“下一個大事件”，它還是保護組織資產(chǎn)和聲譽的最可行方法。