在本次行業(yè)媒體的采訪中，Detectify公司首席執(zhí)行官Rickard Carlsson討論了遠(yuǎn)程工作和數(shù)字化轉(zhuǎn)型背景下攻擊面管理的演變。

Carlsson強調(diào)了首席信息安全官今天面臨的挑戰(zhàn)，包括在不斷擴大的攻擊面中保持可見性和管理合規(guī)性，同時還要處理有限的資源和不斷增長的業(yè)務(wù)需求。

隨著向遠(yuǎn)程工作和數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變，傳統(tǒng)的攻擊面管理概念是如何演變的？與幾年前相比，首席信息安全官今天面臨的最大挑戰(zhàn)是什么？

組織應(yīng)該開始忘記舊的基于邊界的安全方法。事實上，辦公室工作和遠(yuǎn)程工作已經(jīng)沒有區(qū)別了。沒有內(nèi)外之分，只有外在?，F(xiàn)在需要保護的是不斷增長的、動態(tài)的、雜亂無章的端點、云服務(wù)和第三方應(yīng)用程序，它們構(gòu)成了外部攻擊面。

毫無疑問，首席信息安全官如今面臨著許多與攻擊面擴展相關(guān)的挑戰(zhàn)。他們一直在努力保持可見性，跟上現(xiàn)代（快速發(fā)展的）技術(shù)變化，新的攻擊媒介，并保持在不斷增長的合規(guī)性和監(jiān)管浪潮（如NIS2、DORA或歐洲的網(wǎng)絡(luò)彈性法案）的前列。此外，他們需要在有限的資源和不斷增加的壓力下完成所有這些工作，以帶來業(yè)務(wù)價值。

傳統(tǒng)的攻擊面管理通常需要幫助處理不完整和過時的庫存。組織應(yīng)該采用什么策略和工具來確保其全面和最新的資產(chǎn)清單？

越來越多的組織采用多個云提供商，從而擴大和分散其攻擊面。沒有持續(xù)映射和評估的庫存使得未知資產(chǎn)中的數(shù)字暴露和與域相關(guān)的漏洞（如子域接管或服務(wù)器錯誤配置）更容易被忽視。手動清單通常要么過時要么不完整，很少反映攻擊面的當(dāng)前狀態(tài)。

攻擊者很清楚總會有一個薄弱環(huán)節(jié)，所以最好的策略是立即識別并密切監(jiān)控所有面向互聯(lián)網(wǎng)的資產(chǎn)的變化。自動和持續(xù)的掃描將幫助您的團隊了解攻擊面中除了漏洞和問題之外的變化，以及該變化是否會帶來風(fēng)險，即使它只是一個IP、一個端口或一個云提供商。最好的工具還將授權(quán)安全團隊，允許他們設(shè)置自己的策略來定義哪些更改應(yīng)該被視為風(fēng)險。

實時監(jiān)控和自動化有多重要？首席信息安全官如何利用這些工具來減少手工工作并改進安全結(jié)果？

建議首席信息安全官尋找能夠真正幫助他們的團隊以最有效的方式完成工作的工具，從簡化攻擊面發(fā)現(xiàn)（實時、連續(xù)的資產(chǎn)映射）到產(chǎn)生最準(zhǔn)確、最嚴(yán)格的評估（怎么強調(diào)都不夠），最后將發(fā)現(xiàn)無縫地集成到現(xiàn)有的工作流程中，以快速修復(fù)和減少手工工作。當(dāng)團隊不能相信他們的發(fā)現(xiàn)，不得不尋找假陽性時，就會浪費本可以用來解決實際風(fēng)險或產(chǎn)生業(yè)務(wù)價值的寶貴時間。

首席信息安全官應(yīng)該關(guān)注哪些指標(biāo)來衡量其攻擊面管理策略的有效性？

有效性不是通過計算固定漏洞的總數(shù)來衡量的。假裝讓安全團隊解決每個出現(xiàn)在他們面前的漏洞是不現(xiàn)實和低效的，特別是考慮到在許多組織的系統(tǒng)中沒有相關(guān)的攻擊路徑。

ciso應(yīng)該根據(jù)他們獨特的業(yè)務(wù)環(huán)境來定義他們的風(fēng)險，并專注于解決那些對他們的組織真正重要的事件和破壞。查看這些相關(guān)問題的檢測和補救時間也可能是有用的和有見地的。評估工作是否與遵從性需求和審計結(jié)果保持一致，也是攻擊面管理策略和工具有效性的良好指示器。

隨著許多組織依賴第三方供應(yīng)商和云計算服務(wù)提供商，首席信息安全官如何管理和減輕與第三方合作伙伴關(guān)系及其帶來的擴展攻擊面相關(guān)的風(fēng)險？

首席信息安全官痛苦地意識到，數(shù)字化努力和現(xiàn)代技術(shù)堆棧意味著混合云和大型第三方依賴，這使得拍攝無縫隙攻擊面圖片的任務(wù)非常艱巨。為了降低這些風(fēng)險，他們應(yīng)該尋找能夠帶來自動和實時可見性的工具，并能夠管理跨多個云提供商托管的資產(chǎn)中的問題。一定程度的風(fēng)險敞口總是可以確定的，但由首席信息安全官來決定什么風(fēng)險是過度風(fēng)險?？山邮艿娘L(fēng)險總是因行業(yè)和數(shù)字成熟度的不同而不同。