眾所周知，被動的網(wǎng)絡防御已經(jīng)淪為一種漸漸失效的安全策略，攻擊面管理 (ASM) 是向進攻性或主動式安全方式轉(zhuǎn)變的開始。企業(yè)開始意識到，他們可以看到外部遠遠超出自己邊界的情況，盡早洞察內(nèi)部威脅，并采取適當措施來緩解威脅和降低風險。

主動安全策略意味著防御方（企業(yè)）必須像攻擊者一樣看到整個攻擊面，這樣做將使企業(yè)能夠使用持續(xù)測試來確定補救措施的優(yōu)先級并驗證防御的有效性，從而比潛在的攻擊者領(lǐng)先一步。但是，大多數(shù)企業(yè)在考慮安全性時通常不會占據(jù)這一有利位置，并且還沒有尋求諸如外部攻擊面管理 (EASM) 之類的策略來保護自身的安全。

不過，EASM 已經(jīng)在企業(yè)的主動安全保護實踐中發(fā)揮了關(guān)鍵作用，并且必然會在網(wǎng)絡安全的未來發(fā)揮價值。以下是企業(yè)如何更好地了解攻擊面管理的演變以及他們可以為未來的安全建設做準備的幾種方式。

當今的攻擊面管理

目前，不斷增長的暴露面和攻擊面使得企業(yè)保護關(guān)鍵資產(chǎn)和基礎(chǔ)設施變得復雜。影子資產(chǎn)成為是一個常見又重要的問題，許多企業(yè)已經(jīng)受到未知、未管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)的危害。

這種對管理網(wǎng)絡風險的深切擔憂已經(jīng)上升到企業(yè)領(lǐng)導層的最高層。由于網(wǎng)絡攻擊導致的業(yè)務風險增加，高管和公司董事會越來越多地要求更深入地了解其組織的安全風險。此外，他們還要求通過實時數(shù)據(jù)分析和更好的項目管理來提供精準的指標。

如今，大多數(shù)安全團隊采用手動的、多線程的類似 ASM 的流程，通過提供一系列面向外部資產(chǎn)和風險概況的情報來幫助他們管理風險。EASM 解決方案從攻擊者的角度，以連續(xù)和自主的方式探測企業(yè)的可發(fā)現(xiàn)攻擊面，幫助企業(yè)評估攻擊的可能性及其弱點的影響。

雖然 ASM 流程對企業(yè)的整體安全狀況已經(jīng)做出了重大改進，但 EASM 解決方案仍然可以而且應該做很多事情來提高效率和易用性。

盡管當今的 EASM 解決方案提供了許多與資產(chǎn)洞察相關(guān)的能力，但它們無法讓企業(yè)實時做出更好的基于風險的決策，從而讓企業(yè)避免遭受直接的攻擊威脅和第三方風險影響。

關(guān)于EASM的未來預測

EASM 解決方案將成為大型企業(yè)的重要安全投資。Gartner 在其 《2022 年安全運營入門》中闡述了這一點；“要取得成功，安全與風險管理領(lǐng)導者必須更好地了解不斷擴大的攻擊面?！?/p>

那么，企業(yè)領(lǐng)導者應該對他們在攻擊面管理方面的投資有什么期望呢？

預測1：EASM 將整合更多的數(shù)字業(yè)務風險能力，以提高其價值和投資回報率。

企業(yè)越來越受到可見性的困擾，淹沒在海量的威脅情報中。這意味著他們難以發(fā)現(xiàn)、分類、優(yōu)先排序和管理面向互聯(lián)網(wǎng)的資產(chǎn)，這使他們?nèi)菀资艿焦舨⑶覠o法主動保護資產(chǎn)的安全。

隨著攻擊面的擴大，企業(yè)無法將其工作局限在識別、發(fā)現(xiàn)和監(jiān)控方面，還必須通過增加持續(xù)的測試和驗證來改進他們的安全管理。

為了使 EASM 解決方案更有效并減少團隊需要管理的工具數(shù)量，應該將 EASM 與漏洞管理和威脅情報相結(jié)合，這種更全面的方法可通過單一解決方案解決業(yè)務和 IT 風險。

當安全廠商將威脅情報和漏洞管理集成到 EASM 解決方案中時，除了使企業(yè)內(nèi)的業(yè)務線能夠根據(jù)業(yè)務價值分配風險評分之外，價值還會呈指數(shù)級增長。然后，IT 安全部門、風險經(jīng)理和業(yè)務負責人可以聯(lián)合起來做出基于風險的決策。

預測2：EASM 將走向自動化，從而節(jié)省時間、金錢和精力。

EASM 解決方案應該能讓企業(yè)輕松應對。由于各業(yè)務團隊已經(jīng)身處海量數(shù)據(jù)資產(chǎn)中，因此 EASM 解決方案在未來將旨在為安全團隊的工作流程增加價值，而不是增加他們必須篩選的數(shù)據(jù)量，通過改進的自動化方式將能夠達成這一點。

自動化有助于實現(xiàn)清晰和明確，它能夠回答諸如“這些數(shù)據(jù)有多準確？”、以及“我的緩解措施是否精準？”這樣的問題。

然而，太多的企業(yè)仍然依賴電子表格來管理他們的攻擊面。手動更新可能一年才進行一次，每次需要 40 到 80 小時來編制一份并不完整的攻擊面清單。當然，攻擊者幾乎不需要那么長時間就能找到暴露的資產(chǎn)并對其進行破壞。攻防雙方識別攻擊面所需的時間和覆蓋度差異將給企業(yè)帶來風險。

隨著 EASM 解決方案的成熟，自動化呈現(xiàn) 360 度攻擊面視圖將安全人員從繁瑣的工作中解放出來。這樣的解決方案將有助于通過可攻擊的內(nèi)容確定弱點的優(yōu)先級，然后安全人員可以專注于降低業(yè)務風險，從而使業(yè)務獲得更大收益。

面向未來做出更有效的安全防護

安全419了解到，在國內(nèi)，EASM 尚處于起步階段，首家專注于 EASM 領(lǐng)域的安全廠商零零信安推出了00SEC-ASM攻擊面管理系統(tǒng)，通過將組織機構(gòu)與其不斷發(fā)展的數(shù)字足跡進行映射、與漏洞情報數(shù)據(jù)進行關(guān)聯(lián)， 并持續(xù)發(fā)現(xiàn)業(yè)務數(shù)據(jù)和代碼泄露、組織機構(gòu)和人員信息的泄露、以及對供應鏈的攻擊面進行檢測， 通過對全球開放網(wǎng)絡和非公開網(wǎng)絡的數(shù)千個情報源、數(shù)百億量級數(shù)據(jù)、本組織自身業(yè)務上下文等進行大量數(shù)據(jù)采集和弱點優(yōu)先級分析， 為組織機構(gòu)輸出攻擊面情報，以提供給本組織更高級別的主動防御。

Log4j等影響深遠的漏洞事件已經(jīng)向安全團隊展示了他們對外部 IT 資產(chǎn)知之甚少。如果我們要從攻擊者發(fā)現(xiàn)和利用此漏洞的頻率和速度方面學到一些教訓，那么便是企業(yè)應該在攻擊面管理、漏洞優(yōu)先級評估等方面做出積極主動的實踐。