當2021年12月Log4j漏洞被曝出并帶來廣泛影響時，越來越多的企業(yè)開始意識到IT資產(chǎn)可見性的重要性。由于影子IT、并購和第三方/合作伙伴的活動，組織通常不了解其資產(chǎn)狀況，安全團隊和IT團隊努力實現(xiàn)其可見性，以使企業(yè)深入了解日益復雜的分布式IT環(huán)境。如果沒有足夠深入的可見性，企業(yè)不可能實現(xiàn)應用程序和基礎設施依賴映射（AIDM）的理想狀態(tài)。當然，企業(yè)也無法為未摸清底細的應用程序和系統(tǒng)推出關鍵補丁！

近日，研究機構Forrester發(fā)布ASM（Attack Surface Management，攻擊面管理）研究報告，闡述了ASM市場、主要應用場景以及企業(yè)安全計劃中基本的ASM集成點等。Forrester給攻擊面管理（ASM）所下的定義是：“持續(xù)發(fā)現(xiàn)、識別、清點和評估組織全部IT資產(chǎn)面臨的風險這一流程”。攻擊面管理不僅僅局限于通過互聯(lián)網(wǎng)訪問的環(huán)境，而是在組織的整個環(huán)境中進行。組織有機會將來自ASM工具和流程的外部可見性與內部安全控制、配置管理數(shù)據(jù)庫（CMDB）、其他資產(chǎn)以及跟蹤及管理平臺整合起來，全面映射企業(yè)中的所有連接和資產(chǎn)。

在報告中，F(xiàn)orrester列出了ASM應用的幾點建議：應該將ASM視為是工具賦能的一項計劃，而不僅僅是一種工具或功能；還應該利用ASM將優(yōu)先級相互沖突的團隊聚集起來。如果組織正力求達到應用程序和基礎設施依賴關系映射的預期狀態(tài)，那么讓ASM計劃的目標緊緊圍繞提高可見性、進而提高可觀察性，并將其定位于達到這個預期狀態(tài)的關鍵手段，就可以統(tǒng)一安全、技術、業(yè)務領導者及團隊，這是漏洞風險管理和內部補丁SLA肯定無法做到的。

實際上，ASM計劃應如同一個融合或矩陣組織，牽涉多個利益相關者，包括基礎設施及運營、應用程序開發(fā)及交付、安全、風險、合規(guī)、隱私、營銷、社交媒體及其他職能部門。

ASM解決方案的采用者盛贊ASM的諸多優(yōu)點：提高可見性、節(jié)省時間以及確定風險優(yōu)先級。一位安全工程師表示：“ASM工具發(fā)現(xiàn)的資產(chǎn)比我們以為的多50%?！泵绹患襂SP的一位網(wǎng)絡安全架構師說：“ASM是必不可少的安全控制工具?！彪m然市面上有幾家公司將ASM作為獨立解決方案來提供，但我們越來越多地看到這些獨立產(chǎn)品被提供威脅情報、漏洞管理以及檢測和響應的供應商收購。研究人員表示，在今后12到18個月內，ASM將是這些類別中的一項標準功能。Log4j漏洞印證了這一點，該漏洞凸顯了開源軟件管理和軟件物料清單（SBOM）的重要性。