“數(shù)字化"、"轉(zhuǎn)型 "和 "加速 "這些詞在過(guò)去幾年中被廣泛使用，在過(guò)去18個(gè)月中更是如此。各個(gè)組織在數(shù)字化轉(zhuǎn)型方面投入了大量資金，估計(jì)花費(fèi)了6.8萬(wàn)億美元，據(jù)行業(yè)專(zhuān)家稱(chēng)，到2022年，全球65%的GDP將實(shí)現(xiàn)數(shù)字化。這場(chǎng)新冠疫情加快了商業(yè)計(jì)劃和戰(zhàn)略，以至于我們現(xiàn)在看到未來(lái)的企業(yè)在今天運(yùn)營(yíng)。然而，技術(shù)的廣泛采用也造成了大量新的安全問(wèn)題，它將組織的攻擊面擴(kuò)大到他們沒(méi)有考慮過(guò)的地方，從而為隱藏的漏洞提供了一個(gè)溫床。

[[437420]]

什么是攻擊面管理?

例如，隨著像云這樣的服務(wù)被各種規(guī)模的企業(yè)所利用，而勞動(dòng)力在很大程度上仍然是遠(yuǎn)程的，人們必須重新考慮不斷擴(kuò)大的數(shù)字足跡和隨之而來(lái)的風(fēng)險(xiǎn)--從面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用、IP地址、域名、云、端口、API和端點(diǎn)，僅舉幾例，以及這些如何影響你企業(yè)的安全態(tài)勢(shì)。這就是外部攻擊面管理(EASM)發(fā)揮作用的地方。據(jù)Gartner稱(chēng)，EASM是漏洞管理中的一個(gè)新興產(chǎn)品，支持企業(yè)發(fā)現(xiàn)已知和未知的數(shù)字資產(chǎn)，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，以創(chuàng)建一個(gè)全面的攻擊面分?jǐn)?shù)，使企業(yè)能夠根據(jù)自己的安全成熟度，對(duì)風(fēng)險(xiǎn)的優(yōu)先級(jí)做出更明智的決定，以進(jìn)行補(bǔ)救。

這不是一個(gè)新的安全縮略語(yǔ)--遠(yuǎn)非如此。鑒于技術(shù)被采用和新應(yīng)用被推向市場(chǎng)的加速性質(zhì)，評(píng)估你的攻擊面和確定黑客可以發(fā)現(xiàn)和利用的安全弱點(diǎn)的領(lǐng)域是很重要的。EASM可以用來(lái)發(fā)現(xiàn)你的整個(gè)互聯(lián)網(wǎng)暴露的應(yīng)用程序，并通過(guò)暴露分?jǐn)?shù)來(lái)評(píng)估潛在的風(fēng)險(xiǎn)，包括定位舊的和未知的網(wǎng)絡(luò)應(yīng)用程序，這些程序可能允許輕松進(jìn)入你的系統(tǒng)和網(wǎng)絡(luò)。威脅者將利用任何可利用的漏洞來(lái)獲得立足點(diǎn)或啟動(dòng)勒索軟件，因此必須使用EASM來(lái)促進(jìn)安全衛(wèi)生實(shí)踐，以阻止攻擊周期的發(fā)生。

有效攻擊面管理的關(guān)鍵組成部分

EASM的主要好處是幫助你看到黑客在偵察任務(wù)中看到的東西。由于組織24小時(shí)都在遭遇威脅，擁有這種可見(jiàn)性將使安全團(tuán)隊(duì)占盡先機(jī)，在為時(shí)已晚之前獲得對(duì)其潛在風(fēng)險(xiǎn)的外部看法。因此，EASM的五個(gè)關(guān)鍵組成部分應(yīng)該包括。

• 發(fā)現(xiàn)：這將有助于映射你的已知和未知的面向互聯(lián)網(wǎng)的應(yīng)用程序、Web服務(wù)、API、SSL證書(shū)和域名，你可能已經(jīng)錯(cuò)過(guò)了創(chuàng)建一個(gè)完整的應(yīng)用程序威脅可見(jiàn)性的庫(kù)存。
• 清單：記錄IT基礎(chǔ)設(shè)施組件和資產(chǎn)的狀態(tài)所必需——很像一個(gè)配置管理數(shù)據(jù)庫(kù)(CMDB)。
• 評(píng)估和分類(lèi)：針對(duì)黑客使用的七種最常見(jiàn)的攻擊載體評(píng)估所發(fā)現(xiàn)的應(yīng)用資產(chǎn)的暴露程度，并根據(jù)業(yè)務(wù)關(guān)鍵性對(duì)其進(jìn)行分類(lèi)，以突出可能使他們?cè)谀愕臉I(yè)務(wù)中獲得立足點(diǎn)的安全弱點(diǎn)。
• 可操作的風(fēng)險(xiǎn)評(píng)分：通過(guò)明確定義的風(fēng)險(xiǎn)評(píng)分，安全團(tuán)隊(duì)可以從EASM活動(dòng)中認(rèn)識(shí)到他們構(gòu)成的安全風(fēng)險(xiǎn)。這將為開(kāi)發(fā)人員和IT部門(mén)提供必要的背景，以進(jìn)一步調(diào)查高分/高風(fēng)險(xiǎn)的系統(tǒng)。
• 監(jiān)測(cè)：監(jiān)測(cè)與你的業(yè)務(wù)和其他關(guān)鍵資產(chǎn)相關(guān)的所有數(shù)字服務(wù)，包括持續(xù)的應(yīng)用安全，以保持24小時(shí)安全和合規(guī)。

有效管理你的安全風(fēng)險(xiǎn)的關(guān)鍵是持續(xù)的可見(jiàn)性。利用EASM工具的組織將能夠減少其攻擊面并主動(dòng)解決問(wèn)題。隨著數(shù)字化轉(zhuǎn)型的不斷深入，企業(yè)攻擊面的盲點(diǎn)只會(huì)增加。黑客本質(zhì)上是機(jī)會(huì)主義者，他們會(huì)不惜一切代價(jià)滲透到大大小小的企業(yè)中，竊取關(guān)鍵數(shù)據(jù)以獲取經(jīng)濟(jì)利益。因此，重要的是將EASM與你更廣泛的漏洞管理和應(yīng)用安全計(jì)劃疊加在一起，以保持領(lǐng)先于網(wǎng)絡(luò)罪犯一步。