眾所周知，被動(dòng)的網(wǎng)絡(luò)防御已經(jīng)淪為一種漸漸失效的安全策略，攻擊面管理 (ASM) 是向進(jìn)攻性或主動(dòng)式安全方式轉(zhuǎn)變的開始。企業(yè)開始意識(shí)到，他們可以看到外部遠(yuǎn)遠(yuǎn)超出自己邊界的情況，盡早洞察內(nèi)部威脅，并采取適當(dāng)措施來(lái)緩解威脅和降低風(fēng)險(xiǎn)。

主動(dòng)安全策略意味著防御方（企業(yè)）必須像攻擊者一樣看到整個(gè)攻擊面，這樣做將使企業(yè)能夠使用持續(xù)測(cè)試來(lái)確定補(bǔ)救措施的優(yōu)先級(jí)并驗(yàn)證防御的有效性，從而比潛在的攻擊者領(lǐng)先一步。但是，大多數(shù)企業(yè)在考慮安全性時(shí)通常不會(huì)占據(jù)這一有利位置，并且還沒有尋求諸如外部攻擊面管理 (EASM) 之類的策略來(lái)保護(hù)自身的安全。

不過(guò)，EASM 已經(jīng)在企業(yè)的主動(dòng)安全保護(hù)實(shí)踐中發(fā)揮了關(guān)鍵作用，并且必然會(huì)在網(wǎng)絡(luò)安全的未來(lái)發(fā)揮價(jià)值。以下是企業(yè)如何更好地了解攻擊面管理的演變以及他們可以為未來(lái)的安全建設(shè)做準(zhǔn)備的幾種方式。

當(dāng)今的攻擊面管理

目前，不斷增長(zhǎng)的暴露面和攻擊面使得企業(yè)保護(hù)關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施變得復(fù)雜。影子資產(chǎn)成為是一個(gè)常見又重要的問(wèn)題，許多企業(yè)已經(jīng)受到未知、未管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)的危害。

這種對(duì)管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的深切擔(dān)憂已經(jīng)上升到企業(yè)領(lǐng)導(dǎo)層的最高層。由于網(wǎng)絡(luò)攻擊導(dǎo)致的業(yè)務(wù)風(fēng)險(xiǎn)增加，高管和公司董事會(huì)越來(lái)越多地要求更深入地了解其組織的安全風(fēng)險(xiǎn)。此外，他們還要求通過(guò)實(shí)時(shí)數(shù)據(jù)分析和更好的項(xiàng)目管理來(lái)提供精準(zhǔn)的指標(biāo)。

如今，大多數(shù)安全團(tuán)隊(duì)采用手動(dòng)的、多線程的類似 ASM 的流程，通過(guò)提供一系列面向外部資產(chǎn)和風(fēng)險(xiǎn)概況的情報(bào)來(lái)幫助他們管理風(fēng)險(xiǎn)。EASM 解決方案從攻擊者的角度，以連續(xù)和自主的方式探測(cè)企業(yè)的可發(fā)現(xiàn)攻擊面，幫助企業(yè)評(píng)估攻擊的可能性及其弱點(diǎn)的影響。

雖然 ASM 流程對(duì)企業(yè)的整體安全狀況已經(jīng)做出了重大改進(jìn)，但 EASM 解決方案仍然可以而且應(yīng)該做很多事情來(lái)提高效率和易用性。

盡管當(dāng)今的 EASM 解決方案提供了許多與資產(chǎn)洞察相關(guān)的能力，但它們無(wú)法讓企業(yè)實(shí)時(shí)做出更好的基于風(fēng)險(xiǎn)的決策，從而讓企業(yè)避免遭受直接的攻擊威脅和第三方風(fēng)險(xiǎn)影響。

關(guān)于EASM的未來(lái)預(yù)測(cè)

EASM 解決方案將成為大型企業(yè)的重要安全投資。Gartner 在其 《2022 年安全運(yùn)營(yíng)入門》中闡述了這一點(diǎn)；“要取得成功，安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須更好地了解不斷擴(kuò)大的攻擊面。”

那么，企業(yè)領(lǐng)導(dǎo)者應(yīng)該對(duì)他們?cè)诠裘婀芾矸矫娴耐顿Y有什么期望呢？

預(yù)測(cè)1：EASM 將整合更多的數(shù)字業(yè)務(wù)風(fēng)險(xiǎn)能力，以提高其價(jià)值和投資回報(bào)率。

企業(yè)越來(lái)越受到可見性的困擾，淹沒在海量的威脅情報(bào)中。這意味著他們難以發(fā)現(xiàn)、分類、優(yōu)先排序和管理面向互聯(lián)網(wǎng)的資產(chǎn)，這使他們?nèi)菀资艿焦舨⑶覠o(wú)法主動(dòng)保護(hù)資產(chǎn)的安全。

隨著攻擊面的擴(kuò)大，企業(yè)無(wú)法將其工作局限在識(shí)別、發(fā)現(xiàn)和監(jiān)控方面，還必須通過(guò)增加持續(xù)的測(cè)試和驗(yàn)證來(lái)改進(jìn)他們的安全管理。

為了使 EASM 解決方案更有效并減少團(tuán)隊(duì)需要管理的工具數(shù)量，應(yīng)該將 EASM 與漏洞管理和威脅情報(bào)相結(jié)合，這種更全面的方法可通過(guò)單一解決方案解決業(yè)務(wù)和 IT 風(fēng)險(xiǎn)。

當(dāng)安全廠商將威脅情報(bào)和漏洞管理集成到 EASM 解決方案中時(shí)，除了使企業(yè)內(nèi)的業(yè)務(wù)線能夠根據(jù)業(yè)務(wù)價(jià)值分配風(fēng)險(xiǎn)評(píng)分之外，價(jià)值還會(huì)呈指數(shù)級(jí)增長(zhǎng)。然后，IT 安全部門、風(fēng)險(xiǎn)經(jīng)理和業(yè)務(wù)負(fù)責(zé)人可以聯(lián)合起來(lái)做出基于風(fēng)險(xiǎn)的決策。

預(yù)測(cè)2：EASM 將走向自動(dòng)化，從而節(jié)省時(shí)間、金錢和精力。

EASM 解決方案應(yīng)該能讓企業(yè)輕松應(yīng)對(duì)。由于各業(yè)務(wù)團(tuán)隊(duì)已經(jīng)身處海量數(shù)據(jù)資產(chǎn)中，因此 EASM 解決方案在未來(lái)將旨在為安全團(tuán)隊(duì)的工作流程增加價(jià)值，而不是增加他們必須篩選的數(shù)據(jù)量，通過(guò)改進(jìn)的自動(dòng)化方式將能夠達(dá)成這一點(diǎn)。

自動(dòng)化有助于實(shí)現(xiàn)清晰和明確，它能夠回答諸如“這些數(shù)據(jù)有多準(zhǔn)確？”、以及“我的緩解措施是否精準(zhǔn)？”這樣的問(wèn)題。

然而，太多的企業(yè)仍然依賴電子表格來(lái)管理他們的攻擊面。手動(dòng)更新可能一年才進(jìn)行一次，每次需要 40 到 80 小時(shí)來(lái)編制一份并不完整的攻擊面清單。當(dāng)然，攻擊者幾乎不需要那么長(zhǎng)時(shí)間就能找到暴露的資產(chǎn)并對(duì)其進(jìn)行破壞。攻防雙方識(shí)別攻擊面所需的時(shí)間和覆蓋度差異將給企業(yè)帶來(lái)風(fēng)險(xiǎn)。

隨著 EASM 解決方案的成熟，自動(dòng)化呈現(xiàn) 360 度攻擊面視圖將安全人員從繁瑣的工作中解放出來(lái)。這樣的解決方案將有助于通過(guò)可攻擊的內(nèi)容確定弱點(diǎn)的優(yōu)先級(jí)，然后安全人員可以專注于降低業(yè)務(wù)風(fēng)險(xiǎn)，從而使業(yè)務(wù)獲得更大收益。

面向未來(lái)做出更有效的安全防護(hù)

安全419了解到，在國(guó)內(nèi)，EASM 尚處于起步階段，首家專注于 EASM 領(lǐng)域的安全廠商零零信安推出了00SEC-ASM攻擊面管理系統(tǒng)，通過(guò)將組織機(jī)構(gòu)與其不斷發(fā)展的數(shù)字足跡進(jìn)行映射、與漏洞情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)， 并持續(xù)發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)和代碼泄露、組織機(jī)構(gòu)和人員信息的泄露、以及對(duì)供應(yīng)鏈的攻擊面進(jìn)行檢測(cè)， 通過(guò)對(duì)全球開放網(wǎng)絡(luò)和非公開網(wǎng)絡(luò)的數(shù)千個(gè)情報(bào)源、數(shù)百億量級(jí)數(shù)據(jù)、本組織自身業(yè)務(wù)上下文等進(jìn)行大量數(shù)據(jù)采集和弱點(diǎn)優(yōu)先級(jí)分析， 為組織機(jī)構(gòu)輸出攻擊面情報(bào)，以提供給本組織更高級(jí)別的主動(dòng)防御。

Log4j等影響深遠(yuǎn)的漏洞事件已經(jīng)向安全團(tuán)隊(duì)展示了他們對(duì)外部 IT 資產(chǎn)知之甚少。如果我們要從攻擊者發(fā)現(xiàn)和利用此漏洞的頻率和速度方面學(xué)到一些教訓(xùn)，那么便是企業(yè)應(yīng)該在攻擊面管理、漏洞優(yōu)先級(jí)評(píng)估等方面做出積極主動(dòng)的實(shí)踐。