當(dāng)2021年12月Log4j漏洞被曝出并帶來(lái)廣泛影響時(shí)，越來(lái)越多的企業(yè)開始意識(shí)到IT資產(chǎn)可見性的重要性。由于影子IT、并購(gòu)和第三方/合作伙伴的活動(dòng)，組織通常不了解其資產(chǎn)狀況，安全團(tuán)隊(duì)和IT團(tuán)隊(duì)努力實(shí)現(xiàn)其可見性，以使企業(yè)深入了解日益復(fù)雜的分布式IT環(huán)境。如果沒(méi)有足夠深入的可見性，企業(yè)不可能實(shí)現(xiàn)應(yīng)用程序和基礎(chǔ)設(shè)施依賴映射（AIDM）的理想狀態(tài)。當(dāng)然，企業(yè)也無(wú)法為未摸清底細(xì)的應(yīng)用程序和系統(tǒng)推出關(guān)鍵補(bǔ)丁！

近日，研究機(jī)構(gòu)Forrester發(fā)布ASM（Attack Surface Management，攻擊面管理）研究報(bào)告，闡述了ASM市場(chǎng)、主要應(yīng)用場(chǎng)景以及企業(yè)安全計(jì)劃中基本的ASM集成點(diǎn)等。Forrester給攻擊面管理（ASM）所下的定義是：“持續(xù)發(fā)現(xiàn)、識(shí)別、清點(diǎn)和評(píng)估組織全部IT資產(chǎn)面臨的風(fēng)險(xiǎn)這一流程”。攻擊面管理不僅僅局限于通過(guò)互聯(lián)網(wǎng)訪問(wèn)的環(huán)境，而是在組織的整個(gè)環(huán)境中進(jìn)行。組織有機(jī)會(huì)將來(lái)自ASM工具和流程的外部可見性與內(nèi)部安全控制、配置管理數(shù)據(jù)庫(kù)（CMDB）、其他資產(chǎn)以及跟蹤及管理平臺(tái)整合起來(lái)，全面映射企業(yè)中的所有連接和資產(chǎn)。

在報(bào)告中，F(xiàn)orrester列出了ASM應(yīng)用的幾點(diǎn)建議：應(yīng)該將ASM視為是工具賦能的一項(xiàng)計(jì)劃，而不僅僅是一種工具或功能；還應(yīng)該利用ASM將優(yōu)先級(jí)相互沖突的團(tuán)隊(duì)聚集起來(lái)。如果組織正力求達(dá)到應(yīng)用程序和基礎(chǔ)設(shè)施依賴關(guān)系映射的預(yù)期狀態(tài)，那么讓ASM計(jì)劃的目標(biāo)緊緊圍繞提高可見性、進(jìn)而提高可觀察性，并將其定位于達(dá)到這個(gè)預(yù)期狀態(tài)的關(guān)鍵手段，就可以統(tǒng)一安全、技術(shù)、業(yè)務(wù)領(lǐng)導(dǎo)者及團(tuán)隊(duì)，這是漏洞風(fēng)險(xiǎn)管理和內(nèi)部補(bǔ)丁SLA肯定無(wú)法做到的。

實(shí)際上，ASM計(jì)劃應(yīng)如同一個(gè)融合或矩陣組織，牽涉多個(gè)利益相關(guān)者，包括基礎(chǔ)設(shè)施及運(yùn)營(yíng)、應(yīng)用程序開發(fā)及交付、安全、風(fēng)險(xiǎn)、合規(guī)、隱私、營(yíng)銷、社交媒體及其他職能部門。

ASM解決方案的采用者盛贊ASM的諸多優(yōu)點(diǎn)：提高可見性、節(jié)省時(shí)間以及確定風(fēng)險(xiǎn)優(yōu)先級(jí)。一位安全工程師表示：“ASM工具發(fā)現(xiàn)的資產(chǎn)比我們以為的多50%。”美國(guó)一家ISP的一位網(wǎng)絡(luò)安全架構(gòu)師說(shuō)：“ASM是必不可少的安全控制工具。”雖然市面上有幾家公司將ASM作為獨(dú)立解決方案來(lái)提供，但我們?cè)絹?lái)越多地看到這些獨(dú)立產(chǎn)品被提供威脅情報(bào)、漏洞管理以及檢測(cè)和響應(yīng)的供應(yīng)商收購(gòu)。研究人員表示，在今后12到18個(gè)月內(nèi)，ASM將是這些類別中的一項(xiàng)標(biāo)準(zhǔn)功能。Log4j漏洞印證了這一點(diǎn)，該漏洞凸顯了開源軟件管理和軟件物料清單（SBOM）的重要性。