您的企業需要監控未知的攻擊面嗎？答案是肯定的！因為未知的攻擊面中含有大量未知的潛在漏洞。但是，隨著企業適應和擴大云計算應用規模，他們使用的資產和平臺將不可避免地增長和變化，這使得攻擊面蔓延也成為當今大多數安全團隊必須面對的挑戰。這也正是攻擊面管理（ASM）技術的用武之地。

ASM關鍵功能

研究機構Forrester將ASM定義為“不斷發現、識別、編目和評估實體IT資產暴露的過程”。根據定義可以看出，ASM是一個復雜的領域，涉及多個網絡安全領域，包括：

• 數字資產發現和識別；
• 攻擊面監控；
• 數據泄漏檢測；
• 數字足跡管理；
• 數字化風險監控；
• 外部攻擊面管理。

而為了更好地理解ASM，我們需要首先重點了解ASM不是什么：

圖片

根據以上的概念對比，研究人員認為一套完善的ASM方案應該包括以下關鍵功能：

• 自動化識別外部攻擊面可見性的缺口；
• 發現組織已知和未知的數字化資產、系統和影子IT；
• 從組織全局視角全面評估各分支機構和部門的安全風險；
• 實現持續的數字化應用可觀察性和風險管理；
• 識別外部可見性缺口；
• 基于數字化業務風險的漏洞發現和優先排序。

ASM方案選型建議

在諸多市場因素的共同驅動下，ASM應用正在迅速興起。它提供了對已知和未知資產的持續發現、測試和優先級排序，以及對全球外部攻擊面的暴露。越來越多的公司使用ASM技術來彌補傳統漏洞管理工具和滲透測試服務之間的安全性缺口。而網絡安全行業中目前也不乏ASM供應商，它們主要分為以下類型： 

• 基于安全專家團隊的ASM服務：很多傳統的滲透測試服務和漏洞評估服務都是依賴專業人員人工來測試網絡安全性，并以月度或季度為基礎提供服務；
• 純技術ASM解決方案：通過攻擊面管理工具或掃描器來查看互聯網上的內容，并使用風險評分來優先考慮危害性更大的風險；
• 混合ASM服務：將人類直覺與自動化技術結合起來，以發現更多漏洞并過濾優先級警報。

企業需要基于自己的整體安全目標和管理需求來選擇合適的ASM供應商，以下評估因素可以幫助企業安全領導者選型ASM供應商，并加快決策。

01商業名譽

這個供應商是否是ASM領域的新玩家？其在進攻性安全能力構建方面有著成熟的歷史實踐和案例積累？通常情況下，選擇有經驗的ASM供應商意味著更便捷的建設流程、快速高效的支持團隊以及可靠的建設方法來增強安全性。

02令人信服的價值證明

價值證明（POV）是一種網絡安全方案選型時的標準實踐，通過深入研究大量技術或服務方面的特定用例，可以證明服務商所提議策略的有效性。因此，企業在選型時，比較潛在供應商之間的POV，往往會有助于安全團隊評估誰更能滿足他們的ASM應用需求。

03POC測試 

在正式確定ASM供應商之前，必須通過指導演示或網絡研討會對ASM工具進行關鍵性能力測試，這不僅可以讓您的團隊實際體驗產品的可用性和易用性，還能具體提出有關產品功能的尖銳問題，并比較出不同ASM工具之間的差異和特性。

04第三方驗證

獲得第三方研究/測評機構的認可是確認ASM平臺有效性可靠途徑之一。這些第三方組織的分析師會對來自技術提供商的信息進行事實審查，以識別具有創新性的解決方案。

為了更好地了解ASM服務商和技術方案的具體功能和特點，建議企業在選型時進一步詢問以下問題：

• 您認為的攻擊面管理中最重要的任務有哪些？誰是潛在的威脅行為者？
• 系統是否支持持續性地管理？可以多久運行一次安全性滲透測試？
• 對攻擊面相關數據的采集是否全面？采集數據的及時性和時效性如何？
• 當企業中有新的數據資產上線時，是否能夠及時發現并管理？
• ASM方案能夠幫助企業進行持續性滲透測試？具體的做法是什么？
• 是否支持自動化的暴露面補救工作？是如何支持的？
• 如何管理風險警報的數量？是否會存在報警疲勞？
• ASM技術應用后是否會存在影響業務開展的風險因素？
• 攻擊者最有可能利用哪些暴露？我應該首先修復哪些漏洞？

參考鏈接：https://www.netspi.com/resources/guides/how-to-use-attack-surface-management-for-continuous-pentesting/