攻擊面管理不是“表面文章”

近年來，隨著越來越多的企業和網絡安全企業開始質疑流行了幾十年的被動式網絡防御方法，主動安全方法的關注熱度一路攀升。而攻擊面管理（ASM），正是企業邁向主動安全的第一步。

企業不斷增長的攻擊面使保護關鍵資產和基礎設施變得復雜和更具挑戰性。例如常見的影子IT問題，以及大量未知、未管理或管理不善的在互聯網上暴露的資產讓很多企業深受其害。

攻擊面管理是一種方法

攻擊面管理屬于暴露管理（EM）的一種，其他暴露管理還包括漏洞管理和驗證管理等。

攻擊面管理是企業主動安全策略成敗的關鍵，但是業界對攻擊面的理解往往存在誤區，導致不少人認為攻擊面管理是“表面文章”。事實上，攻擊面是指可能暴露在網絡攻擊中可被利用的所有資產，即包括面向外部的資產，例如公共云、臺式機，也包括企業內部資產。

攻擊面管理還經常被歪曲為特定的解決方案或流程，此類說法多見諸于過于熱情的廠商營銷。其實攻擊面管理并非一個工具，而是一種包含多種解決方案和活動的方法。攻擊面管理的目標是識別和減輕業務風險，提高企業的整體安全水平，同時不過多增加安全防御系統的復雜度。

攻擊面管理的三個主要組成部分：

• 外部攻擊面管理（EASM）–經常與攻擊面管理混淆。外部攻擊面管理僅關注面向公眾的資產，如公共云。
• 數字風險保護服務（DRPS）–專注于深入了解來自深網、社交網絡和開放數據容器等來源的威脅情報。這種更先進的功能需要企業具備較高的網絡安全成熟度。
• 網絡資產攻擊面管理（CAASM）–CAASM被認為是攻擊面管理實踐的基石，旨在整理與組織漏洞相關的數據并對其進行有效管理。

為什么攻擊面管理越來越重要？

可靠的攻擊面管理方法對于獲得一致的威脅視圖并確定補救優先級至關重要。如果沒有統一視圖，企業就很難擺脫被動式安全，無法跳出戰術思考看到更大的戰略圖景。此外，統一視圖能夠幫助非技術業務管理者更好地了解CISO和安全部門的工作價值。董事會不想聽到CVE 12345之類的漏洞編號，他們想知道漏洞或威脅的潛在業務影響，以及為什么修復它很重要。

尚未采用攻擊面管理方法的企業仍然著眼于具體的漏洞而不是業務風險。這導致企業業務部門和管理層很難理解安全團隊的工作，更不用說確定優先級了。

還有一些企業準備實施攻擊面管理，但沒有正確的工具和流程。許多企業仍在使用Excel電子表格來跟蹤其內部和外部風險管理。這給所有相關人員帶來了不必要的手動工作量，效率極低，并且更有可能漏掉關鍵風險。

實施攻擊面管理的主要挑戰

實施攻擊面管理的第一個重要挑戰是了解相關安全需求，以及它如何與其他類似安全管理方法（例如漏洞和驗證管理）配合使用。接下來是將這些需求傳達給董事會，并確保他們對必要投資的支持。

第二個挑戰是克服劃分業務的IT孤島。外部和內部安全團隊往往不在一個頻道上。（更不用說其他與安全相關的部門，例如DevOps、云和Web團隊。

每個團隊都有自己的議程，有自己獨特的工具和流程。即使在同一個團隊中，也可能有多個互不關聯的解決方案——從漏洞掃描程序到代碼配置。

為了構建有效、統一的攻擊面管理方法，企業首先需要打通孤島，在所有相關業務領域建立標準化視圖。所有風險數據都應以相同的格式流向同一點，同時保持可見，以便CISO能清晰直觀地看到所有內容。

企業規模越大，經營時間越久，各獨立部門之間的梳理和溝通工作就越復雜和困難。規模較小的企業反而更加靈活，容易建立跨部門的標準化視圖。

圍繞攻擊面管理統一安全管理

攻擊面管理并非“表面文章”，組合多種工具聚合各種威脅和漏洞數據源，建立網絡風險的單一管理視圖主動識別潛在威脅，是一個艱巨而長期的任務。

圍繞攻擊面管理統一安全管理的第一步是協調每個人和每個團隊。（說起來容易做起來難。必須有一個統一的風險愿景和通用的KPI來緩解漏洞，才能從單個參考點對整個組織的風險進行優先級排序。）

隨著孤島的消失，安全團隊還需要優化流程、工具和任務，消除冗余，并采用自動化技術進一步提高團隊的生產力。隨著內部攻擊面管理戰略的成熟，公司可以擴大其范圍，開始實施網絡資產攻擊面管理（CAASM）并擴大威脅情報源。