Forrester：攻擊面管理不僅僅是工具

2021年年底爆發的Log4J漏洞，充分證明了網絡資產可見性的重要性。日益增長的影子IT，復雜的第三方伙伴、合作伙伴的往來活動，無處不在的網絡連接和聯網設備……如果沒有足夠的可見性，就沒有AIDM（應用程序與基礎設施的依賴關系映射）。自然，也就不能向應用程序和信息系統打上合適的補丁。這就是攻擊面管理(ASM)的出現原因。

調研機構Forrester在2022年初發布的報告中將ASM定義為“持續發現、識別、清點和評估實體IT資產風險的過程”。一個機構的攻擊面不僅僅是指那些互聯網訪問，還包括整個信息環境。將ASM工具與內部安全控制流程、CMDB、以及其他資產跟蹤管理平臺整合起來，就能夠完全映射企業中的所有連接和資產。

用戶也對ASM解決方案表示認可，尤其是其可視性、節省時間和排定風險優先級的能力上。在Forrester的調查研究采訪中，一位汽車交易行業的安全工程師表示：“（ASM工具）發現的資產比我們想象的多50%。”另一家ISP的網絡安全架構師則表示：“（ASM）是必備的安全措施。”

Forrester高級分析師Jess Burn認為，雖然有幾家安全公司專注于提供ASM的獨立解決方案，但可能這些廠商的未來都會走向收并購，收并購方應該是一些提供威脅情報、漏洞管理、檢測和響應的廠商。Burn相信，ASM將在未來12到18個月內成為以上這些領域的標準能力。Log4j漏洞證明了這一點，因為它加速了開源軟件管理和SBOM的關鍵性。

Burn強調，ASM應該被視為一個由工具驅動的項目，而不僅僅是一個工具或一種功能。應該利用它將相互沖突的優先級事項聚集在一起。如果機構組織希望實現AIDM，那么將ASM項目的目標與更高的可視性、可觀察性并列起來，并將其視做為AIDM的關鍵因素，就能夠把安全、技術和業務部門的團隊和領導人聯合在一起，這是以前的漏洞風險管理、內部補丁的SLA(服務等級協議)永遠難以企及的。

事實上，ASM項目應該是一個融合或矩陣式組織，跨越多個利益相關者，包括基礎設施和運營、應用程序開發和交付、安全、風險、合規性、隱私、營銷、社交媒體等。