外部攻击面管理的三大趋势

在网络安全行业流行了几十年的被动式（反应性）网络防御已经被证明是一种失败的策略。该策略看上去更具成本效益，对品牌更友好，唯一美中不足的是，防不住重大攻击，平均检测和响应时间等关键考核指标也越来越难看。

越来越受到业界关注的攻击面管理(ASM)和外部攻击面管理（EASM）只是迈向进攻性或主动式安全方法的第一步。企业第一次意识到，他们可以看到安全边界之外的险恶世界，及早洞察入站威胁，并快速采取应对措施来缓解威胁和降低风险。

主动式安全方法意味着企业必须像攻击者观察整个攻击面，从而能够抢在攻击者之前通过持续测试来确定缓解措施的优先级并验证措施的有效性。但是，大多数企业还没有改变传统安全观念，还没有实施外部攻击面管理(EASM)等主动策略来确保自身安全。

今天，EASM已经开始在企业的主动安全保护中发挥关键作用。以下，我们将重点介绍企业应该关注的攻击面管理现状，以及外部攻击面管理的三大发展趋势：

今天，虽然企业越来越关注网络安全，但是不断增长的攻击面使保护关键资产和基础设施变得复杂和更具挑战性。例如常见的影子IT问题，大量未知、未管理或管理不善的在互联网上暴露的资产让很多企业深受其害。

对网络安全风险管理的深切关注已经上升到企业最高管理层。由于网络攻击导致的业务风险不断增长，企业高管和公司董事越来越多地要求更深入地了解企业的安全风险。此外，他们还要求通过实时数据分析和更好的项目管理来提供正式的安全管理指标。

如今，大多数安全团队仍然采用手动的、多线程的类似ASM的流程，通过提供一系列面向外部资产和风险概况的快照来管理风险。而EASM解决方案则能从攻击者的角度，持续自动评估企业的可发现攻击面。而且，EASM解决方案使团队能够评估攻击的可能性及其弱点的影响。

虽然通过部署ASM流程，企业的整体安全状况已经获得了重大改进，但EASM解决方案仍然可以用来进一步提高效率。

企业的安全防御需要情境意识，但不幸的是，目前的ASM方法在这方面存在不足。尽管当今的EASM解决方案提供了许多与资产相关的洞察力，但它们无法让企业实时做出更好的基于风险的决策，从而在财务上将企业与直接威胁和第三方风险隔离开来。最后，EASM解决方案也并非旨在全面管理数字业务风险。

EASM解决方案将成为大型企业的首要安全投资。Gartner在其2022年安全运营入门报告中强调了这一点：“要取得成功，安全与风险管理领导者必须……更好地了解不断扩大的攻击面。”

那么，企业安全领导者们对主动攻击面管理有什么期望呢？相应地，EASM的发展趋势是什么呢？

组织越来越多地遭受能见度差、威胁情报超载以及安全工具不足的困扰。这意味着他们难以发现、分类、优先排序和管理面向互联网的资产，这导致他们容易受到攻击并且无法主动保护他们的企业。

随着攻击面的扩大，企业的安全防护工作不能仅局限于识别、发现和监控威胁上，还必须增加持续的测试和验证来改进安全管理。

为了使EASM解决方案更有效并减少团队需要管理的工具数量，提高团队效率，EASM解决方案还需要与漏洞管理和威胁情报相结合，通过单一解决方案解决业务和IT风险。

当安全厂商将威胁情报和漏洞管理集成到EASM解决方案中时，企业用户的业务线能够根据业务价值分配风险评分。然后，IT安全、风险经理和业务负责人可以联合做出明智的、基于风险的决策，帮助企业在当今危险的业务环境中生存下来。

企业的安全团队已经“浸泡在数据中”，EASM解决方案将为企业安全团队的工作流程增加价值，而不是增加数据量，这要感谢自动化的引入。

自动化有助于实现精准管理。它回答了诸如“这些数据有多准确？”之类的问题，以及“我的缓解措施是否准确？”

然而，太多的企业仍然依赖电子表格来管理他们的攻击面。手动更新最少一年进行一次，每次需要40到80小时来编译（不）完整的攻击面清单。当然，攻击者可不需要那么长时间就能找到企业暴露的资产并对其进行破坏。企业识别攻击面所需的时间与攻击者利用漏洞的速度之间的差距就是企业目前面临的最大安全风险。

不断成熟的EASM方案将能通过自动化呈现360度攻击面视图，为安全团队节省大量时间和精力用来专注于业务风险。EASM方案还将有助于确定漏洞的优先级，然后安全团队可以专注于降低业务风险，从而使业务受益。

显而易见，EASM解决方案需要与威胁情报源集成。通过这种方式，企业可以获得有关如何确定资产、依赖项和漏洞优先级的决策所需的透明度。

尽管一个好的威胁情报提供商可以告诉你谁是攻击者，甚至谁可能会攻击你，但这只是目标局部。从业务风险的角度来看，威胁情报缺乏未来EASM解决方案所具备的功能维度和价值，二者没有替代关系。