云設施的廣泛采用、組織網絡的迅速發展，以及工作方式轉向遠程，直接導致了組織攻擊面大幅擴展，連接架構中盲點增多。

攻擊面擴展，加之監控分散，帶來了人們不愿見到的結果：成功的網絡攻擊顯著增加。除了臭名昭著的勒索軟件，攻擊也涵蓋一系列其他類型。主要問題是，網絡攻擊者利用無人監控的盲點來破壞組織的基礎設施，將攻擊縱向升級或橫向遷移，以謀取有價值的信息。

發現攻擊是問題所在。大多數組織快速發展，但追蹤所有變化內容的能力尚未跟上。要迎頭趕上而對所有過去和現有資產進行編目，這一任務常被認為徒勞無益，十分復雜且耗費資源。

然而，鑒于被成功入侵的潛在代價，以及網絡攻擊者識別和使用暴露資產的能力增強，任何資產不受監控都可能導致災難性后果。

這也就是攻擊面管理 (ASM) 等新興技術的用武之地。

什么是攻擊面？

攻擊面是指所有通過互聯網訪問處理或存儲數據的硬件、軟件、SaaS 和云資產，也可以將其視為可被網絡犯罪分子利用來操縱網絡或系統以提取數據的攻擊向總和。攻擊面包括：

• 已知資產：庫存和管理的資產，例如公司網站、服務器以及依賴它們運行的內容；
• 未知資產：例如影子IT或孤立的IT基礎設施，這些基礎設施超出了安全團隊的權限范圍，例如被遺忘的開發網站或營銷網站；
• 流氓資產：由威脅行為者啟動的惡意基礎設施，例如惡意軟件、域名搶注或冒充域名的網站或移動應用程序等；
• 供應商：攻擊面不僅限于組織自身，第三方和第四方供應商同樣會引入重大的第三方風險和第四方風險。即便是小型供應商也可能導致大規模數據泄露。

什么是攻擊面管理 (ASM) ？

ASM 是一種挖掘互聯網數據集和證書數據庫，或模擬攻擊者偵察手段的技術。這兩種方式都旨在對排查過程中發現的組織資產進行全面分析，亦包括掃描域、子域、IP、端口、影子 IT 等來排查面向互聯網的資產，然后對其進行分析以找出漏洞和安全隱患。

高級ASM包括針對每個暴露的安全隱患提供可行解決建議，例如清理未使用和不必要的資產以減少攻擊面，或對個人提出警告，告知其電子郵件地址隨時可被用于網絡釣魚攻擊。

ASM 亦包括就開放源情報 (OSINT) 進行報告，這些情報包括公開在社交媒體，甚至視頻、網絡研討會、公開演講和會議等材料上的個人信息，可能會被用于社會工程攻擊或網絡釣魚活動。

攻擊面管理非常重要，它有助于預防和減輕來自以下的風險：

• 遺留、物聯網和影子IT資產；
• 網絡釣魚和數據泄露等人為錯誤和疏忽；
• 易受攻擊和過時的軟件；
• 未知的開源軟件（OSS）；
• 針對組織的有針對性網絡攻擊；
• 針對所屬行業的大規模攻擊；
• 侵犯知識產權；
• 從并購活動中繼承的IT資產；
• 供應商管理資產。

總而言之，ASM 的目標是確保所有暴露的資產都處于監控狀態，并消除任何可能被攻擊者利用來打入企業系統的盲點。

誰將需要 ASM ？

在關于“2021年網絡安全有效性狀態”的網絡研討會上，“網絡布道師”大衛·克萊因(David Klein)恰好談到了Cymulate用戶采用ASM前未予以關注的發現。在采用ASM之前，他們未意識到，這一群體當中:

• 80% 沒有反欺詐SPF 郵件記錄
• 77% 網站缺乏保護
• 60% 有暴露的賬戶、基礎設施和管理服務
• 58% 郵件帳戶曾被黑客入侵
• 37% 使用外部托管的 Java
• 26% 沒有為域名配置DMARC記錄
• 23% SSL證書與主機名不匹配

人們一旦認識到這些安全漏洞其實就可以將之彌補，但在此之前，對這類暴露漏洞如此一無所知才真正令人擔憂。

本分析中的 ASM 用戶來自大量垂直行業、所屬多種地區和組織規模。這也表明，任何擁有連網基礎設施的組織都應將ASM納入其網絡安全基礎設施，然后從這一舉措中受益。

從哪可以獲取ASM？

ASM技術雖然還很新，但其供應商數量正與日俱增。同樣，考慮將ASM納入一個先進平臺而非獨立產品效果更顯著。

ASM解決方案的重點部分取決于與之關聯的產品體系。因此，基于擴展掃描能力，與端點檢測和響應(EDR)等響應式套件相關聯的ASM解決方案更有可能，而納入主動式平臺(如擴展安全態勢管理(XSPM))內部的ASM解決方案則更可能專注于利用掃描能力，對模擬網絡攻擊者的偵察手段和工具詳細展開。

選擇集成ASM有助于將涉及組織安全狀況的數據集中在一個單一虛擬管理平臺，從而降低安全運營中心(SOC)團隊數據過載的風險。

研究機構Forrester在攻擊面管理報告中列出ASM應用的幾點建議：ASM不應僅被視為一種工具或能力，而應是工具賦能的一種規劃，并且應當利用它將優先級相互沖突的團隊凝聚起來。如果組織力求應用程序和基礎設施的依賴關系映射達到預期狀態，那么讓ASM規劃的目標更具可見性、進而提高可觀察性，并將之視為達到這個預期狀態的關鍵手段，就可以統一安全、技術、業務領導及團隊成員，這是漏洞風險管理和內部補丁服務等級協議(SLA)肯定無法做到的。

攻擊面管理對組織來說是性價比非常高的安全工作。有效收斂攻擊面可以讓組織在投入最低成本的情況下，最大程度降低對外暴露的安全風險。對于中大型網絡來說，可以通過自建或采購安全策略管理平臺方式實現系統化、自動化的攻擊面管理。

參考鏈接：https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html