眾所周知，被動的網絡防御已經淪為一種漸漸失效的安全策略，攻擊面管理 (ASM) 是向進攻性或主動式安全方式轉變的開始。企業開始意識到，他們可以看到外部遠遠超出自己邊界的情況，盡早洞察內部威脅，并采取適當措施來緩解威脅和降低風險。

主動安全策略意味著防御方（企業）必須像攻擊者一樣看到整個攻擊面，這樣做將使企業能夠使用持續測試來確定補救措施的優先級并驗證防御的有效性，從而比潛在的攻擊者領先一步。但是，大多數企業在考慮安全性時通常不會占據這一有利位置，并且還沒有尋求諸如外部攻擊面管理 (EASM) 之類的策略來保護自身的安全。

不過，EASM 已經在企業的主動安全保護實踐中發揮了關鍵作用，并且必然會在網絡安全的未來發揮價值。以下是企業如何更好地了解攻擊面管理的演變以及他們可以為未來的安全建設做準備的幾種方式。

當今的攻擊面管理

目前，不斷增長的暴露面和攻擊面使得企業保護關鍵資產和基礎設施變得復雜。影子資產成為是一個常見又重要的問題，許多企業已經受到未知、未管理或管理不善的面向互聯網的資產的危害。

這種對管理網絡風險的深切擔憂已經上升到企業領導層的最高層。由于網絡攻擊導致的業務風險增加，高管和公司董事會越來越多地要求更深入地了解其組織的安全風險。此外，他們還要求通過實時數據分析和更好的項目管理來提供精準的指標。

如今，大多數安全團隊采用手動的、多線程的類似 ASM 的流程，通過提供一系列面向外部資產和風險概況的情報來幫助他們管理風險。EASM 解決方案從攻擊者的角度，以連續和自主的方式探測企業的可發現攻擊面，幫助企業評估攻擊的可能性及其弱點的影響。

雖然 ASM 流程對企業的整體安全狀況已經做出了重大改進，但 EASM 解決方案仍然可以而且應該做很多事情來提高效率和易用性。

盡管當今的 EASM 解決方案提供了許多與資產洞察相關的能力，但它們無法讓企業實時做出更好的基于風險的決策，從而讓企業避免遭受直接的攻擊威脅和第三方風險影響。

關于EASM的未來預測

EASM 解決方案將成為大型企業的重要安全投資。Gartner 在其 《2022 年安全運營入門》中闡述了這一點；“要取得成功，安全與風險管理領導者必須更好地了解不斷擴大的攻擊面?！?/p>

那么，企業領導者應該對他們在攻擊面管理方面的投資有什么期望呢？

預測1：EASM 將整合更多的數字業務風險能力，以提高其價值和投資回報率。

企業越來越受到可見性的困擾，淹沒在海量的威脅情報中。這意味著他們難以發現、分類、優先排序和管理面向互聯網的資產，這使他們容易受到攻擊并且無法主動保護資產的安全。

隨著攻擊面的擴大，企業無法將其工作局限在識別、發現和監控方面，還必須通過增加持續的測試和驗證來改進他們的安全管理。

為了使 EASM 解決方案更有效并減少團隊需要管理的工具數量，應該將 EASM 與漏洞管理和威脅情報相結合，這種更全面的方法可通過單一解決方案解決業務和 IT 風險。

當安全廠商將威脅情報和漏洞管理集成到 EASM 解決方案中時，除了使企業內的業務線能夠根據業務價值分配風險評分之外，價值還會呈指數級增長。然后，IT 安全部門、風險經理和業務負責人可以聯合起來做出基于風險的決策。

預測2：EASM 將走向自動化，從而節省時間、金錢和精力。

EASM 解決方案應該能讓企業輕松應對。由于各業務團隊已經身處海量數據資產中，因此 EASM 解決方案在未來將旨在為安全團隊的工作流程增加價值，而不是增加他們必須篩選的數據量，通過改進的自動化方式將能夠達成這一點。

自動化有助于實現清晰和明確，它能夠回答諸如“這些數據有多準確？”、以及“我的緩解措施是否精準？”這樣的問題。

然而，太多的企業仍然依賴電子表格來管理他們的攻擊面。手動更新可能一年才進行一次，每次需要 40 到 80 小時來編制一份并不完整的攻擊面清單。當然，攻擊者幾乎不需要那么長時間就能找到暴露的資產并對其進行破壞。攻防雙方識別攻擊面所需的時間和覆蓋度差異將給企業帶來風險。

隨著 EASM 解決方案的成熟，自動化呈現 360 度攻擊面視圖將安全人員從繁瑣的工作中解放出來。這樣的解決方案將有助于通過可攻擊的內容確定弱點的優先級，然后安全人員可以專注于降低業務風險，從而使業務獲得更大收益。

面向未來做出更有效的安全防護

安全419了解到，在國內，EASM 尚處于起步階段，首家專注于 EASM 領域的安全廠商零零信安推出了00SEC-ASM攻擊面管理系統，通過將組織機構與其不斷發展的數字足跡進行映射、與漏洞情報數據進行關聯， 并持續發現業務數據和代碼泄露、組織機構和人員信息的泄露、以及對供應鏈的攻擊面進行檢測， 通過對全球開放網絡和非公開網絡的數千個情報源、數百億量級數據、本組織自身業務上下文等進行大量數據采集和弱點優先級分析， 為組織機構輸出攻擊面情報，以提供給本組織更高級別的主動防御。

Log4j等影響深遠的漏洞事件已經向安全團隊展示了他們對外部 IT 資產知之甚少。如果我們要從攻擊者發現和利用此漏洞的頻率和速度方面學到一些教訓，那么便是企業應該在攻擊面管理、漏洞優先級評估等方面做出積極主動的實踐。