2021年7月，全球權(quán)威IT研究顧問機(jī)構(gòu)Gartner發(fā)布了《2021安全運(yùn)營技術(shù)成熟度曲線》(《Hype Cycle for Security Operations, 2021》)，將攻擊面管理(Attack Surface Management, ASM)相關(guān)技術(shù)定義為新興技術(shù)。早在2018年Gartner就已經(jīng)提出攻擊面的概念，并將攻擊面納為整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理計(jì)劃的一部分。

從最初提出概念到當(dāng)下的重要新興技術(shù)，攻擊面管理已經(jīng)經(jīng)歷三年多的概念演進(jìn)。但是到目前為止，攻擊面并無統(tǒng)一定義，業(yè)內(nèi)一般認(rèn)為，攻擊面(Attack Surface)也稱為攻擊表面、外部攻擊面(External Attack Surface)或數(shù)字攻擊面(Digital Attack Surface)，是所有網(wǎng)絡(luò)資產(chǎn)中外部可利用性的總和。

從過去的實(shí)踐來看，企業(yè)網(wǎng)絡(luò)資產(chǎn)安全的攻擊面可以簡單理解為可被利用的漏洞總和，更準(zhǔn)確的說法是「未經(jīng)授權(quán)即能訪問和利用企業(yè)資產(chǎn)的所有可能入口的總和」，包括未經(jīng)授權(quán)的可訪問的硬件、軟件和云等IT系統(tǒng)，同樣也包括人、業(yè)務(wù)流程等。隨著信息化、云化的發(fā)展，以及不斷深入的數(shù)字化進(jìn)程，企業(yè)網(wǎng)絡(luò)攻擊面管理已是新一代網(wǎng)絡(luò)安全防御體系的必然選擇。

攻擊面管理的核心是攻擊者視角

隨著國家級(jí)攻防演練活動(dòng)的深入，在攻防博弈中，攻擊面往往成為攻守易勢的關(guān)鍵。在Gartner報(bào)告中，網(wǎng)絡(luò)資產(chǎn)攻擊面管理(Cyber Assets Attack Surface Management, CAASM)用于解決持續(xù)資產(chǎn)可見性和漏洞問題。外部攻擊面管理(External Attack Surface Management, EASM)是從外部攻擊者視角對(duì)組織的攻擊面進(jìn)行持續(xù)發(fā)現(xiàn)、清點(diǎn)、分類、優(yōu)先級(jí)排序和監(jiān)控的整個(gè)過程。無論是CAASM還是EASM，當(dāng)下的攻擊面管理已經(jīng)不僅僅關(guān)注已知的資產(chǎn)漏洞，也包括未知資產(chǎn)(隱匿資產(chǎn)、老化資產(chǎn)、影子資產(chǎn))、泄漏數(shù)據(jù)、流氓資產(chǎn)(釣魚、仿冒網(wǎng)站)和供應(yīng)商(包括開源組件等)資產(chǎn)等。

攻擊面管理(ASM)是一種從攻擊者的角度對(duì)企業(yè)網(wǎng)絡(luò)攻擊面進(jìn)行檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法，其最大特性就是以外部視角來審視企業(yè)網(wǎng)絡(luò)資產(chǎn)可能存在的攻擊面及脆弱性，重點(diǎn)關(guān)注邊界處存在可被利用的攻擊可能性，強(qiáng)調(diào)整個(gè)企業(yè)資產(chǎn)可能存在的脆弱性，而不僅僅是已知資產(chǎn)和已知漏洞。通過外部攻擊者視角來審視資產(chǎn)安全性的方式，安全團(tuán)隊(duì)更易于發(fā)現(xiàn)資產(chǎn)存在可能被攻擊的弱點(diǎn)，從而根據(jù)資產(chǎn)的重要性和風(fēng)險(xiǎn)的優(yōu)先級(jí)對(duì)資產(chǎn)進(jìn)行修復(fù)。通過攻擊面管理的持續(xù)監(jiān)控能力，可以持續(xù)發(fā)現(xiàn)資產(chǎn)漏洞和潛在風(fēng)險(xiǎn)。

由于ASM的獨(dú)特視角而體現(xiàn)出的系統(tǒng)風(fēng)險(xiǎn)的管控能力，已經(jīng)越來越受到安全團(tuán)隊(duì)的重視。尤其是近年來，隨著越來越多的勒索軟件(Ransomware)和供應(yīng)鏈攻擊(Supply Chain Attack, SCA)的出現(xiàn)，傳統(tǒng)的資產(chǎn)漏洞管理方式難以起到真正的作用，而更加全面的攻擊面管理已經(jīng)成為新一代的資產(chǎn)漏洞完整應(yīng)對(duì)方案，所以Gartner等分析機(jī)構(gòu)都建議將ASM作為安全團(tuán)隊(duì)的網(wǎng)絡(luò)安全防御體系的優(yōu)先事項(xiàng)。

攻擊面管理不僅僅關(guān)注已知資產(chǎn)

網(wǎng)絡(luò)資產(chǎn)漏洞管理是已經(jīng)成為企業(yè)安全管理的核心內(nèi)容。傳統(tǒng)的資產(chǎn)漏洞安全管理通過對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行清點(diǎn)、分析、監(jiān)視等相應(yīng)的安全行動(dòng)，保證企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全。然而，目前主流的資產(chǎn)漏洞管理方法普遍針對(duì)已知資產(chǎn)進(jìn)行管理，管理的范圍和內(nèi)容是相對(duì)明確的。

事實(shí)上，一般企業(yè)的網(wǎng)絡(luò)資產(chǎn)不僅有已知資產(chǎn)，還包括未知資產(chǎn)、流氓資產(chǎn)和供應(yīng)商資產(chǎn)，它們組成了完整的企業(yè)網(wǎng)絡(luò)資產(chǎn)，相互聯(lián)系作用、共同影響和決定企業(yè)的資產(chǎn)安全性。

因此，傳統(tǒng)的資產(chǎn)漏洞管理方式局限性在于對(duì)于未知資產(chǎn)、流氓資產(chǎn)和供應(yīng)商資產(chǎn)缺少系統(tǒng)有效的監(jiān)控和管理，難以避免上述資產(chǎn)對(duì)企業(yè)整體網(wǎng)絡(luò)安全性造成的影響，也就無法形成對(duì)企業(yè)資產(chǎn)的全面保護(hù)。根據(jù)歷年的攻防演習(xí)的成果來看，真正造成影響的網(wǎng)絡(luò)攻擊，恰恰是由上述資產(chǎn)造成的。ASM的提出與發(fā)展正是對(duì)當(dāng)前情況的思考和探索，解決的核心痛點(diǎn)就是對(duì)未知風(fēng)險(xiǎn)管制，尤其是未知攻擊面的全面發(fā)現(xiàn)、實(shí)時(shí)監(jiān)視與及時(shí)預(yù)警。

舉例來說，在未知資產(chǎn)中，影子資產(chǎn)是備受關(guān)注的一項(xiàng)內(nèi)容。根據(jù)Gartner分析師Simon Mingay定義，影子資產(chǎn)包括“在正式IT組織的正式控制之外對(duì)IT解決方案進(jìn)行收購、開發(fā)或運(yùn)營的資產(chǎn)”。影子資產(chǎn)危險(xiǎn)在于未知和不可預(yù)見的威脅。近年來，影子資產(chǎn)已經(jīng)被視為主要的安全風(fēng)險(xiǎn)，越來越多的安全團(tuán)隊(duì)對(duì)影子資產(chǎn)的重視程度不斷提高，消除這些未知資產(chǎn)對(duì)于降低威脅甚至更加重要。傳統(tǒng)的滲透測試和紅隊(duì)測試雖然可以洞察攻擊者的角度，但偵察和攻擊通常是在受控環(huán)境中或針對(duì)IT環(huán)境的特定方面發(fā)起，所以大多數(shù)環(huán)境的變化和擴(kuò)展性使漏洞不易被注意，而當(dāng)漏洞和漏洞利用被披露時(shí)，安全團(tuán)隊(duì)必須比攻擊者行動(dòng)得更快，而這只有持續(xù)繪制攻擊面才有可能被實(shí)現(xiàn)。所以，企業(yè)借助ASM可以快速關(guān)閉影子IT資產(chǎn)、未知和孤立的應(yīng)用程序、暴露的數(shù)據(jù)庫和API，以及其他潛在的入口，以緩解出現(xiàn)的任何威脅。

攻擊面管理更關(guān)注持續(xù)監(jiān)控的能力

一般來說，常規(guī)的漏洞評(píng)估方法主要通過檢測、分析、預(yù)警、處置這樣的方法對(duì)資產(chǎn)漏洞進(jìn)行安全管理。ASM更強(qiáng)調(diào)在此之后的持續(xù)監(jiān)控，從而形成了完整資產(chǎn)漏洞安全管理閉環(huán)。華云安認(rèn)為，ASM持續(xù)監(jiān)控的本質(zhì)，是對(duì)具有風(fēng)險(xiǎn)的攻擊面進(jìn)行特別關(guān)注，持續(xù)跟蹤，并對(duì)數(shù)據(jù)進(jìn)行分析對(duì)比，從而保證企業(yè)資產(chǎn)的長期安全可靠。

由于現(xiàn)實(shí)中的網(wǎng)絡(luò)攻擊往往是連續(xù)的、持久的、體系化的，所以少量的漏洞封堵無法從根本上規(guī)避企業(yè)資產(chǎn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，況且漏洞并不是全部的攻擊面：

1)漏洞直接作用的攻擊面，漏洞直接作用的攻擊面往往是傳統(tǒng)管理方法的重點(diǎn)，通過補(bǔ)丁更新、版本升級(jí)等方式修改系統(tǒng)漏洞;

2)與漏洞相關(guān)的攻擊面，由于漏洞作用的攻擊面通常不止漏洞本身，往往與漏洞相關(guān)攻擊面也會(huì)受到牽連，因此對(duì)漏洞相關(guān)面的持續(xù)監(jiān)控是ASM的主要監(jiān)控內(nèi)容;

3)與攻擊面相關(guān)的資產(chǎn)，受漏洞影響的攻擊面相關(guān)資產(chǎn)，往往是黑客攻擊的主要目標(biāo)，需要通過持續(xù)跟蹤實(shí)現(xiàn)對(duì)資產(chǎn)的安全保護(hù)。

ASM通過強(qiáng)調(diào)持續(xù)跟蹤，實(shí)現(xiàn)資產(chǎn)安全的閉環(huán)管理，為企業(yè)提供了更加有力的安全保障。

結(jié)語

綜上撰述，攻擊面管理將安全思維從被動(dòng)防御重新調(diào)整為主動(dòng)攻擊，這使安全團(tuán)隊(duì)能夠更好地確定攻擊面的優(yōu)先級(jí)，從而進(jìn)一步有效地提高企業(yè)安全防御能力。

攻擊面管理作為網(wǎng)絡(luò)安全未來發(fā)展的重要方向之一，越來越受到安全團(tuán)隊(duì)的重視。攻擊面管理的核心內(nèi)容是以外部視角對(duì)企業(yè)的資產(chǎn)進(jìn)行風(fēng)險(xiǎn)管控，從而實(shí)現(xiàn)對(duì)攻擊面的全面管理，降低企業(yè)在各類活動(dòng)中的受到攻擊的幾率。

因?yàn)?ldquo;難攻”，所以部署后必然“易守”。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）