韓燕萍

研究發(fā)現(xiàn)，行業(yè)正在努力跟上數(shù)字環(huán)境的快速擴張和不斷變化的步伐，但缺乏有效做到這一點所需的工具和流程，結(jié)果導(dǎo)致了真正暴露給攻擊者的風(fēng)險，與安全團(tuán)隊已知的風(fēng)險之間的差距越來越大。

了解企業(yè)資產(chǎn)存在的暴露面，掌握這些暴露面的潛在風(fēng)險是開展有效安全計劃的基礎(chǔ)。為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，Randori與ESG開展了一項調(diào)查，對398位企業(yè)安全團(tuán)隊負(fù)責(zé)人進(jìn)行了訪談和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報告》，報告數(shù)據(jù)顯示：

67 %的受訪組織表示，他們的外部攻擊面在過去12個月中擴大了；

69 %的組織因未知、未受管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅；

組織平均需要80 h來更新其攻擊面清單；

70 %的組織使用至少10種解決方案來管理其安全衛(wèi)生狀態(tài)；

近3/4的組織仍然依靠電子表格來管理他們的攻擊面；

不到1/3的組織擁有正式的外部攻擊面管理解決方案；

外部攻擊面管理是2022年大型企業(yè)的第一投資重點。

研究發(fā)現(xiàn)，行業(yè)正在努力跟上數(shù)字環(huán)境的快速擴張和不斷變化的步伐，但缺乏有效做到這一點所需的工具和流程；結(jié)果導(dǎo)致了真正暴露給攻擊者的風(fēng)險，與安全團(tuán)隊已知的風(fēng)險之間的差距越來越大。研究人員認(rèn)為，以下3種力量成為推動攻擊面管理（ASM）解決方案需求不斷增長的重要因素。

研究報告發(fā)現(xiàn)，在過去一年中，隨著遠(yuǎn)程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)組織的外部攻擊面進(jìn)一步擴大。

從表面上看，攻擊面擴大并不奇怪，因為世界一直朝著更為互聯(lián)和分散的方向發(fā)展，連接到互聯(lián)網(wǎng)的資產(chǎn)數(shù)量自然會增加，攻擊面擴大也是理所當(dāng)然的。但值得警惕的是，導(dǎo)致攻擊面擴張的原因，除了云采用率和SaaS應(yīng)用程序及服務(wù)的增長外，企業(yè)對第三方供應(yīng)商的日益依賴也是重要因素，企業(yè)組織對第三方供應(yīng)商處的資產(chǎn)可見性管理能力不足，這導(dǎo)致了新的風(fēng)險和盲點。

值得慶幸的是，調(diào)查顯示絕大多數(shù)企業(yè)都認(rèn)為應(yīng)該提升對攻擊面的監(jiān)控能力，但這種意識形態(tài)并沒有實際發(fā)揮作用。40 %的受訪企業(yè)仍然依賴于傳統(tǒng)的IT資產(chǎn)管理系統(tǒng)進(jìn)行攻擊面的檢測和發(fā)現(xiàn)，41 %的企業(yè)通過廣泛的網(wǎng)絡(luò)威脅情報系統(tǒng)對新威脅進(jìn)行監(jiān)測。

雖然企業(yè)目前所采用的方案具有一定的價值，但傳統(tǒng)的資產(chǎn)管理系統(tǒng)僅涵蓋企業(yè)的IT和安全團(tuán)隊已知的資產(chǎn)，而網(wǎng)絡(luò)威脅情報解決方案也僅能監(jiān)測已知的威脅。這2種工具都不具備主動發(fā)現(xiàn)未知攻擊面，或?qū)ξ幢黄髽I(yè)重視的攻擊面進(jìn)行管理的能力，而這些恰好是企業(yè)進(jìn)行安全管理的重要驅(qū)動力。

相比之下，專用的ASM解決方案具備自動監(jiān)控和持續(xù)發(fā)現(xiàn)功能，可提高對攻擊面的可見性。但調(diào)查顯示，目前只有34 %的受訪企業(yè)在其安全堆棧中擁有該專用解決方案。這意味著半數(shù)以上的企業(yè)在攻擊面的可見性方面仍處于劣勢，由于未采用專用的ASM工具，這些企業(yè)組織面臨的攻擊威脅風(fēng)險更大。

現(xiàn)有管理流程效率有待提高

2021年12月，Log4j漏洞被披露后，短短5 h內(nèi)，Randori公司就開發(fā)出了一個有效的漏洞利用；48 h內(nèi)，GreyNoise Intelligence等公司便觀察到了針對該漏洞的廣泛利用嘗試。

這表明攻擊者的速度正變得越來越快，攻擊者采取行動時，大多數(shù)的企業(yè)組織卻仍掙扎在了解自身是否暴露的階段。企業(yè)組織平均需要80 h以上來編譯其攻擊面的更新清單，而攻擊者僅需48 h就能開發(fā)出有效的漏洞利用。

當(dāng)被問及“將采取什么行動來改善攻擊面管理”時，31 %的受訪企業(yè)表示將增加專用于發(fā)現(xiàn)和評估外部資產(chǎn)狀況的漏洞掃描頻率；29 %的企業(yè)將根據(jù)關(guān)于資產(chǎn)可利用性的威脅情報，提高分析外部攻擊面中資產(chǎn)并為資產(chǎn)分配風(fēng)險評分的能力；25 %的企業(yè)表示將為安全和IT人員提供更多的攻擊面管理培訓(xùn)。

調(diào)查顯示，73 %的企業(yè)仍在使用電子表格管理企業(yè)攻擊面；34 %的企業(yè)擁有專用的外部攻擊面管理（External Attack SurfaceMmanagement，EASM）解決方案；31 %的企業(yè)將EASM作為2022年的重點投資領(lǐng)域，他們將圍繞其攻擊面管理計劃建立正式的KPI和指標(biāo)，并開始利用EASM解決方案從滲透測試和攻防演練工作中獲得更大的價值。

專用的EASM解決方案能夠消除傳統(tǒng)電子表格在對攻擊面管理時導(dǎo)致的編譯、管理混亂問題。還可以通過持續(xù)監(jiān)控暴露的資產(chǎn)，在新風(fēng)險出現(xiàn)時及時向企業(yè)發(fā)出警報，了解企業(yè)對諸如Log4j等漏洞問題的暴露程度就像檢查員工的電子郵件或登錄控制臺一樣簡單，可大大降低安全團(tuán)隊的工作壓力，降低安全人員倦怠的風(fēng)險。外部攻擊面管理的重要意義體現(xiàn)在多個方面。其中最主要的是，攻擊面是抵御攻擊的第一道防線。如果企業(yè)的攻擊面中有大量未知或未受管理的資產(chǎn)，則可能會隨時遭遇未知攻擊。

對外部攻擊面進(jìn)行管理可以實現(xiàn)對企業(yè)攻擊面的持續(xù)可見性監(jiān)測，能夠幫助企業(yè)更加準(zhǔn)確地評估這些風(fēng)險。一般來說，企業(yè)的攻擊面一直處于變化之中，這也是持續(xù)性監(jiān)測的重要意義所在。

此外，企業(yè)對外部攻擊面管理的了解只是一個開始。隨著企業(yè)的攻擊面不斷擴大，不能僅停留在對風(fēng)險的識別、發(fā)現(xiàn)和監(jiān)控上，企業(yè)還必須能夠通過持續(xù)的測試和驗證來改進(jìn)其安全控制措施，以確保企業(yè)資產(chǎn)和基礎(chǔ)設(shè)施能夠得到妥善的防護(hù)。