攻擊面管理的創新洞察

訊息安全團隊負責識別和管理跨內部和外部數位資產的攻擊面。了解其攻擊面的安全和風險管理領導者可以透過優先考慮安全並提高其可見性來改善其風險態勢。

概述

主要發現

• 隨著技術環境變得越來越複雜和分散，無論是在本地還是在雲中，並且涉及容器、物聯網和網路物理系統，組織必須管理不斷增長的攻擊面。SaaS應用程序和供應鏈接觸點也呈現出新的攻擊面。

• 對於每個組織而言，任何安全缺陷都必須在內部可見，這樣才能建立和維持強大的安全態勢。大多數組織缺乏驗證控制覆蓋率和有效量化數位和網路風險所需的能力。

• 由於面向公眾的數位資產的擴展以及雲基礎設施和應用程序的使用增加，隨著企業IT變得更加分散，需要新的方法來視覺化和優先管理組織的攻擊面。安全和風險管理領導者可以首先將資產和風險上下文聚合到一個平台中，以視覺化他們的攻擊面。

建議

作為安全運營職能的一部分，負責管理其組織的攻擊面的安全和風險管理領導者應該：

• 透過投資以更好地了解其組織的攻擊面的持續擴展，調整他們的安全計劃以應對新技術和業務計劃帶來的威脅。

• 建立攻擊面管理(ASM)流程以實施技術並確定風險的優先級。最初的努力應該集中在攻擊面可見性的需求和不足上。

• 將提供攻擊面評估(ASA)功能的工具和服務與最重要的攻擊面案例相匹配。攻擊面評估(ASA)功能支援重疊但不相同的資產類型和攻擊面管理(ASM)功能。

戰略規劃假設

到2026年，20 %的公司對其所有資產的可見性將超過95%，這將透過實施網路資產攻擊面管理功能來優先考慮風險和控制覆蓋率。

到2026年，與網路資產攻擊面管理、外部攻擊面管理和數位風險保護服務相關的所有功能中，70%將成為更廣泛的、預先存在的安全平台的一部分，而不是由獨立供應商提供。

描述

管理攻擊面涉及三個新興的技術創新領域：

• 網路資產攻擊面管理(CAASM)專注於使安全團隊能夠解決持續存在的資產可見性和漏洞挑戰。它使組織能夠透過API與現有工具查看所有資產（內部和外部） ，查詢合併的數據，識別安全控制中的漏洞範圍和差距，並修復問題。

• 外部攻擊面管理(EASM)使用部署的流程、技術和託管服務來發現面向互聯網的企業資產、系統和相關漏洞，例如可能被利用的服務器、憑據、公共雲服務錯誤配置和第三方合作夥伴軟體程式碼漏洞對手。

• 數位風險保護服務(DRPS)透過技術和服務的組合提供，以保護關鍵數位資產和數據免受外部威脅。這些解決方案提供對開放（表面）網路、社群媒體、暗網和深層網路資源的可見性，以識別對關鍵資產的潛在威脅，並提供有關威脅參與者、他們進行惡意活動的策略和流程的上下文訊息。

然而，由於它們支援的一些使用案例存在重疊，這三個存在一些混淆。外部攻擊面管理(EASM)更加注重技術和運營，支援從事漏洞評估(VA)、滲透測試和威脅搜尋等活動的安全運營專業人員。相比之下，數位風險保護服務(DRPS)主要支援更多以業務為中心的活動，例如企業數位風險評估、合規性和品牌保護。外部攻擊面管理(EASM)和數位風險保護服務(DRPS)之間的另一個重要區別是後者通常提供服務覆蓋，例如刪除。外部攻擊面管理(EASM)主要關注外部資產（並積極掃描），而網路資產攻擊面管理(CAASM)關注內部資產。此外，使用網路資產攻擊面管理(CAASM)， 發現功能主要透過與現有工具（被動）的API來工作，而外部攻擊面管理(EASM)使用一系列來源和方法來掃描互聯網。外部攻擊面管理(EASM)還專注於發現面向外部的資產——其中許多可能不為組織所知——而網路資產攻擊面管理(CAASM)則依賴於其他已部署的技術作為上下文，並豐富從這些技術中提取的數據，以提供組織資產庫存的整體視圖. 此外，網路資產攻擊面管理(CAASM)可以協調重複或不一致的數據，並自動執行修復步驟以更新數據，例如來自配置管理資料庫(CMDB)的數據。網路資產攻擊面管理(CAASM)從來都不是記錄的來源，而是來自其他來源的數據的聚合器。外部攻擊面管理(EASM)是一個記錄源，並輸入網路資產攻擊面管理 (CAASM) 以增加可見性。

好處和用途

• 提高資產可見性使組織能夠避免盲點和不受管理的技術，從而改善其安全狀況並實現更全面的風險管理。

• 了解針對資產的潛在攻擊路徑有助於組織優先考慮安全控制部署和配置。反過來，這有助於減少對可能被利用的互聯網和公共領域的不必要暴露。

• 更準確、最新和全面的資產和安全控制報告可實現更快的審計合規性報告。

• 對數據收集的阻力較小，對安裝的第三方系統和IT缺乏治理和控制的業務線應用程序的可見性更好。安全團隊需要了解這些事情，而IT團隊可能不需要。

• 獲得可操作的情報和有意義的指標，可以隨著時間的推移進行跟蹤。這些證明了將攻擊面管理(ASM)納入網路安全計劃的價值。

風險

• 攻擊面評估(ASA)工具主要由小型供應商提供。在中短期內，這些供應商可能會受到併購，這可能會影響對它們的投資。

• 攻擊面評估(ASA)能力很大程度上是開源功能的集合，進入這個市場的門檻很低。大型安全平台供應商可能會構建或獲取功能，以為購買其更大網路安全工具生態系統的組織提供更強大的攻擊面評估(ASA)功能。

• 每種攻擊面評估(ASA)技術都可能是孤立的，並且可能會在訓練有素的人員的配置、管理和維護方面產生額外的開銷。

• 攻擊面評估(ASA)技術的能力與其他互補市場的能力越來越重疊，例如威脅情報、端點保護平台、破壞和附著模擬(BAS)和漏洞評估(VA)市場。擁有提供明顯相似可見性和風險評估的相鄰產品的組織可能難以證明添加攻擊面評估(ASA)技術的成本是合理的。

• 與其他工具可能會受到技術限制（例如缺少API）或由於產品的技術限制或無法協調資產訊息中的衝突和重疊而導致的不完整可見性。

• 攻擊面評估(ASA)技術透過來自其他記錄系統（例如配置管理資料庫(CMDB)）的聚合和協調流程來提高資產可見性，但不能從根本上解決數據質量和粒度不佳的源頭問題。如果沒有人費心實際管理他們的技術投資，組織就不會成功。安全團隊必須與源系統所有者合作修復記錄系統。

建議

• 執行企業攻擊面差距分析，以檢測IT和安全實踐和技術中的潛在盲點。這是改進任何安全計劃的基礎，尤其是當安全和風險管理領導者必須保護日益複雜的環境時。

• 攻擊面評估(ASA)技術和供應商正在迅速成熟，並且很有可能在未來三到五年內整合到更大的供應商中。評估相關的權衡取捨，例如更高的折扣和同比價格上漲，以確定是否採購短期合同的點解決方案。每年重新評估市場，直到創新浪潮和市場動態變化放緩，或簽署多年協議。

• 由於攻擊面評估(ASA)技術通常是被動的並且易於部署和配置，因此與生命週期早期的其他安全技術相比，它們相對容易更換。不要過度投資於概念證明或評估——這可能導致“分析癱瘓”——而是迅速採購解決方案，著眼於在需要時快速退役或更換。

• 為您的組織評估關鍵風險驅動因素，以了解應優先考慮哪些技術。一般來說，組織應在網路資產攻擊面管理(CAASM)之前安裝和管理外部攻擊面管理(EASM)和/或數位風險保護服務(DRPS)，因為網路資產攻擊面管理(CAASM)技術在管理外部攻擊面管理(EASM)和數位風險保護服務(DRPS)輸出以完成其資產清單方面是可擴展的。

字母縮詞和詞彙表術語