Insights | 网络安全的新秀: 攻击面管理

了解数字资产的复杂性

当今的世界，我们的数字足迹遍布许多平台、网络、第三方软件供应商及设备，攻击面管理在网络安全中变得极为重要。就像一个不断蔓延发展的城市一样，每个企业，无论大小，都拥有遍布在各地的各种数字资产，既有可见的，也有隐藏的。这些数字“财产”构成了你的攻击面，时刻面临网络攻击威胁。从被遗忘的账户到云配置错误再到第三方软件漏洞，我们需要不停地识别这些潜在风险并对之加以保护。

顿悟时刻

刚刚从本科毕业不久，我在Accenture担任安全顾问，期间就亲眼目睹了这一挑战。现有解决方案难以全面呈现所有数字资产（包括物联网设备、虚拟机、容器、隔离终端、第三方软件、网络设备等），并优先考虑它们最薄弱的环节。根据HackerOne 2022年攻击抵抗性报告，三分之一的大型企业安全团队认为他们观察到的攻击面不到75％，几乎五分之一的团队认为超过50％的攻击面是他们未知的或无法观察到的。

这就是我的顿悟时刻。作为一个专注于网络安全的投资者，我对那些打破基于代理扫描器的旧有模式，开发适应现代IT环境的创新技术创业者感到振奋。

IT堆栈的演进及攻击面的扩展

云计算模式以及向以用户为中心的SaaS环境的转变极大加速了大型企业的数字化转型。这致使新的数字资产和影子IT（超出IT管理范围的应用程序和系统）大量增加，无论是在传统网络范围的内部还是外部。这种扩展带来了许多好处，包括更快采用创新技术、软件开发的敏捷性以及分布式工作能力。然而，与此同时，它也带来了大量新的漏洞，这是由于增长速度超过了安全团队的跟进速度。

HackerOne 2022年黑客驱动的安全报告发现，企业中存在65,000个漏洞，其中由于数字化转型带来的漏洞类型增长最快，包括配置错误和不当授权分别增长了150%和45%。2020年的SolarWinds攻击让超过18,000个客户受到影响，并在几个月内未被察觉，显示了第三方软件资产的网络风险，这是传统扫描器不能识别的一类攻击。

新的守护者已经到来：攻击面管理

安全领域已经做出了回应，Gartner在2019年底正式创造了攻击面管理（Attack Surface Management）这一术语。其中的两个关键新类别是CAASM（网络资产攻击面管理）和EASM（外部攻击面管理）。这两种策略是相互补充的，旨在识别、管理、优先处理和保护现代技术堆栈中的所有资产，从而减少攻击面并增强整体安全性。

网络资产攻击面管理（CAASM）旨在解决安全团队面临的资产可见性和漏洞检测的持续挑战。CAASM平台通常采用无代理（agentless）方法，通过API将现有工具和资产集成，为包括内部和外部的所有资产提供全面视图。新软件部署、系统更新或网络配置的变化都可能迅速改变组织的攻击面。因此，CAASM确保对这些变化进行有效的监控和管理，降低安全风险。

另一方面，外部攻击面管理（EASM）侧重于组织面向外部的数字资产，例如Web应用程序、第三方软件供应商和基于云的服务配置错误。这些从互联网访问的资产对威胁者来说是易于攻击的目标。EASM旨在将这些潜在的攻击最小化，从而增强组织的安全性地位。

为什么CISO应该关注攻击面管理初创公司？

识别组织攻击面上的漏洞至关重要，但这可能是一项具有挑战性的任务。让我们深入了解为什么CAASM和EASM应该是成功企业安全策略的核心组成部分：

1. 企业安全问题的蔓延

随着攻击面的复杂性不断增长，大型企业部署的安全工具数量也会随之增加。据Anomali 2022年网络安全洞察报告估计，企业在生产环境中平均使用130种安全工具。攻击面管理平台整合了安全堆栈中不断增加的孤立数据源，为更有效的可见性和修复提供了一个统一的窗口。

2. 企业基础架构的日趋复杂

传统的侧重基于代理扫描的IT安全方法已经不再足够。云计算、远程工作和数字化转型使得资产的界限变得模糊。现今的IT生态系统是分布式的，各种资产分散在各个位置，许多微服务和基于云的应用程序与基于代理的扫描器不兼容。通过Excel电子表格、自制脚本或配置管理数据库进行手动资产跟踪，这些方法缺乏高效、全面的资产跟踪和管理。因此，需要将重点从保护终端转移到保护所有连接的资产，以进行整体监控，这是Axonius或JupiterOne等这样的下一代资产管理平台的主要驱动因素。

3. 影子IT的问题

影子IT带来了重大的安全风险。影子IT是指组织在没有明确批准的情况下使用的IT系统、软件、设备、服务和应用程序。尽管这些工具可以推动创新和提高生产力，但它们也引入了额外的攻击危险，因为它们通常超出了IT和安全团队的监管范围。通过基于API的发现，CAASM和EASM平台有助于发现这些影子IT资产，将其纳入组织的安全策略范围。

4. 优先级的重要性

每个安全专业人员都会证明，漏洞（无论是关键漏洞还是其他类型的漏洞）的数量仍在继续增长，快于SOC分析人员的修复速度，而多种安全工具生成的大量数据令人应接不暇。更糟糕的是，安全专业人员的数量远远不够，无法实现全面覆盖。CAASM和EASM平台可以帮助确定威胁的优先次序，提供可操作的见解，使组织能够有效地应对。

与CAASM和EASM一起拥抱网络安全的未来

CAASM和EASM的崛起反映了网络安全的发展性质。随着企业继续在数字化领域中前进，这些新的初创公司将在他们的安全工具中发挥越来越重要的作用。通过拥抱CAASM和EASM，企业不仅可以保护其数字资产，还可以培养一种渗透到其所有业务层面的安全文化。

网络安全的未来已经来临，这项工作是持续的、面向外部的，并且要不断保持主动性。在诺基亚成长基金，我们理解企业在复杂环境中面临的挑战，这也是为什么我们继续与那些试图颠覆传统安全领域的创新创业者合作的原因。如果您对本文有任何问题或反馈，请通过LinkedIn与我联系，或者发送电子邮件至eric@ngpcap.com。

英文原文

图源： GuerrillaBuzz, Unsplash