信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，企業(yè)影子IT和資產(chǎn)暴露問題日趨嚴重，在網(wǎng)絡安全行業(yè)流行了幾十年的被動式網(wǎng)絡防御方法正在被主動安全方法取代。因為無數(shù)安全事件證明，被動式防御往往防不住重大攻擊，平均檢測和響應時間等關(guān)鍵績效指標也越來越難看。

邁向進攻性或主動式安全方法的第一步，正是越來越受到業(yè)界關(guān)注的ASM（攻擊面管理）和EASM（外部攻擊面管理）。根據(jù)企業(yè)管理協(xié)會（EMA）的最新調(diào)查，超過一半(53%)受訪企業(yè)認為“保護企業(yè)的整個攻擊面”是他們的首要任務，并強調(diào)EASM解決方案是保護企業(yè)防止攻擊的關(guān)鍵要素。

今天，EASM已經(jīng)開始在企業(yè)的主動安全保護中發(fā)揮關(guān)鍵作用，但是大多數(shù)企業(yè)還沒有改變傳統(tǒng)安全觀念，或者未能正確選型和實施EASM解決方案。近日，Uncovery首席執(zhí)行官AdrienPetit在接受媒體采訪時討論了外部攻擊面管理給企業(yè)帶來的價值、優(yōu)秀的EASM解決方案應具備的基本功能，以及企業(yè)在選擇EASM時應該關(guān)注的幾個重要問題：

一、強大的EASM解決方案應具備哪些核心功能？

鑒于目標是掌控互聯(lián)網(wǎng)上公開的資產(chǎn)，任何EASM解決方案都必須具備以下四個核心功能：

●發(fā)現(xiàn)資產(chǎn)（無論是在本地還是在云中）及其在庫存中的維護

●定期持續(xù)監(jiān)控資產(chǎn)以識別任何變化

●資產(chǎn)風險級別的評估和優(yōu)先級（錯誤配置、漏洞、流氓資產(chǎn)等）

●能夠與運營團隊的工具（工單、消息傳遞、SIEM）集成，以促進補救/緩解

二、哪些類型的企業(yè)從實施EASM解決方案中獲益最多？

EASM解決方案具備普適性，能給各個行業(yè)不同規(guī)模的公司和組織帶來價值，對于數(shù)字化轉(zhuǎn)型較為復雜的公司（尤其是工業(yè)企業(yè)）來說也是如此。

然而，雖然今天EASM解決方案已經(jīng)引起了大公司的極大興趣，但尚未得到廣泛采用：事實上，絕大多數(shù)安全專業(yè)人員尚未掌握互聯(lián)網(wǎng)上暴露的全部資產(chǎn)及其風險級別。

這就是EASM往往在網(wǎng)絡安全成熟度最高的行業(yè)中采用率高的原因，例如銀行/保險、高科技、電信、零售和政府。

對于中小企業(yè)來說，其暴露的資產(chǎn)數(shù)量有限（基本上都是使用SaaS解決方案的網(wǎng)站和業(yè)務模塊），暴露容易受到良好控制，因此對EASM解決方案的興趣較低。

三、EASM工具如何與云安全態(tài)勢管理(CSPM)和漏洞掃描程序等網(wǎng)絡安全框架和解決方案集成？

事實上，EASM解決方案本身集成了用于發(fā)現(xiàn)/監(jiān)控關(guān)鍵資產(chǎn)并評估其風險級別的功能，確保符合ISO27001、NIS2或DORA等標準和框架的要求。

EASM工具可以將有關(guān)外部資產(chǎn)的數(shù)據(jù)提供給CSPM或CAASM（需要與現(xiàn)有工具的API集成）等解決方案，這可確保團隊獲得組織攻擊面的最新視圖。

漏洞掃描器也受益于準確且及時更新的資產(chǎn)清單，而且，EASM解決方案可以直接集成漏洞掃描器，這豐富了風險評估的方式。通過與威脅情報相結(jié)合，可以進一步節(jié)省團隊時間，使他們能夠?qū)Ｗ⒂谧铌P(guān)鍵的資產(chǎn)。

四、有效的EASM計劃應監(jiān)控哪些關(guān)鍵指標？

可以重點監(jiān)控兩個基于覆蓋率和準確性的量化指標：

●關(guān)于資產(chǎn)發(fā)現(xiàn)：在方案實施的初始階段，重要的是要確保解決方案能識別出比運營團隊已知的資產(chǎn)（例如子域、網(wǎng)站的數(shù)量等）更多的資產(chǎn)。而且，EASM解決方案不得為運營團隊增加不必要的工作量，這就是為什么它必須提供無誤報的庫存。

●關(guān)于持續(xù)監(jiān)控：新發(fā)現(xiàn)、退役（永久或暫時）或重新暴露的資產(chǎn)必須實時報告，而不是數(shù)天/周后才識別。

關(guān)于質(zhì)量方面：

●為了優(yōu)先處理報告的大量資產(chǎn)，對暴露資產(chǎn)的風險水平的評估必須是適應性/模塊化的（能夠提出新的發(fā)現(xiàn)和評估模塊），基于專業(yè)人士采用的標準，并與當前現(xiàn)實的網(wǎng)絡攻擊媒介相關(guān)（遠程訪問服務、VPN設備、公開利用的關(guān)鍵漏洞等）。

●EASM解決方案不應是封閉的，能夠與操作人員最常用的工具集成。

五、EASM如何處理影子IT，做法與其他安全解決方案有何不同？

需要指出的是，EASM并不能覆蓋公司的所有影子IT：例如，在公司W(wǎng)iFi網(wǎng)絡上使用的員工手機（或個人電腦）就是一個未解決的用例，此外還包括員工用企業(yè)郵箱注冊的SaaS通訊軟件（或會計、人力資源等）。

不過，EASM解決方案非常適合識別由子公司（或網(wǎng)絡代理機構(gòu)）注冊但尚未向集團申報的域名。同樣，由開發(fā)人員上線但中心團隊不知道的網(wǎng)站也可以輕松識別。

一個需要重點關(guān)注的地方是EASM方案對所獲得/映射的所有資產(chǎn)元素（TLS證書、站點分析工具、favicon等）進行表征和分類的方式。通過對這些元素執(zhí)行數(shù)據(jù)透視，從而識別可添加到公開資產(chǎn)初始清單中的影子IT資產(chǎn)。

六、許多EASM平臺都宣稱提供用戶友好的界面，為什么這對于EASM的成功實施和運營如此重要？

越來越多的非技術(shù)操作用戶以及管理人員也在使用網(wǎng)絡安全解決方案，這也適用于EASM。這就是為什么網(wǎng)絡安全產(chǎn)品和解決方案要強調(diào)用戶體驗，使數(shù)據(jù)易于理解、可操作、便于報告至關(guān)重要。

另一方面，安全團隊往往會堆積大量解決方案/工具（數(shù)十個）來滿足不同需求，因此EASM提供用戶友好的界面至關(guān)重要，可以幫助避免因用戶體驗糟糕或者學習曲線陡峭而被打入冷宮。