隨著云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)5G等數(shù)字化技術(shù)的應(yīng)用,IT業(yè)務(wù)越來越開放,IT系統(tǒng)也越來越復(fù)雜,這意味著風(fēng)險暴露面也會隨之增長,再加上網(wǎng)絡(luò)攻擊技術(shù)門檻不斷降低,網(wǎng)絡(luò)安全形勢會更加嚴(yán)峻。因此,攻擊面管理成為了安全團(tuán)隊(duì)的首要工作任務(wù)之一。今年上半年,Gartner發(fā)布了《新興技術(shù):外部攻擊面管理EASM關(guān)鍵洞察》報告,指出作為新興技術(shù),EASM得到了主流安全供應(yīng)商的關(guān)注,技術(shù)和市場快速發(fā)展,EASM將成為企業(yè)漏洞管理策略的重要組成部分。
EASM是一種流程和技術(shù)的組合,用于發(fā)現(xiàn)可能存在漏洞的面向外部(互聯(lián)網(wǎng)暴露)的企業(yè)資產(chǎn)和系統(tǒng)。在 EASM 中發(fā)現(xiàn)了面向外部的資產(chǎn),如域、子域、IP、公共云服務(wù)錯誤配置、泄露的代碼、暴露的數(shù)據(jù)庫、可被攻擊者利用的漏洞等。EASM的一個關(guān)鍵優(yōu)勢是提供了一個由外而內(nèi)的視角(見圖1)。
圖 1:外部與內(nèi)部視圖
EASM應(yīng)該成為更廣泛的威脅和漏洞管理工作的一部分,旨在發(fā)現(xiàn)和管理面向內(nèi)外部的資產(chǎn)及其潛在漏洞,同時可以協(xié)助補(bǔ)充漏洞評估和云安全態(tài)勢管理(CSPM)等現(xiàn)有能力,以優(yōu)先處理修復(fù)漏洞和錯誤配置。
01 主要能力
監(jiān)測:持續(xù)掃描各種環(huán)境(如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施)和分布式生態(tài)系統(tǒng)(如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施);
資產(chǎn)發(fā)現(xiàn):發(fā)現(xiàn)和清點(diǎn)企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng);
分析:評估和分析資產(chǎn)屬性,確定資產(chǎn)是否存在風(fēng)險、脆弱性或異常行為;
優(yōu)先排序:對風(fēng)險和漏洞進(jìn)行優(yōu)先排序,并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級分析;
修復(fù):提供優(yōu)先緩解措施的實(shí)施計(jì)劃,以及修復(fù)緩解工作流程,并集成像工單系統(tǒng)、事件響應(yīng)工具、SOAR等解決方案。
02 應(yīng)用場景
資產(chǎn)的識別及清點(diǎn):識別未知的數(shù)字資產(chǎn)(如網(wǎng)站、IP、域名、SSL證書和云服務(wù)),并實(shí)時維護(hù)資產(chǎn)列表;
漏洞修復(fù)及暴露面管控:將錯誤配置、開放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來進(jìn)行風(fēng)險等級分析以確定修復(fù)優(yōu)先次序;
云安全與治理:識別組織的公共資產(chǎn),跨云供應(yīng)商,以改善云安全和治理,EASM可以提供全面的云資產(chǎn)清單,補(bǔ)充現(xiàn)有的云安全工具;
數(shù)據(jù)泄漏檢測:監(jiān)測數(shù)據(jù)泄漏情況,如憑證泄漏或敏感數(shù)據(jù)通過協(xié)作工具和云應(yīng)用程序或第三方使用的協(xié)作工具暴露的敏感數(shù)據(jù);
子公司風(fēng)險評估:進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè),以便更全面地了解和評估風(fēng)險;
供應(yīng)鏈/第三方風(fēng)險評估:評估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見性,以支持評估組織的暴露風(fēng)險;
并購(M&A)風(fēng)險評估:了解待并購公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險。
圖 2:外部攻擊面管理的主要應(yīng)用場景
03 關(guān)鍵洞察
這項(xiàng)新興技術(shù)關(guān)鍵洞察分析有三個,每個關(guān)鍵洞察都強(qiáng)調(diào)了對安全產(chǎn)品領(lǐng)導(dǎo)者的影響以及他們應(yīng)該在產(chǎn)品路線圖和開發(fā),以及影響對EASM 技術(shù)和產(chǎn)品的采用(參見圖 3)。
圖 3:關(guān)于產(chǎn)品外部攻擊面管理的關(guān)鍵見解
關(guān)鍵洞察 1:外部攻擊面管理(EASM)能力與其他現(xiàn)有的安全市場相交叉;攻擊面管理(EASM)能力可跨越到其他現(xiàn)有的安全市場,主要是數(shù)字風(fēng)險保護(hù)服務(wù)(DRPS)
需要對面向外部的資產(chǎn)和服務(wù)以及可能出現(xiàn)的相關(guān)漏洞,相關(guān)因素包括:
數(shù)字化轉(zhuǎn)型
影子 IT 削弱了企業(yè)邊界
COVID-19 帶來的新遠(yuǎn)程工作環(huán)境
01 影響
目前,EASM 與 DRPS 的最大重疊部分(見圖 4)。溝通這兩種產(chǎn)品的差異將使?jié)撛谟脩羰芤?。另一方面,?qiáng)一致性可能有利于 DRPS 供應(yīng)商擴(kuò)展到 EASM,反之亦然。此外,EASM 和 DRPS 的顯著差異可以補(bǔ)充安全服務(wù)廠商圍繞安全的產(chǎn)品評估。
圖 4:EASM 和 DRPS 之間的市場重疊
一般來說,EASM 供應(yīng)商格局將分為兩條路徑:
供應(yīng)商主要專注于持續(xù)的數(shù)字資產(chǎn)識別、責(zé)任部門和臺賬,以提高組織的資產(chǎn)和漏洞的可見性;
供應(yīng)商還專注于支持紅隊(duì)活動,如持續(xù)的BAS,以提供更多的 “攻擊者視角”。
CyCognito、FireCompass和Randori就是后者的例子,這些供應(yīng)商不太可能進(jìn)一步擴(kuò)展到DRPS。EASM供應(yīng)商主要專注于數(shù)字資產(chǎn)挖掘和開發(fā)相關(guān)應(yīng)用場景。EASM供應(yīng)商可以探索DRPS的機(jī)會,這就需要社交媒體數(shù)據(jù)保護(hù)、深度暗網(wǎng)監(jiān)控和非法資產(chǎn)及時下線服務(wù)等能力。
02 建議
宣傳EASM與相鄰或重疊技術(shù)的區(qū)別,闡明EASM與類似工具在范圍、方法、功能和核心目的上的區(qū)別;
制定針對渠道合作伙伴的市場策略,如提供安全評估、漏洞管理和數(shù)字風(fēng)險管理服務(wù)的MSSP和安全咨詢供應(yīng)商;
對于具有EASM功能的DRPS供應(yīng)商來說,首要尋找現(xiàn)有事件響應(yīng)服務(wù)供應(yīng)商,因其可提供安全評估服務(wù),可強(qiáng)有力地補(bǔ)充EASM產(chǎn)品。
關(guān)鍵洞察2:EASM是一個新興的概念,安全供應(yīng)商對其認(rèn)識正在迅速提高。
安全人員對EASM價值的認(rèn)識和理解仍具有局限性。由于EASM仍是一個新興的概念,EASM供應(yīng)商需要在信息傳遞和用戶宣傳方面做出努力。此外,鑒于許多供應(yīng)商對 “攻擊面管理 ”的炒作越來越多,各安全領(lǐng)域的供應(yīng)商(甚至是漏洞評估和DRPS以外的供應(yīng)商)可能會隨意地使用這個術(shù)語,這將干擾買家做出正確判斷。
01 影響
由于EASM的概念仍在更迭,預(yù)計(jì)至少需要12至18個月的時間才能在市場上形成合理的認(rèn)知水平。這意味著EASM領(lǐng)域的產(chǎn)品領(lǐng)導(dǎo)者將需要計(jì)劃額外的資源和工作來宣傳并建立品牌認(rèn)知。需要制定營銷方案,明確EASM的適應(yīng)范圍及應(yīng)用場景。
02 建議
與公認(rèn)的市場分類法相協(xié)調(diào),如Gartner的EASM概念。
開發(fā)符合不同用戶的需求和關(guān)注點(diǎn)的用例,涵蓋以技術(shù)為重點(diǎn)的角色、以CISO 和風(fēng)險經(jīng)理戰(zhàn)略重點(diǎn)。
關(guān)鍵洞察 3:EASM 可以更廣泛的成為企業(yè)漏洞管理策略的組成部分
EASM應(yīng)該是更廣泛的企業(yè)威脅和漏洞管理的組成部分,其中已知和未知的風(fēng)險、脆弱性和資產(chǎn)被作為一個整體來考慮。近年來的重大安全事件表明,風(fēng)險暴露是如何從一系列新的(面向內(nèi)部和外部的)基礎(chǔ)設(shè)施資源中產(chǎn)生的,如第三方的供應(yīng)鏈、OT/IoT系統(tǒng)和面向外部的基礎(chǔ)設(shè)施。
SolarWinds軟件的黑客攻擊使許多企業(yè)受到影響。
OT和IoT系統(tǒng)的漏洞被利用來破壞高安全性的關(guān)鍵系統(tǒng)(如Stuxnet蠕蟲攻擊)和發(fā)起大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊(如Mirai活動)。
亞馬遜AWS的存儲服務(wù)未檢測到的漏洞導(dǎo)致了多個大型企業(yè)的數(shù)據(jù)泄漏(例如,在Booking.com、Capital One和Expedia)。
減輕這一系列風(fēng)險的有效方法是采取更好的協(xié)調(diào)統(tǒng)一的方法,使得一些綜合控制和流程支持框架覆蓋的所有風(fēng)險領(lǐng)域。
01 影響
EASM 能力與 DRPS、第三方風(fēng)險管理、CSPM 和脆弱性評估有交叉和重疊,隨著市場的成熟,我們可以預(yù)期多個安全細(xì)分市場將出現(xiàn)一定程度的整合。隨著組織采用更全面的策略進(jìn)行威脅和漏洞管理,他們將盡量尋求從單一供應(yīng)商采購多種安全能力,而不是從多個供應(yīng)商處采購解決方案。這也符合安全購買者從同類最佳解決方案轉(zhuǎn)向集成度更高的解決方案的趨勢。網(wǎng)絡(luò)安全保險是一個有趣的用例,EASM 解決方案可以提供幫助確定保險費(fèi)。
鑒于市場的互補(bǔ)性和重疊性,EASM產(chǎn)品的領(lǐng)導(dǎo)者應(yīng)該為合作或收購做好準(zhǔn)備。影響EASM領(lǐng)域的并購包括以下幾個方面:
Palo Alto Networks提供具有CSPM和網(wǎng)絡(luò)應(yīng)用安全功能的Prisma Cloud 2.0,于2020年12月收購了Expanse。
網(wǎng)絡(luò)安全保險和風(fēng)險供應(yīng)商Coalition于2020年1月收購了BinaryEdge。
可預(yù)見的是,未來并購也可能涉及安全專業(yè)服務(wù)提供商。擁有滲透測試、BAS和紅隊(duì)的安全服務(wù)企業(yè),可能會考慮收購或與EASM供應(yīng)商合作,以擴(kuò)大其漏洞和威脅管理能力。雖然市場還不成熟,但EASM可以成為一個差異化的產(chǎn)品,并為提供額外的銷售機(jī)會。
獨(dú)立的EASM供應(yīng)商應(yīng)著眼于鄰近的空間,尋求進(jìn)一步合作和發(fā)展。圖5顯示了我們認(rèn)為與EASM市場最一致的市場,以及哪些技術(shù)更具有互補(bǔ)性和重疊性。
圖 5:外部攻擊面管理生態(tài)系統(tǒng)
02 建議
制定價值主張,支持客戶努力實(shí)現(xiàn)全局性的威脅和漏洞管理策略;
專注擴(kuò)大對安全和云整合的支持,補(bǔ)充資產(chǎn)監(jiān)控工具、漏洞管理合作伙伴和安全生態(tài)系統(tǒng);
與漏洞管理領(lǐng)域的其他技術(shù)參與者建立緊密的伙伴關(guān)系,目的是更好地推動市場向更全面的解決方案的演進(jìn)。