隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)5G等數(shù)字化技術(shù)的應(yīng)用，IT業(yè)務(wù)越來(lái)越開(kāi)放，IT系統(tǒng)也越來(lái)越復(fù)雜，這意味著風(fēng)險(xiǎn)暴露面也會(huì)隨之增長(zhǎng)，再加上網(wǎng)絡(luò)攻擊技術(shù)門(mén)檻不斷降低，網(wǎng)絡(luò)安全形勢(shì)會(huì)更加嚴(yán)峻。因此，攻擊面管理成為了安全團(tuán)隊(duì)的首要工作任務(wù)之一。今年上半年，Gartner發(fā)布了《新興技術(shù)：外部攻擊面管理EASM關(guān)鍵洞察》報(bào)告，指出作為新興技術(shù)，EASM得到了主流安全供應(yīng)商的關(guān)注，技術(shù)和市場(chǎng)快速發(fā)展，EASM將成為企業(yè)漏洞管理策略的重要組成部分。

　　EASM是一種流程和技術(shù)的組合，用于發(fā)現(xiàn)可能存在漏洞的面向外部（互聯(lián)網(wǎng)暴露）的企業(yè)資產(chǎn)和系統(tǒng)。在 EASM 中發(fā)現(xiàn)了面向外部的資產(chǎn)，如域、子域、IP、公共云服務(wù)錯(cuò)誤配置、泄露的代碼、暴露的數(shù)據(jù)庫(kù)、可被攻擊者利用的漏洞等。EASM的一個(gè)關(guān)鍵優(yōu)勢(shì)是提供了一個(gè)由外而內(nèi)的視角（見(jiàn)圖1）。

　　圖 1：外部與內(nèi)部視圖

　　EASM應(yīng)該成為更廣泛的威脅和漏洞管理工作的一部分，旨在發(fā)現(xiàn)和管理面向內(nèi)外部的資產(chǎn)及其潛在漏洞，同時(shí)可以協(xié)助補(bǔ)充漏洞評(píng)估和云安全態(tài)勢(shì)管理（CSPM）等現(xiàn)有能力，以?xún)?yōu)先處理修復(fù)漏洞和錯(cuò)誤配置。

　　01 主要能力

　　監(jiān)測(cè)：持續(xù)掃描各種環(huán)境（如云服務(wù)和面向外部的企業(yè)內(nèi)部基礎(chǔ)設(shè)施）和分布式生態(tài)系統(tǒng)（如物聯(lián)網(wǎng)基礎(chǔ)設(shè)施）；

　　資產(chǎn)發(fā)現(xiàn)：發(fā)現(xiàn)和清點(diǎn)企業(yè)未知的面向外部的資產(chǎn)和系統(tǒng)；

　　分析：評(píng)估和分析資產(chǎn)屬性，確定資產(chǎn)是否存在風(fēng)險(xiǎn)、脆弱性或異常行為；

　　優(yōu)先排序：對(duì)風(fēng)險(xiǎn)和漏洞進(jìn)行優(yōu)先排序，并根據(jù)優(yōu)先排序分析提供預(yù)警和優(yōu)先級(jí)分析；

　　修復(fù)：提供優(yōu)先緩解措施的實(shí)施計(jì)劃，以及修復(fù)緩解工作流程，并集成像工單系統(tǒng)、事件響應(yīng)工具、SOAR等解決方案。

　　02 應(yīng)用場(chǎng)景

　　資產(chǎn)的識(shí)別及清點(diǎn)：識(shí)別未知的數(shù)字資產(chǎn)（如網(wǎng)站、IP、域名、SSL證書(shū)和云服務(wù)），并實(shí)時(shí)維護(hù)資產(chǎn)列表；

　　漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開(kāi)放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定修復(fù)優(yōu)先次序；

　　云安全與治理：識(shí)別組織的公共資產(chǎn)，跨云供應(yīng)商，以改善云安全和治理，EASM可以提供全面的云資產(chǎn)清單，補(bǔ)充現(xiàn)有的云安全工具；

　　數(shù)據(jù)泄漏檢測(cè)：監(jiān)測(cè)數(shù)據(jù)泄漏情況，如憑證泄漏或敏感數(shù)據(jù)通過(guò)協(xié)作工具和云應(yīng)用程序或第三方使用的協(xié)作工具暴露的敏感數(shù)據(jù)；

　　子公司風(fēng)險(xiǎn)評(píng)估：進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè)，以便更全面地了解和評(píng)估風(fēng)險(xiǎn)；

　　供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估：評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見(jiàn)性，以支持評(píng)估組織的暴露風(fēng)險(xiǎn)；

　　并購(gòu)（M&A）風(fēng)險(xiǎn)評(píng)估：了解待并購(gòu)公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。

　　圖 2：外部攻擊面管理的主要應(yīng)用場(chǎng)景

　　03 關(guān)鍵洞察

　　這項(xiàng)新興技術(shù)關(guān)鍵洞察分析有三個(gè)，每個(gè)關(guān)鍵洞察都強(qiáng)調(diào)了對(duì)安全產(chǎn)品領(lǐng)導(dǎo)者的影響以及他們應(yīng)該在產(chǎn)品路線(xiàn)圖和開(kāi)發(fā)，以及影響對(duì)EASM 技術(shù)和產(chǎn)品的采用（參見(jiàn)圖 3）。

　　圖 3：關(guān)于產(chǎn)品外部攻擊面管理的關(guān)鍵見(jiàn)解

　　關(guān)鍵洞察 1：外部攻擊面管理（EASM）能力與其他現(xiàn)有的安全市場(chǎng)相交叉；攻擊面管理（EASM）能力可跨越到其他現(xiàn)有的安全市場(chǎng)，主要是數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）

　　需要對(duì)面向外部的資產(chǎn)和服務(wù)以及可能出現(xiàn)的相關(guān)漏洞，相關(guān)因素包括：

　　數(shù)字化轉(zhuǎn)型

　　影子 IT 削弱了企業(yè)邊界

　　COVID-19 帶來(lái)的新遠(yuǎn)程工作環(huán)境

　　01 影響

　　目前，EASM 與 DRPS 的最大重疊部分（見(jiàn)圖 4）。溝通這兩種產(chǎn)品的差異將使?jié)撛谟脩?hù)受益。另一方面，強(qiáng)一致性可能有利于 DRPS 供應(yīng)商擴(kuò)展到 EASM，反之亦然。此外，EASM 和 DRPS 的顯著差異可以補(bǔ)充安全服務(wù)廠(chǎng)商圍繞安全的產(chǎn)品評(píng)估。

　　圖 4：EASM 和 DRPS 之間的市場(chǎng)重疊

　　一般來(lái)說(shuō)，EASM 供應(yīng)商格局將分為兩條路徑：

　　供應(yīng)商主要專(zhuān)注于持續(xù)的數(shù)字資產(chǎn)識(shí)別、責(zé)任部門(mén)和臺(tái)賬，以提高組織的資產(chǎn)和漏洞的可見(jiàn)性；

　　供應(yīng)商還專(zhuān)注于支持紅隊(duì)活動(dòng)，如持續(xù)的BAS，以提供更多的 “攻擊者視角”。

　　CyCognito、FireCompass和Randori就是后者的例子，這些供應(yīng)商不太可能進(jìn)一步擴(kuò)展到DRPS。EASM供應(yīng)商主要專(zhuān)注于數(shù)字資產(chǎn)挖掘和開(kāi)發(fā)相關(guān)應(yīng)用場(chǎng)景。EASM供應(yīng)商可以探索DRPS的機(jī)會(huì)，這就需要社交媒體數(shù)據(jù)保護(hù)、深度暗網(wǎng)監(jiān)控和非法資產(chǎn)及時(shí)下線(xiàn)服務(wù)等能力。

　　02 建議

　　宣傳EASM與相鄰或重疊技術(shù)的區(qū)別，闡明EASM與類(lèi)似工具在范圍、方法、功能和核心目的上的區(qū)別；

　　制定針對(duì)渠道合作伙伴的市場(chǎng)策略，如提供安全評(píng)估、漏洞管理和數(shù)字風(fēng)險(xiǎn)管理服務(wù)的MSSP和安全咨詢(xún)供應(yīng)商；

　　對(duì)于具有EASM功能的DRPS供應(yīng)商來(lái)說(shuō)，首要尋找現(xiàn)有事件響應(yīng)服務(wù)供應(yīng)商，因其可提供安全評(píng)估服務(wù)，可強(qiáng)有力地補(bǔ)充EASM產(chǎn)品。

　　關(guān)鍵洞察2：EASM是一個(gè)新興的概念，安全供應(yīng)商對(duì)其認(rèn)識(shí)正在迅速提高。

　　安全人員對(duì)EASM價(jià)值的認(rèn)識(shí)和理解仍具有局限性。由于EASM仍是一個(gè)新興的概念，EASM供應(yīng)商需要在信息傳遞和用戶(hù)宣傳方面做出努力。此外，鑒于許多供應(yīng)商對(duì) “攻擊面管理 ”的炒作越來(lái)越多，各安全領(lǐng)域的供應(yīng)商（甚至是漏洞評(píng)估和DRPS以外的供應(yīng)商）可能會(huì)隨意地使用這個(gè)術(shù)語(yǔ)，這將干擾買(mǎi)家做出正確判斷。

　　01 影響

　　由于EASM的概念仍在更迭，預(yù)計(jì)至少需要12至18個(gè)月的時(shí)間才能在市場(chǎng)上形成合理的認(rèn)知水平。這意味著EASM領(lǐng)域的產(chǎn)品領(lǐng)導(dǎo)者將需要計(jì)劃額外的資源和工作來(lái)宣傳并建立品牌認(rèn)知。需要制定營(yíng)銷(xiāo)方案，明確EASM的適應(yīng)范圍及應(yīng)用場(chǎng)景。

　　02 建議

　　與公認(rèn)的市場(chǎng)分類(lèi)法相協(xié)調(diào)，如Gartner的EASM概念。

　　開(kāi)發(fā)符合不同用戶(hù)的需求和關(guān)注點(diǎn)的用例，涵蓋以技術(shù)為重點(diǎn)的角色、以CISO 和風(fēng)險(xiǎn)經(jīng)理戰(zhàn)略重點(diǎn)。

　　關(guān)鍵洞察 3：EASM 可以更廣泛的成為企業(yè)漏洞管理策略的組成部分

　　EASM應(yīng)該是更廣泛的企業(yè)威脅和漏洞管理的組成部分，其中已知和未知的風(fēng)險(xiǎn)、脆弱性和資產(chǎn)被作為一個(gè)整體來(lái)考慮。近年來(lái)的重大安全事件表明，風(fēng)險(xiǎn)暴露是如何從一系列新的（面向內(nèi)部和外部的）基礎(chǔ)設(shè)施資源中產(chǎn)生的，如第三方的供應(yīng)鏈、OT/IoT系統(tǒng)和面向外部的基礎(chǔ)設(shè)施。

　　SolarWinds軟件的黑客攻擊使許多企業(yè)受到影響。

　　OT和IoT系統(tǒng)的漏洞被利用來(lái)破壞高安全性的關(guān)鍵系統(tǒng)（如Stuxnet蠕蟲(chóng)攻擊）和發(fā)起大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊（如Mirai活動(dòng)）。

　　亞馬遜AWS的存儲(chǔ)服務(wù)未檢測(cè)到的漏洞導(dǎo)致了多個(gè)大型企業(yè)的數(shù)據(jù)泄漏（例如，在Booking.com、Capital One和Expedia）。

　　減輕這一系列風(fēng)險(xiǎn)的有效方法是采取更好的協(xié)調(diào)統(tǒng)一的方法，使得一些綜合控制和流程支持框架覆蓋的所有風(fēng)險(xiǎn)領(lǐng)域。

　　01 影響

　　EASM 能力與 DRPS、第三方風(fēng)險(xiǎn)管理、CSPM 和脆弱性評(píng)估有交叉和重疊，隨著市場(chǎng)的成熟，我們可以預(yù)期多個(gè)安全細(xì)分市場(chǎng)將出現(xiàn)一定程度的整合。隨著組織采用更全面的策略進(jìn)行威脅和漏洞管理，他們將盡量尋求從單一供應(yīng)商采購(gòu)多種安全能力，而不是從多個(gè)供應(yīng)商處采購(gòu)解決方案。這也符合安全購(gòu)買(mǎi)者從同類(lèi)最佳解決方案轉(zhuǎn)向集成度更高的解決方案的趨勢(shì)。網(wǎng)絡(luò)安全保險(xiǎn)是一個(gè)有趣的用例，EASM 解決方案可以提供幫助確定保險(xiǎn)費(fèi)。

　　鑒于市場(chǎng)的互補(bǔ)性和重疊性，EASM產(chǎn)品的領(lǐng)導(dǎo)者應(yīng)該為合作或收購(gòu)做好準(zhǔn)備。影響EASM領(lǐng)域的并購(gòu)包括以下幾個(gè)方面：

　　Palo Alto Networks提供具有CSPM和網(wǎng)絡(luò)應(yīng)用安全功能的Prisma Cloud 2.0，于2020年12月收購(gòu)了Expanse。

　　網(wǎng)絡(luò)安全保險(xiǎn)和風(fēng)險(xiǎn)供應(yīng)商Coalition于2020年1月收購(gòu)了BinaryEdge。

　　可預(yù)見(jiàn)的是，未來(lái)并購(gòu)也可能涉及安全專(zhuān)業(yè)服務(wù)提供商。擁有滲透測(cè)試、BAS和紅隊(duì)的安全服務(wù)企業(yè)，可能會(huì)考慮收購(gòu)或與EASM供應(yīng)商合作，以擴(kuò)大其漏洞和威脅管理能力。雖然市場(chǎng)還不成熟，但EASM可以成為一個(gè)差異化的產(chǎn)品，并為提供額外的銷(xiāo)售機(jī)會(huì)。

　　獨(dú)立的EASM供應(yīng)商應(yīng)著眼于鄰近的空間，尋求進(jìn)一步合作和發(fā)展。圖5顯示了我們認(rèn)為與EASM市場(chǎng)最一致的市場(chǎng)，以及哪些技術(shù)更具有互補(bǔ)性和重疊性。

　　圖 5：外部攻擊面管理生態(tài)系統(tǒng)

　　02 建議

　　制定價(jià)值主張，支持客戶(hù)努力實(shí)現(xiàn)全局性的威脅和漏洞管理策略；

　　專(zhuān)注擴(kuò)大對(duì)安全和云整合的支持，補(bǔ)充資產(chǎn)監(jiān)控工具、漏洞管理合作伙伴和安全生態(tài)系統(tǒng)；

　　與漏洞管理領(lǐng)域的其他技術(shù)參與者建立緊密的伙伴關(guān)系，目的是更好地推動(dòng)市場(chǎng)向更全面的解決方案的演進(jìn)。