了解企業(yè)資產(chǎn)存在的暴露面，掌握這些暴露面存在的潛在風(fēng)險(xiǎn)是開展有效安全計(jì)劃的基礎(chǔ)。為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，Randori與ESG日前開展了一項(xiàng)調(diào)查，對398位企業(yè)安全團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行了訪談和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報(bào)告》，報(bào)告數(shù)據(jù)顯示：

　　67%的受訪組織表示，他們的外部攻擊面在過去12個(gè)月中擴(kuò)大了；

　　69%的組織因未知、未受管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅；

　　組織平均需要80多小時(shí)來更新其攻擊面清單；

　　70%的組織使用至少10種解決方案來管理其安全衛(wèi)生狀態(tài)；

　　近3/4的組織仍然依靠電子表格來管理他們的攻擊面；

　　不到1/3的組織擁有正式的外部攻擊面管理解決方案；

　　外部攻擊面管理是2022年大型企業(yè)的第一投資重點(diǎn)。

　　研究發(fā)現(xiàn)，行業(yè)正在努力跟上數(shù)字環(huán)境的快速擴(kuò)張和不斷變化的步伐，但缺乏有效做到這一點(diǎn)所需的工具和流程。結(jié)果導(dǎo)致了真正暴露給攻擊者的風(fēng)險(xiǎn)與安全團(tuán)隊(duì)已知的風(fēng)險(xiǎn)之間的差距越來越大。研究人員認(rèn)為，以下三種力量正成為推動攻擊面管理（ASM）解決方案需求不斷增長的重要因素：

　　01 攻擊面繼續(xù)擴(kuò)大，但可見性仍然很差

　　報(bào)告調(diào)研發(fā)現(xiàn)，在過去一年中，隨著遠(yuǎn)程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)組織的外部攻擊面進(jìn)一步擴(kuò)大。

　　從表面上看，攻擊面擴(kuò)大并不奇怪，因?yàn)槭澜缫恢背鼮榛ヂ?lián)和分散的方向發(fā)展，連接到互聯(lián)網(wǎng)的資產(chǎn)數(shù)量自然會增加，攻擊面擴(kuò)大也是理所當(dāng)然的。但值得警惕的是，導(dǎo)致攻擊面擴(kuò)張的原因，除了云采用率和SaaS應(yīng)用程序及服務(wù)的增長外，企業(yè)對第三方供應(yīng)商的日益依賴也是重要因素，企業(yè)組織對第三方供應(yīng)商處的資產(chǎn)可見性管理能力不足，這引入了新的風(fēng)險(xiǎn)和盲點(diǎn)。

　　值得慶幸的是，調(diào)查顯示絕大多數(shù)企業(yè)都認(rèn)為應(yīng)該提升對攻擊面的監(jiān)控能力，但這種意識形態(tài)并沒有發(fā)揮作用。40%的受訪企業(yè)仍然依賴于傳統(tǒng)的IT資產(chǎn)管理系統(tǒng)進(jìn)行攻擊面的檢測和發(fā)現(xiàn)；41%的企業(yè)通過廣泛的網(wǎng)絡(luò)威脅情報(bào)系統(tǒng)對新威脅進(jìn)行監(jiān)測。

　　雖然企業(yè)目前所采用的方案具有一定的價(jià)值，但傳統(tǒng)的資產(chǎn)管理系統(tǒng)僅涵蓋企業(yè)的IT和安全團(tuán)隊(duì)已知的資產(chǎn)，而網(wǎng)絡(luò)威脅情報(bào)解決方案也僅能監(jiān)測已知的威脅。這兩種工具都不具備主動發(fā)現(xiàn)未知攻擊面或?qū)σ蛭幢黄髽I(yè)重視的攻擊面進(jìn)行管理的能力，而這些恰好是企業(yè)進(jìn)行安全管理的重要驅(qū)動力。

　　相比之下，專用的ASM解決方案具備自動監(jiān)控和持續(xù)發(fā)現(xiàn)功能，可提高對攻擊面的可見性。但調(diào)查顯示，目前只有34%的受訪企業(yè)在其安全堆棧中擁有該專用解決方案。這意味著半數(shù)以上的企業(yè)在攻擊面的可見性方面仍處于劣勢，由于未采用專用的ASM工具，這些企業(yè)組織面臨的攻擊威脅風(fēng)險(xiǎn)更大。

　　02 現(xiàn)有管理流程效率有待提高

　　2021年12月，Log4j漏洞被披露后，短短5小時(shí)內(nèi)，Randori公司就開發(fā)出了一個(gè)有效的漏洞利用；48小時(shí)內(nèi)，GreyNoise Intelligence等公司便觀察到了針對該漏洞的廣泛利用嘗試。

　　這表明攻擊者的速度正變得越來越快，攻擊者采取行動時(shí)，大多數(shù)的企業(yè)組織卻仍掙扎在了解自身是否暴露的階段。企業(yè)組織平均需要80多小時(shí)來編譯其攻擊面的更新清單，而攻擊者僅需48小時(shí)就能開發(fā)出有效的漏洞利用。

　　當(dāng)被問及“將采取什么行動來改善攻擊面管理”時(shí)，31%的受訪企業(yè)表示將增加專用于發(fā)現(xiàn)和評估外部資產(chǎn)狀況的漏洞掃描頻率；29%的企業(yè)將根據(jù)關(guān)于資產(chǎn)可利用性的威脅情報(bào)，提高分析外部攻擊面中資產(chǎn)并為資產(chǎn)分配風(fēng)險(xiǎn)評分的能力；25%的企業(yè)表示將為安全和IT人員提供更多的攻擊面管理培訓(xùn)。

　　03 外部攻擊面管理成為重要的投資領(lǐng)域

　　調(diào)查顯示，73%的企業(yè)仍在使用電子表格管理企業(yè)攻擊面；34%的企業(yè)擁有專用的外部攻擊面管理（external attack surface management，EASM）解決方案；31%的企業(yè)將EASM作為2022年的重點(diǎn)投資領(lǐng)域，他們將圍繞其攻擊面管理計(jì)劃建立正式的KPI和指標(biāo)，并開始利用EASM解決方案從滲透測試和攻防演練工作中獲得更大的價(jià)值。

　　專用的EASM解決方案能夠消除傳統(tǒng)電子表格在對攻擊面管理時(shí)導(dǎo)致的編譯、管理混亂問題。還可以通過持續(xù)監(jiān)控暴露的資產(chǎn)，在新風(fēng)險(xiǎn)出現(xiàn)時(shí)及時(shí)向企業(yè)發(fā)出警報(bào)，了解企業(yè)對諸如Log4j等漏洞問題的暴露程度就像檢查員工的電子郵件或登錄控制臺一樣簡單，可大大降低安全團(tuán)隊(duì)的工作壓力，降低安全人員倦怠的風(fēng)險(xiǎn)。

　　外部攻擊面管理的重要意義體現(xiàn)在多個(gè)方面。其中最主要的是，攻擊面是抵御攻擊的第一道防線。如果企業(yè)的攻擊面中有大量未知或未受管理的資產(chǎn)，則可能隨時(shí)遭遇未知攻擊。

　　對外部攻擊面進(jìn)行管理可以實(shí)現(xiàn)對企業(yè)攻擊面的持續(xù)可見性監(jiān)測，能夠幫助企業(yè)更加準(zhǔn)確地評估這些風(fēng)險(xiǎn)。一般來說，企業(yè)的攻擊面一直處于變化之中，這也是持續(xù)性監(jiān)測的重要意義所在。

　　此外，企業(yè)對外部攻擊面管理的了解只是一個(gè)開始。隨著企業(yè)的攻擊面不斷擴(kuò)大，不能僅停留在對風(fēng)險(xiǎn)的識別、發(fā)現(xiàn)和監(jiān)控上，企業(yè)還必須能夠通過持續(xù)的測試和驗(yàn)證來改進(jìn)其安全控制措施，以確保企業(yè)資產(chǎn)和基礎(chǔ)設(shè)施能夠得到妥善的防護(hù)。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<