外部攻击面管理产品选型的六个关键问题

2023年9月19日作者：GoUpSec

随着企业数字化转型的深入，企业影子IT和资产暴露问题日趋严重，在网络安全行业流行了几十年的被动式网络防御方法正在被主动安全方法取代。因为无数安全事件证明，被动式防御往往防不住重大攻击，平均检测和响应时间等关键绩效指标也越来越难看。

迈向进攻性或主动式安全方法的第一步，正是越来越受到业界关注的ASM（攻击面管理）和EASM（外部攻击面管理）。根据企业管理协会（EMA）的最新调查，超过一半(53%)受访企业认为“保护企业的整个攻击面”是他们的首要任务，并强调EASM解决方案是保护企业防止攻击的关键要素。

今天，EASM已经开始在企业的主动安全保护中发挥关键作用，但是大多数企业还没有改变传统安全观念，或者未能正确选型和实施EASM解决方案。近日，Uncovery首席执行官AdrienPetit在接受媒体采访时讨论了外部攻击面管理给企业带来的价值、优秀的EASM解决方案应具备的基本功能，以及企业在选择EASM时应该关注的几个重要问题：

一、强大的EASM解决方案应具备哪些核心功能？

鉴于目标是掌控互联网上公开的资产，任何EASM解决方案都必须具备以下四个核心功能：

发现资产（无论是在本地还是在云中）及其在库存中的维护
定期持续监控资产以识别任何变化
资产风险级别的评估和优先级（错误配置、漏洞、流氓资产等）
能够与运营团队的工具（工单、消息传递、SIEM）集成，以促进补救/缓解

二、哪些类型的企业从实施EASM解决方案中获益最多？

EASM解决方案具备普适性，能给各个行业不同规模的公司和组织带来价值，对于数字化转型较为复杂的公司（尤其是工业企业）来说也是如此。

然而，虽然今天EASM解决方案已经引起了大公司的极大兴趣，但尚未得到广泛采用：事实上，绝大多数安全专业人员尚未掌握互联网上暴露的全部资产及其风险级别。

这就是EASM往往在网络安全成熟度最高的行业中采用率高的原因，例如银行/保险、高科技、电信、零售和政府。

对于中小企业来说，其暴露的资产数量有限（基本上都是使用SaaS解决方案的网站和业务模块），暴露容易受到良好控制，因此对EASM解决方案的兴趣较低。

三、EASM工具如何与云安全态势管理(CSPM)和漏洞扫描程序等网络安全框架和解决方案集成？

事实上，EASM解决方案本身集成了用于发现/监控关键资产并评估其风险级别的功能，确保符合ISO27001、NIS2或DORA等标准和框架的要求。

EASM工具可以将有关外部资产的数据提供给CSPM或CAASM（需要与现有工具的API集成）等解决方案，这可确保团队获得组织攻击面的最新视图。

漏洞扫描器也受益于准确且及时更新的资产清单，而且，EASM解决方案可以直接集成漏洞扫描器，这丰富了风险评估的方式。通过与威胁情报相结合，可以进一步节省团队时间，使他们能够专注于最关键的资产。

四、有效的EASM计划应监控哪些关键指标？

可以重点监控两个基于覆盖率和准确性的量化指标：

关于资产发现：在方案实施的初始阶段，重要的是要确保解决方案能识别出比运营团队已知的资产（例如子域、网站的数量等）更多的资产。而且，EASM解决方案不得为运营团队增加不必要的工作量，这就是为什么它必须提供无误报的库存。
关于持续监控：新发现、退役（永久或暂时）或重新暴露的资产必须实时报告，而不是数天/周后才识别。

关于质量方面：