2022年攻擊面管理調查

韓燕萍

研究發現，行業正在努力跟上數字環境的快速擴張和不斷變化的步伐，但缺乏有效做到這一點所需的工具和流程，結果導致了真正暴露給攻擊者的風險，與安全團隊已知的風險之間的差距越來越大。

了解企業資產存在的暴露面，掌握這些暴露面的潛在風險是開展有效安全計劃的基礎。為了更全面地了解企業在攻擊面管理上的現狀以及所面臨的困難與挑戰，Randori與ESG開展了一項調查，對398位企業安全團隊負責人進行了訪談和調研，并發布了《2022年攻擊面管理現狀報告》，報告數據顯示：

67 %的受訪組織表示，他們的外部攻擊面在過去12個月中擴大了；

69 %的組織因未知、未受管理或管理不善的面向互聯網的資產而受到威脅；

組織平均需要80 h來更新其攻擊面清單；

70 %的組織使用至少10種解決方案來管理其安全衛生狀態；

近3/4的組織仍然依靠電子表格來管理他們的攻擊面；

不到1/3的組織擁有正式的外部攻擊面管理解決方案；

外部攻擊面管理是2022年大型企業的第一投資重點。

研究發現，行業正在努力跟上數字環境的快速擴張和不斷變化的步伐，但缺乏有效做到這一點所需的工具和流程；結果導致了真正暴露給攻擊者的風險，與安全團隊已知的風險之間的差距越來越大。研究人員認為，以下3種力量成為推動攻擊面管理（ASM）解決方案需求不斷增長的重要因素。

研究報告發現，在過去一年中，隨著遠程辦公人員數量、云解決方案和SaaS應用程序使用量的不斷增加，企業組織的外部攻擊面進一步擴大。

從表面上看，攻擊面擴大并不奇怪，因為世界一直朝著更為互聯和分散的方向發展，連接到互聯網的資產數量自然會增加，攻擊面擴大也是理所當然的。但值得警惕的是，導致攻擊面擴張的原因，除了云采用率和SaaS應用程序及服務的增長外，企業對第三方供應商的日益依賴也是重要因素，企業組織對第三方供應商處的資產可見性管理能力不足，這導致了新的風險和盲點。

值得慶幸的是，調查顯示絕大多數企業都認為應該提升對攻擊面的監控能力，但這種意識形態并沒有實際發揮作用。40 %的受訪企業仍然依賴于傳統的IT資產管理系統進行攻擊面的檢測和發現，41 %的企業通過廣泛的網絡威脅情報系統對新威脅進行監測。

雖然企業目前所采用的方案具有一定的價值，但傳統的資產管理系統僅涵蓋企業的IT和安全團隊已知的資產，而網絡威脅情報解決方案也僅能監測已知的威脅。這2種工具都不具備主動發現未知攻擊面，或對未被企業重視的攻擊面進行管理的能力，而這些恰好是企業進行安全管理的重要驅動力。

相比之下，專用的ASM解決方案具備自動監控和持續發現功能，可提高對攻擊面的可見性。但調查顯示，目前只有34 %的受訪企業在其安全堆棧中擁有該專用解決方案。這意味著半數以上的企業在攻擊面的可見性方面仍處于劣勢，由于未采用專用的ASM工具，這些企業組織面臨的攻擊威脅風險更大。

現有管理流程效率有待提高

2021年12月，Log4j漏洞被披露后，短短5 h內，Randori公司就開發出了一個有效的漏洞利用；48 h內，GreyNoise Intelligence等公司便觀察到了針對該漏洞的廣泛利用嘗試。

這表明攻擊者的速度正變得越來越快，攻擊者采取行動時，大多數的企業組織卻仍掙扎在了解自身是否暴露的階段。企業組織平均需要80 h以上來編譯其攻擊面的更新清單，而攻擊者僅需48 h就能開發出有效的漏洞利用。

當被問及“將采取什么行動來改善攻擊面管理”時，31 %的受訪企業表示將增加專用于發現和評估外部資產狀況的漏洞掃描頻率；29 %的企業將根據關于資產可利用性的威脅情報，提高分析外部攻擊面中資產并為資產分配風險評分的能力；25 %的企業表示將為安全和IT人員提供更多的攻擊面管理培訓。

調查顯示，73 %的企業仍在使用電子表格管理企業攻擊面；34 %的企業擁有專用的外部攻擊面管理（External Attack SurfaceMmanagement，EASM）解決方案；31 %的企業將EASM作為2022年的重點投資領域，他們將圍繞其攻擊面管理計劃建立正式的KPI和指標，并開始利用EASM解決方案從滲透測試和攻防演練工作中獲得更大的價值。

專用的EASM解決方案能夠消除傳統電子表格在對攻擊面管理時導致的編譯、管理混亂問題。還可以通過持續監控暴露的資產，在新風險出現時及時向企業發出警報，了解企業對諸如Log4j等漏洞問題的暴露程度就像檢查員工的電子郵件或登錄控制臺一樣簡單，可大大降低安全團隊的工作壓力，降低安全人員倦怠的風險。外部攻擊面管理的重要意義體現在多個方面。其中最主要的是，攻擊面是抵御攻擊的第一道防線。如果企業的攻擊面中有大量未知或未受管理的資產，則可能會隨時遭遇未知攻擊。

對外部攻擊面進行管理可以實現對企業攻擊面的持續可見性監測，能夠幫助企業更加準確地評估這些風險。一般來說，企業的攻擊面一直處于變化之中，這也是持續性監測的重要意義所在。

此外，企業對外部攻擊面管理的了解只是一個開始。隨著企業的攻擊面不斷擴大，不能僅停留在對風險的識別、發現和監控上，企業還必須能夠通過持續的測試和驗證來改進其安全控制措施，以確保企業資產和基礎設施能夠得到妥善的防護。