您的企業(yè)需要監(jiān)控未知的攻擊面嗎？答案是肯定的！因?yàn)槲粗墓裘嬷泻写罅课粗臐撛诼┒础５?，隨著企業(yè)適應(yīng)和擴(kuò)大云計(jì)算應(yīng)用規(guī)模，他們使用的資產(chǎn)和平臺(tái)將不可避免地增長(zhǎng)和變化，這使得攻擊面蔓延也成為當(dāng)今大多數(shù)安全團(tuán)隊(duì)必須面對(duì)的挑戰(zhàn)。這也正是攻擊面管理（ASM）技術(shù)的用武之地。

10年的迪慶州網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。營(yíng)銷型網(wǎng)站建設(shè)的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整迪慶州建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“迪慶州網(wǎng)站設(shè)計(jì)”,“迪慶州網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

ASM關(guān)鍵功能

研究機(jī)構(gòu)Forrester將ASM定義為“不斷發(fā)現(xiàn)、識(shí)別、編目和評(píng)估實(shí)體IT資產(chǎn)暴露的過(guò)程”。根據(jù)定義可以看出，ASM是一個(gè)復(fù)雜的領(lǐng)域，涉及多個(gè)網(wǎng)絡(luò)安全領(lǐng)域，包括：

• 數(shù)字資產(chǎn)發(fā)現(xiàn)和識(shí)別；
• 攻擊面監(jiān)控；
• 數(shù)據(jù)泄漏檢測(cè)；
• 數(shù)字足跡管理；
• 數(shù)字化風(fēng)險(xiǎn)監(jiān)控；
• 外部攻擊面管理。

而為了更好地理解ASM，我們需要首先重點(diǎn)了解ASM不是什么：

圖片

根據(jù)以上的概念對(duì)比，研究人員認(rèn)為一套完善的ASM方案應(yīng)該包括以下關(guān)鍵功能：

• 自動(dòng)化識(shí)別外部攻擊面可見(jiàn)性的缺口；
• 發(fā)現(xiàn)組織已知和未知的數(shù)字化資產(chǎn)、系統(tǒng)和影子IT；
• 從組織全局視角全面評(píng)估各分支機(jī)構(gòu)和部門(mén)的安全風(fēng)險(xiǎn)；
• 實(shí)現(xiàn)持續(xù)的數(shù)字化應(yīng)用可觀察性和風(fēng)險(xiǎn)管理；
• 識(shí)別外部可見(jiàn)性缺口；
• 基于數(shù)字化業(yè)務(wù)風(fēng)險(xiǎn)的漏洞發(fā)現(xiàn)和優(yōu)先排序。

ASM方案選型建議

在諸多市場(chǎng)因素的共同驅(qū)動(dòng)下，ASM應(yīng)用正在迅速興起。它提供了對(duì)已知和未知資產(chǎn)的持續(xù)發(fā)現(xiàn)、測(cè)試和優(yōu)先級(jí)排序，以及對(duì)全球外部攻擊面的暴露。越來(lái)越多的公司使用ASM技術(shù)來(lái)彌補(bǔ)傳統(tǒng)漏洞管理工具和滲透測(cè)試服務(wù)之間的安全性缺口。而網(wǎng)絡(luò)安全行業(yè)中目前也不乏ASM供應(yīng)商，它們主要分為以下類型：

• 基于安全專家團(tuán)隊(duì)的ASM服務(wù)：很多傳統(tǒng)的滲透測(cè)試服務(wù)和漏洞評(píng)估服務(wù)都是依賴專業(yè)人員人工來(lái)測(cè)試網(wǎng)絡(luò)安全性，并以月度或季度為基礎(chǔ)提供服務(wù)；
• 純技術(shù)ASM解決方案：通過(guò)攻擊面管理工具或掃描器來(lái)查看互聯(lián)網(wǎng)上的內(nèi)容，并使用風(fēng)險(xiǎn)評(píng)分來(lái)優(yōu)先考慮危害性更大的風(fēng)險(xiǎn)；
• 混合ASM服務(wù)：將人類直覺(jué)與自動(dòng)化技術(shù)結(jié)合起來(lái)，以發(fā)現(xiàn)更多漏洞并過(guò)濾優(yōu)先級(jí)警報(bào)。

企業(yè)需要基于自己的整體安全目標(biāo)和管理需求來(lái)選擇合適的ASM供應(yīng)商，以下評(píng)估因素可以幫助企業(yè)安全領(lǐng)導(dǎo)者選型ASM供應(yīng)商，并加快決策。

01商業(yè)名譽(yù)

這個(gè)供應(yīng)商是否是ASM領(lǐng)域的新玩家？其在進(jìn)攻性安全能力構(gòu)建方面有著成熟的歷史實(shí)踐和案例積累？通常情況下，選擇有經(jīng)驗(yàn)的ASM供應(yīng)商意味著更便捷的建設(shè)流程、快速高效的支持團(tuán)隊(duì)以及可靠的建設(shè)方法來(lái)增強(qiáng)安全性。

02令人信服的價(jià)值證明

價(jià)值證明（POV）是一種網(wǎng)絡(luò)安全方案選型時(shí)的標(biāo)準(zhǔn)實(shí)踐，通過(guò)深入研究大量技術(shù)或服務(wù)方面的特定用例，可以證明服務(wù)商所提議策略的有效性。因此，企業(yè)在選型時(shí)，比較潛在供應(yīng)商之間的POV，往往會(huì)有助于安全團(tuán)隊(duì)評(píng)估誰(shuí)更能滿足他們的ASM應(yīng)用需求。

03POC測(cè)試 

在正式確定ASM供應(yīng)商之前，必須通過(guò)指導(dǎo)演示或網(wǎng)絡(luò)研討會(huì)對(duì)ASM工具進(jìn)行關(guān)鍵性能力測(cè)試，這不僅可以讓您的團(tuán)隊(duì)實(shí)際體驗(yàn)產(chǎn)品的可用性和易用性，還能具體提出有關(guān)產(chǎn)品功能的尖銳問(wèn)題，并比較出不同ASM工具之間的差異和特性。

04第三方驗(yàn)證

獲得第三方研究/測(cè)評(píng)機(jī)構(gòu)的認(rèn)可是確認(rèn)ASM平臺(tái)有效性可靠途徑之一。這些第三方組織的分析師會(huì)對(duì)來(lái)自技術(shù)提供商的信息進(jìn)行事實(shí)審查，以識(shí)別具有創(chuàng)新性的解決方案。

為了更好地了解ASM服務(wù)商和技術(shù)方案的具體功能和特點(diǎn)，建議企業(yè)在選型時(shí)進(jìn)一步詢問(wèn)以下問(wèn)題：

• 您認(rèn)為的攻擊面管理中最重要的任務(wù)有哪些？誰(shuí)是潛在的威脅行為者？
• 系統(tǒng)是否支持持續(xù)性地管理？可以多久運(yùn)行一次安全性滲透測(cè)試？
• 對(duì)攻擊面相關(guān)數(shù)據(jù)的采集是否全面？采集數(shù)據(jù)的及時(shí)性和時(shí)效性如何？
• 當(dāng)企業(yè)中有新的數(shù)據(jù)資產(chǎn)上線時(shí)，是否能夠及時(shí)發(fā)現(xiàn)并管理？
• ASM方案能夠幫助企業(yè)進(jìn)行持續(xù)性滲透測(cè)試？具體的做法是什么？
• 是否支持自動(dòng)化的暴露面補(bǔ)救工作？是如何支持的？
• 如何管理風(fēng)險(xiǎn)警報(bào)的數(shù)量？是否會(huì)存在報(bào)警疲勞？
• ASM技術(shù)應(yīng)用后是否會(huì)存在影響業(yè)務(wù)開(kāi)展的風(fēng)險(xiǎn)因素？
• 攻擊者最有可能利用哪些暴露？我應(yīng)該首先修復(fù)哪些漏洞？

參考鏈接：https://www.netspi.com/resources/guides/how-to-use-attack-surface-management-for-continuous-pentesting/

文章名稱：攻擊面管理（ASM）技術(shù)關(guān)鍵功能與選型建議
網(wǎng)頁(yè)鏈接：http://uogjgqi.cn/article/dpccsdg.html