EASM采购指南现已发布

如何选择适合您组织的外部攻击面管理(EASM)工具。

今年早些时候，我们发布了从主动网络防御2.0实验中获得的攻击面管理经验总结。该实验的一个发现突出表明，缺乏关于组织如何选择有效外部攻击面管理产品的独立建议。今天，NCSC发布了一份外部攻击面管理采购指南来解决这个问题。

EASM产品能够识别和扫描您的互联网可访问资产，以识别任何可能被攻击者利用来访问您的数据和服务的错误配置、暴露或漏洞。通过确保您对在线系统具有与潜在攻击者相同（或更好）的可见性，EASM产品有助于保持"防御者优势"。

使用EASM产品就像在现实中让保安每天检查办公室外部，确保没有留下任何门窗敞开。如果他们发现任何敞开的情况，他们会迅速通知您，以便您采取适当措施。即使您认为"犯罪分子为什么会对我组织感兴趣？"，您仍应考虑使用EASM产品；网络犯罪分子不会针对特定组织，而是可以毫不费力地随意探测数百万个在线资产。

在我们的ACD 2.0研究期间，我们发现许多组织没有完整的在线数字资产记录。用上面的比喻来说，这就像不知道您有多少门窗、它们位于何处以及如何锁上它们。EASM产品使用自动发现技术，快速让您了解所有在线资产，我们的许多实验参与者发现这既令人大开眼界又很有价值。

我们的ACD 2.0研究（完整版本可从此处获取）发现了一个强大而多样化的市场，提供具有一系列功能和不同价格点的EASM产品，适合许多不同的组织。如果您的组织负责维护互联网可访问的服务，特别是当这些服务的任何中断都会影响您的业务或客户时，您应该考虑EASM产品如何改善您的网络安全。

这份新指南将帮助您确定使用EASM产品是否适合您和您的组织，如果适合，如何选择。它概述了您可以在EASM产品中期望的功能，并为您提供一组问题来帮助定制您的需求。EASM没有一刀切的解决方案。这将帮助您准备与EASM提供商讨论他们的产品如何支持您的特定需求，并做出最佳选择。

我们在宣布ACD2.0时指定它将作为合作伙伴关系运行，包括与行业供应商的合作。我们再次感谢所有帮助我们制定这份指南的网络安全公司和客户组织。