攻击面管理全面指南:保护企业数字资产的关键策略

本文深入探讨攻击面管理的概念、重要性、类型和最佳实践,涵盖数字、物理、社交工程和第三方攻击面,帮助企业有效识别和修复安全漏洞,应对AI时代的新型网络安全威胁。

什么是攻击面管理?企业组织指南

攻击面管理在概念上很简单。这个不言自明的术语归结为标记和保护威胁行为者可能攻击企业IT基础设施的入口点。

这就是简单性结束的地方。攻击面管理要求企业持续扫描和识别可能的暴露点,建议修复步骤,并监控组织的IT环境以应对新出现的威胁。目标是发现无论存在于何处的IT资产,并为网络安全专业人员提供对潜在漏洞的可见性。这些漏洞可能源于企业内部的物理IT资产、暴露在互联网上的数字资产、第三方供应商的基础设施和扩展的供应链。

这项任务很困难,但有一个重要的回报:对IT环境的持续监控有助于首席信息安全官和其他网络安全专业人员缩小攻击面,解决安全漏洞并防止攻击。

云安全平台提供商Upwind的首席安全和战略官Rinki Sethi表示,人工智能采用带来的数据爆炸使得ASM系统变得必要。“你正在查看如此多的信息,“她解释说。"[确定]什么需要修复或解决需要某种技术。没有人工方式。” Sethi于2025年6月加入Upwind,此前曾在Twitter和金融运营平台公司Bill担任CISO职务。

攻击面管理的重要性

ASM近年来变得越来越重要。COVID-19大流行期间数字化转型和远程工作的加速显著增加了攻击面。云和边缘计算的扩展使用也是如此。最近,AI使用的激增在大型语言模型及其训练数据方面创造了新的漏洞。

IT范围的扩大和复杂性需要资产的全面概览,并增加了对攻击面管理作为网络安全实践的需求。

另一个考虑因素是不断变化的攻击向量列表,这些向量试图利用遍布IT资产中的漏洞。勒索软件即服务、针对关键基础设施的国家级威胁行为者、网络钓鱼攻击、恶意内部人员和后量子密码学只是企业关注的几个问题。ASM的持续监控使网络安全管理人员处于更主动的地位,帮助他们解决漏洞并为下一次攻击做好准备。

Gartner分析师Pete Shoard表示:“ASM擅长向你展示攻击者对你的组织第一眼会看到什么。它提供了攻击者对你组织外部或数字资产的视角。”

比较攻击面与威胁面与漏洞管理

术语攻击面和威胁面经常互换使用。在某些行业领域,攻击面命名法似乎得到更广泛的认可。例如,为公共和私营部门提供广泛使用的网络安全指南的美国联邦政府机构NIST发布了攻击面的定义,但没有威胁面的定义。NIST的定义基于NIST SP 800-53 Rev. 5等文件,这是一个网络安全和隐私框架。

然而,一些网络安全供应商区分攻击面和威胁面。例如,Palo Alto Networks将攻击面定义为包括"组织内所有可能的漏洞,无论是否被利用”。该供应商将威胁面描述为"特别关注网络犯罪分子当前针对的漏洞"。

与此同时,ASM和漏洞管理是相互关联的领域,具有减少攻击面和改善组织安全状况的相同总体目标。攻击面管理采取更广泛的视角:该实践在动态威胁环境中寻找潜在弱点,而漏洞管理往往专注于已知漏洞。但这两种方法可以协同工作,覆盖即时风险同时避免预期问题。

攻击面的类型和组成部分

组织的攻击面是安全漏洞可能发生的所有点的完整列表。攻击面的类型包括以下内容。

数字攻击面。这个领域围绕软件漏洞和网络连接的入口点。组成部分包括:

  • 应用程序编程接口
  • 基于云的基础设施
  • 面向互联网的资产
  • 配置错误的软件
  • SaaS应用程序
  • 影子IT/影子AI
  • Web应用程序

物理攻击面。这个类别涵盖硬件漏洞和物理访问点。组成部分包括:

  • 台式机、笔记本电脑和其他端点
  • 企业存储系统
  • 运营技术和物联网系统
  • 可移动媒体
  • 服务器
  • 服务器机房

人为/社交工程攻击面。这个领域涉及利用人类行为和社交工程实践来访问系统和数据的攻击。组成部分包括:

  • 商业电子邮件泄露
  • 深度伪造
  • 网络钓鱼/鱼叉式网络钓鱼
  • 短信网络钓鱼
  • 语音网络钓鱼

第三方攻击面。这个领域包括企业的供应商、供应商合作伙伴和其他提供技术产品或服务的实体。它还涉及第三方供应商。组成部分包括:

  • 云提供商漏洞
  • 软件依赖项
  • 供应链漏洞
  • 供应商管理的资产
  • 供应商的法规遵从状态

攻击面类型和组成部分经常重叠。例如,网络钓鱼可以被视为数字和人为攻击面。

攻击面管理的挑战

企业和其网络安全领导者在制定ASM策略时必须考虑以下因素。

庞大复杂的IT资源

也许ASM的首要挑战是有太多的表面需要管理。企业IT足迹继续增长,其复杂性也在增加。

罗切斯特理工学院Golisano计算与信息科学学院软件工程系助理教授Nidhi Rastogi表示,鉴于当今技术的异构性和复杂性,企业面临着困难的监督任务。“不是每个人都有将这些不同环境整合在一起的核心知识或专业知识,“她说。

不断演变的攻击向量

根据KuppingerCole Analysts 2025年5月关于攻击面管理的报告,企业面临的攻击向量,从云错误配置到零日漏洞,“种类和数量都在增长”。

传统的反应性网络安全方法无法有效应对不断扩大的复杂攻击向量集合。“尽管反应性网络安全措施仍然常见,“报告指出,“但它们留下了重大空白,因为它们只在损害发生后才响应。”

企业中AI的兴起

Rastogi说,包含最新LLM的IT环境有更多需要监控。“攻击面正在扩大,因为AI扮演着如此关键的角色,“她解释说。“当你说AI时,它既指模型,也指训练这些大型模型的数据[和]为这些语言模型提供动力的GPU。”

Capital One Software产品开发、数据安全解决方案副总裁Leon Bian也指出AI引入了快速发展的攻击面。他列举了模型、API、数据管道和训练环境作为潜在入口点。“威胁可能包括提示注入、模型反转、数据投毒和对敏感训练数据的未经授权访问,“Bian说。

Capital One Software是金融服务公司Capital One的企业软件业务。

需要扩展ASM

根据Bian的说法,AI系统的攻击面可能处理高度敏感的逻辑和数据,但其中许多组件在传统攻击面管理范围之外运行。他说,这一挑战要求企业扩展ASM以覆盖AI资产,并指出任务包括跟踪模型部署位置和保护API。

“保护AI系统,“他说,“必须成为任何现代ASM策略的核心部分,更好的是,任何网络安全计划的核心部分。”

解决ASM的’最后一英里’

“攻击面管理产品的部署不是困难部分,“Sethi说。“如果你与从业者坐下来,最困难的部分是我称之为最后一英里的部分。你有这些工具给你信号,所以你知道哪里有问题。安全从业者一旦知道问题后做什么?”

所需的行动包括验证特定信号是否确实是实际问题,确定谁拥有问题,并在组织的服务级别协议内跟踪其解决,Sethi说,并补充说这些任务在安全团队内部是高度手动的。“那需要大量时间,“她说。“这是真正需要解决的部分。”

攻击面管理的最佳实践

企业可以采用最佳实践来应对不断扩大的攻击面和网络威胁。CISO和其他网络安全管理人员应考虑这五种方法。

1. 选择合适的ASM方法

Shoard指出,选择正确的ASM方法实施是基本的最佳实践。企业必须了解其最重大的关切以及他们旨在防止的攻击类型。

Shoard说,影子IT在这方面是一个常见主题。不知道其所有资产位于何处的企业也不知道什么暴露给攻击者。在这种情况下,外部攻击面管理可能是起点。根据Gartner的说法,EASM工具和流程发现面向互联网的资产并标记威胁行为者可能利用的漏洞。

Shoard说,关注内部人员或缺乏良好配置管理数据库可见性的企业可能会转向网络资产攻击面管理产品,这些产品专注于内部资产和暴露,以及外部问题。他补充说,担心凭据泄露或品牌模仿攻击的企业可能会采用数字风险保护服务。这些工具旨在保护数字资产免受数据泄露和声誉损害。

2. 控制’工具蔓延’

ASM技术有多种形式,相邻技术也有助于保护攻击面。普华永道数据风险和隐私实践合伙人Mir Kashifuddin表示,组织应寻求不会导致工具蔓延或技术债务的ASM产品。

事实上,最近的研究表明企业已开始将网络安全支出集中在ASM和相关技术上。威普罗咨询公司2025年6月发布的"2025年网络安全状况报告"指出,企业正在"整合预算并将资金分配给攻击面管理内的部门”。部门包括CAASM、暴露管理、持续威胁暴露管理、渗透测试即服务和其他ASM产品。

威普罗网络安全和风险服务实践合伙人Vinodh Kumar Allam表示,简化正在成为战略要务。他补充说,整合工具和平台,以及统一的资产管理和威胁检测策略,改善了监控并集中了控制。

3. 控制ASM的范围

ASM产品可能收集大量数据,Shoard说这可能创造比解决的问题更多的问题。企业应集中使用ASM技术。“核心最佳实践之一是非常有方向性,“Shoard建议。“不要寻找你没有资源或意愿修复的问题。”

4. 替换过时的安全模型

随着攻击面的扩大,旧的威胁建模方式可能不够用。“我们过去有攻击树,“Rastogi说,指的是用于显示攻击者可能危害IT资产方式的分层图。“我不认为这今天适用,因为攻击面正在扩大。”

相反,Rastogi建议NIST的AI风险管理框架,它提供了类似于攻击树的方法和理解复杂攻击向量和攻击面的方式。“我认为这是我们可以开始研究如何管理这种环境的第一地方,“她说。

5. 认识ASM的局限性

Shoard说,攻击面管理工具是高度假设性的,将基于例如它发现的软件的版本号来识别问题。但该技术不一定验证此类发现。

“不要孤立地信任ASM告诉你的任何东西,“他警告。“你不能盲目接受发现。“相反,他指出,企业应将ASM视为识别哪些潜在暴露需要更深扫描和评估是否存在真正安全差距的宝贵起点。

如何选择攻击面管理工具

ASM是一个复杂领域,网络安全领导者在选择工具时必须考虑几个评估因素。以下是标准示例:

  • 与其他网络安全工具的集成。KuppingerCole Analysts研究分析师Osman Celik强调集成作为评估因素的重要性。“将ASM扩展到修复你可能有的所有问题是不现实的,“他说。“客户需要首先查看的事情之一是ASM是否能够提供与其他网络安全工具的连接器。“他特别提到了与安全编排、自动化和响应、IT服务管理或其他检测和响应工具的集成。

  • 与上游扫描器的链接。Shoard指向与上游扫描器(如暴露评估平台)的API集成。“你不想从ASM获取所有发现并手动将它们导入到评估的下一阶段,“他说。

  • 第三方风险能力。Celik说第三方风险管理能力变得越来越重要,尽管目前不是常见实践。“你将更好地了解合作伙伴格局,“他谈到TPRM功能时说。“现在没有一家公司独自做生意。”

  • 事件票据生成。Shoard说,客户应寻找ASM工具生成案例或事件票据的能力。他补充说,票据帮助安全组织记录发现并跟踪问题解决。

  • 修复功能。修复攻击面管理工具发现的问题是客户的重要功能。根据KuppingerCole Analysts 2025年5月的ASM报告,“修复能力是有效ASM的核心,并一直被引用为客户的最高优先级。”

  • 创新。技术评估者还应考虑ASM平台对创新的承诺。这可能意味着明智地使用AI或扩展自动化能力,以及其他发展。Sethi看到了ASM在AI中的未来。她指出,AI代理有可能承担今天人类手动处理的表面管理任务。这些杂务范围从提交票据到修复问题。

现有的ASM产品"将进行扫描,发现问题,但它们在那之后留给你一切,手动操作部分,“Sethi说。“其中一些工具没有提供足够关于开发人员或DevOps人员需要做什么来修复这些事情的上下文。”

在这种背景下,AI代理可以从人类安全人员通常访问的来源中提取所有必要信息。例如,安全分析师可能在组织的内部网上查找资产所有者或访问网站以验证ASM建议的修复。

“你应该能够自动化所有这些[并]让代理决定需要做什么,“Sethi说。她补充说,人类可能仍在循环中,并给工具批准提交票据,将其分配给所有者并指向SLA。

与此同时,Celik说他在自动修复中看到了创新的早期迹象。他说ASM供应商的修复能力通常涉及提供建议、关于如何缓解漏洞或主动关闭威胁的逐步指导。然而,人类需要遵循这些步骤。但现在,少数供应商在这一领域追求自动化。

“有一些解决方案已经提供自动修复,没有任何安全团队成员参与,“Celik说。“其中一些非常有前途。”

创新帮助企业为网络安全中不可避免的变化做好准备。KuppingerCole Analysts在其对ASM技术提供商的评估中包括创新。“那些在创新上得分更高的供应商,“Celik说,“更有可能面向未来。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次