国内唯一！长亭科技入选国际权威机构EASM报告

近日，全球权威市场研究与咨询机构Forrester发布了最新研究报告《The External Attack Surface Management Landscape, Q1 2023》(以下简称“报告”)，对外部攻击面管理（EASM）市场的多家知名企业,从资产发现、资产库存管理、漏洞风险管理、云安全态势管理等多个维度进行综合评估，长亭科技凭借云图（CloudAtlas）攻击面管理运营平台出众的资产发现与外网暴露面识别、全方位风险检测能力脱颖而出，成为国内唯一一家入选厂商。

 

【攻击面管理】是啥

最近大家都在讨论的【攻击面管理】
究竟是啥腻？
攻击面管理
这一概念最早由Gartner于2018年提出
并给出了明确的定义

【攻击⾯管理（ASM）技术：通过合理配置⼈员、流程、技术和服务，持续实现企业资产的发现、存储和管理，提⾼攻击⾯的可⻅性，有助于减少可能被恶意威胁者利⽤的资产暴露。】

在概念之下
很多人还是无法理解
「攻击面管理」与「漏洞管理」
究竟有什么区别

 

漏洞管理 or 攻击面管理

首先要明确的是
攻击面≠漏洞
企业的风险不仅仅只有漏洞
技术环境的不断复杂和分散
企业受攻击的暴露面一直在「膨胀」
物联网、开源代码、SaaS应用程序、云应用、数字供应链、社交媒体……
引发的风险使企业暴露出的攻击面
远远超出了其可控资产的范围

在以往「漏洞评估」的视角下
仅可见扫描工具指定扫描的内容
（例如IP地址）
那些隐秘在角落的
【证书、⼦域、IP、公共云服务错误配置、SaaS应用、泄露的代码、暴露的数据库、可被攻击者利⽤的漏洞】等等未知资产与风险
在黑暗中涌动

虽然「攻击面」不等于「漏洞」
但二者关系非同一般

在一家企业中
「攻击面」好比是企业开放的门和窗
对外暴露的门和窗越多
企业越不安全
「漏洞」的等级好比门和窗的结实程度
同样的漏洞，危险等级越高
企业越容易被攻破

在攻击者视角下
「攻击面*漏洞=企业的安全脆弱性」
攻击面和漏洞两个因子
不管哪一个能力不足
都增加了攻击者的赢面

举个🌰
假设
1个系统有10个漏洞
如果你有100个系统
那么就有10 * 100 个潜在的攻击路径被攻击者击穿
攻击者赢的机会就有1000个

企业在安全建设时
二者要「动态平衡」的一起搞
并维持在一定水平之上
才是安全投入的最优解

 

如何做好攻击面管理

攻击面管理解决的主要问题之一
就是提升未知资产与风险的可见性
它还有三大技术分支

在这里提到的概念中
EASM ：外部攻击面管理
（External Attack Surface Management）
CAASM：网络资产攻击面管理
（Cyber Asset Attack Surface Management）
是帮助企业识别攻击面的神器

EASM 主要关注外部资产，并积极扫描
将数据传给CAASM
CAASM 富化收集到的所有数据
生成组织「资产的整体视图」
实现“真-企业攻击面收敛”

落地咋搞？“两步走”！

第一步，EASM
不扰于外敌
进行外部攻击面管理
做好风险收敛
第二步，CAASM
筑城以守固
把内部的风险管理好
若边界被攻破
不让攻击者在内网一马平川

 

“攻击者”视角的EASM

当下，很多企业的现状是
弱口令、高危漏洞一大堆
暴露资产也不少
所以EASM先管好暴露面尤为重要
Forrester给出的「EASM」定义是

【持续扫描、发现和列举面向互联网的资产的工具或能力，建立所发现资产的独特指纹，并识别已知和未知资产的风险。】

EASM
最最重要的、最最显著的特征是
由外而内的
攻击者视角

据统计
现有扫描工具大约仅覆盖40%的攻击面
每家企业至少有20%以上的未知资产
这些「企业」看不见的
往往是「攻击者」最乐意看见的
有统计，68%的企业
曾因为未知/影子资产而遭到攻击

攻击者如何看待业务组织？
最有可能从哪里发起入侵攻击？
哪些系统和资产面临风险？
……
知己知彼，再有的放矢的去思考如何消除风险

当然，EASM能做的事情远不止此

「提升攻击面可见性」
这里包含缕清组织与业务的关系
发现资产并盘点清晰
对资产进行分级分类
攻击面识别与分析

「持续安全巡检」
这里要求EASM可以持续的完成基线监控
漏洞扫描、快速应急响应、持续跟踪验证
也可对云资源进行安全配置管理

「度量安全风检」
验证攻击并对进行风险优先级排序
进行攻击路径分析
并配合攻防演练服务进行风险度量

「安全管理与控制」
灵活的配置、自定义策略、联动防御预警

其中「持续安全巡检」是非常重要的能力
资产动态变化
企业不停的新增风险敞口
EASM要与攻击者竞速
才能保证风险不被利用

上面是EASM重要的「能力画像」
云图(Cloud Atlas) 攻击面管理运营平台
负责人猪猪侠认为
要想证明EASM的效果
必须拉出来打一打
用数据说话

秀一下云图(Cloud Atlas)
能够识别和覆盖的资产与风险数量

以全新防护思路出现的
云图(Cloud Atlas) 攻击面管理运营平台
会以更加优秀的风险发现能力
快速融入到企业安全运营体系中
成为不可或缺的组成

欢迎来测