青骥洞察 l 外部攻击面管理（EASM)洞察分析

一、概念

Attack Surface：参照NIST的定义The set of points on the boundary of a system, a system element, or an environment [the assets] where an attacker can try to enter, cause an effecton, or extract data from, that system, system element, or environment. 简而言之就是攻击者可达的系统边界。

External Attack Surface：是一个系统或应用程序与外部环境之间的边界，包括在外部被攻击者可见和可访问的所有资源、功能和接口。它是指攻击者可以利用的系统或应用程序的外部入口点和漏洞。这包括开放的网络端口、公开的API、Web应用程序接口、外部可访问的文件和数据库等。攻击者可以通过利用这些入口点和漏洞，尝试进入系统、获取敏感信息、执行恶意代码、发起拒绝服务攻击等。

EASM：参照Gartner报告中的定义，外部攻击面管理(EASM)是指部署用于发现面向互联网的企业资产和系统以及相关暴露的流程、技术和托管服务。

使用外部攻击面管理（EASM）可以为企业带来以下好处：

• 增强安全性：通过识别和评估外部攻击面，企业可以更好地了解潜在的风险和漏洞，从而采取相应的措施来加固防御措施，减少被攻击和数据泄露的风险。
• 攻击防御：通过对外部攻击面进行持续监测和分析，企业可以快速检测到潜在的攻击行为，采取适当的防御措施来拦截攻击，提高系统的安全性和抵御能力。
• 及时漏洞修复：通过全面了解外部攻击面，企业可以更早地发现潜在的漏洞和安全风险，并及时修补它们，减少攻击者利用漏洞的机会。
• 可视化风险：通过对外部攻击面的分析和可视化呈现，企业可以更好地了解系统的弱点和潜在风险，有助于制定更加针对性的安全策略和决策。
• 合规性要求满足：许多合规性要求，如PCI DSS、GDPR等，对外部攻击面的管理和防护提出了明确要求。通过EASM，企业可以满足这些合规性要求，降低合规性风险。

• 降低成本：通过有效管理和减少外部攻击面，企业可以降低受到攻击和数据泄露的风险，避免直接和间接的安全漏洞带来的损失和成本。

二、技术分支

EASM涵盖了多个技术分支，包括漏洞管理、威胁情报、网络安全评估、网络风险评估等。它们的目标是寻找、识别、量化和减小企业的外部攻击面。

漏洞管理

漏洞管理是一种企业可以识别和修补系统和应用程序中漏洞的方法。它重点关注企业的安全软件更新和补丁管理，以防止恶意攻击者利用漏洞入侵企业网络和系统。

威胁情报

威胁情报是一种获取情报并将其应用于安全操作的方法。它可以帮助企业预测未来的网络威胁，提高企业的安全意识和网络安全水平，使企业能够更灵敏地应对网络威胁。

网络安全评估

网络安全评估是一种评估企业网络安全水平和攻击面的方法。它通过模拟实际攻击来测试网络防御机制和安全策略的有效性，以便更好地了解企业的安全状态。

网络风险评估

网络风险评估是一种评估网络安全风险的方法。它可以帮助企业确定哪些网络资产和系统可能成为攻击目标，并评估它们的风险程度。这有助于企业制定合适的安全策略和关注点，以减轻网络威胁。

这些技术分支的相互关系是密切的。例如，网络安全评估和网络风险评估可以帮助企业确定其攻击面，而漏洞管理则是减少攻击面的关键因素。威胁情报可以用于预测未来的网络威胁，并为企业制定应对措施提供有用的建议。

三、技术实例

参照Gartner报告中对EASM的举例，有下面几项主要技术实例：

Security asset management

对企业的各种安全资产（如网络设备、应用程序、操作系统、安全工具、证书等）进行全面的管理和维护，以提高企业的安全性和降低风险。在EASM中，对企业安全资产的管理非常重要，因为只有充分了解和管理企业的安全资产，才能够做好外部攻击面的管理和防御。包括：

• 资产发现和分类：对企业的所有安全资产进行发现和分类，建立资产清单和管理档案，为企业的安全管理提供可靠的基础数据。

• 安全配置管理：对资产的配置进行规范化管理，认真执行基准安全配置，避免因不当的配置导致的安全风险。

• 漏洞管理：对安全资产进行定期的漏洞扫描和分析，及时发现和处理安全漏洞，减少安全风险。

• 系统修复管理：对系统和应用程序进行必要的修复工作，包括补丁管理和软件更新等，提高系统的稳定性和安全性。

• 证书管理：对企业的数字证书进行有效管理，确保数字证书的安全性及其使用符合企业的安全策略和规范。

• 设备监控和日志管理：对企业的网络设备和系统进行监控和日志管理，发现和防范网络攻击及安全事件。

• 移动设备管理：对企业的移动设备进行管理和安全控制，包括设备的注册、远程锁定和擦除数据等操作。

• 系统整合和集成：将各类安全资产统一管理，做到安全资产的统一可视化，并且能够与其他安全产品和系统集成，形成一个全面的安全管理平台。

• 自动化管理：利用自动化工具和技术进行资产管理和安全管理自动化，提高效率和准确性。

Issue prioritization

在EASM过程中对外部攻击面暴露的问题进行分类和优先级评估的技术。通过对问题进行分类和优先级评估，可以更好地规划和实施安全风险管理策略和措施，提高安全防御能力。具体技术如下：

• 主动式扫描：EASM技术可以主动地对企业的系统、网络和应用进行扫描，发现所有的问题漏洞。

• 问题分类：发现的问题可按照不同的类别，如漏洞、配置、权限等，进行分类。

• 问题评估：对每一个问题进行风险评估，根据不同影响程度，分配不同的优先级，例如高、中、低级别。

• 安全建议：为每个问题提供建议和解决方案，提高企业的管理效率和安全防御能力。

• 问题追踪：对所有发现的问题进行追踪管理，方便对问题处理的跟踪和记录。

• 数据分析：根据对问题的优先级和关键程度等因素进行分析，提供数据和图表，以协助企业管理人员更好地了解企业的安全福利状况，并针对性地制定和优化企业的安全策略和措施。

• 自动化管理：利用自动化工具和技术，对问题优先级进行自动化的评估，提高处理效率和准确性。

• 安全策略修订：对问题的优先级进行评估，可以指导企业安全策略的制定和修订，优先处理风险大且对企业影响深远的问题。

Data leakage detection

在EASM过程中，通过各种技术手段检测企业内部或外部泄露数据的情况。数据泄露可能会导致企业的商业秘密和客户隐私等重要信息遭到泄露，对企业的声誉和利益造成巨大损失。以下是具体技术：

• 数据分类：EASM技术可以对企业的所有数据进行分类和标记处理，以便对重要数据和敏感数据进行更加严格的监控和检测。

• 数据泄露检测：EASM技术利用数据漏洞扫描和自定义脚本等技术手段，实时监控数据传输和文件访问等行为，以便及时检测数据泄露的情况。

• 数据伪造检测：EASM技术可以检测到数据篡改和伪造等问题，确保数据内容的真实性和完整性。

• 风险评估：检测到泄露风险后，EASM可以快速掌握泄露风险的严重程度、泄露范围等关键指标，以便迅速采取应对措施。

• 自定义警报和策略：EASM可以根据企业的具体需求，自定义警报和策略，对相关状态进行实时监控和检测，对可能的数据泄露进行有效的防范和预警。

• 大数据管理：EASM技术可以利用大数据分析和处理技术，对大量的数据进行实时处理和分析，以便更好地洞悉数据泄露状况。

• 自动化管理：利用自动化工具和技术，对数据泄露的情况进行自动化的处理和管理，提高处理效率和准确性。

• 隐私合规：EASM技术可以帮助企业更好地遵守相关的隐私合规法律和标准，更好地保护企业的商业秘密和客户隐私。

Digital asset discovery

在EASM过程中，通过对企业的系统、网络和应用进行扫描和分析，发现和识别企业的数字资产的技术。数字资产可以包括域名、IP地址、网络设备、应用程序、网站、数据库等。以下是具体技术：

• 自动化扫描：EASM技术可以自动地对企业的系统、网络和应用进行扫描，无需手动输入详细信息，提高效率和准确性。

• 广泛覆盖：EASM技术能够覆盖全面的数字资产范围，包括域名、IP地址、网络设备、应用程序、网站、数据库等。

• 主动识别：EASM技术可以主动地对企业的数字资产进行识别和发现，无需企业进行手动告知或记录。

• 发现未知资产：EASM技术可以发现企业可能忽略或不知晓存在的数字资产，提高对外部攻击面的全面掌控和管理。

• 实时更新：EASM技术能够实时监测和更新数字资产信息，及时发现新增、删除或变更的资产。

• 资产分类和标记：EASM技术可以对数字资产进行分类和标记处理，以便对不同类型的资产制定不同的管理和保护策略。

• 依赖关系分析：EASM技术可以分析和展示数字资产之间的依赖关系，帮助企业全面了解资产间的联动和影响关系，以便更好地进行风险评估和防护措施的制定。

• 敏感资产发现：EASM技术可以通过敏感信息的特征识别，发现和标记企业的敏感数字资产，加强对这些资产的保护和监控。

• 数据可视化：EASM技术可以通过可视化的方式呈现数字资产的分布和状态，使企业管理人员更直观地了解企业的数字资产情况。

Asset inventory

对企业网络、系统、应用和设备等所有资源的身份信息进行收集、分类和分析的过程。在EASM中，对于外部攻击面管理来说，进行资产清单的建立和维护是非常重要的，因为它能够帮助企业更好地了解自己的安全状况，识别潜在漏洞和安全隐患，从而采取相应措施进行风险管理和防御。具体技术如下：

• 自动化收集：采用自动化工具对企业内部资源进行扫描和探测，收集有效的资产数据，如设备类型、IP地址、操作系统、开放端口、漏洞信息等。

• 多方合作：通过内部各部门的合作和协同工作，汇集企业所有的资产数据，包括IT、物联网、云等。

• 及时更新：资产清单需要及时更新，及时反映新设备的加入或老设备的移除，以保证资产数据的准确性和实时性。

• 高效性：资产清单需要高效地管理和维护，能够快速对重大安全事件做出响应，保障企业信息安全。

• 可视化展示：将资产数据可视化展示，不仅有利于业务部门的决策，同时也方便安全管理人员更好地进行风险分析和控制。

Vulnerability management

通过对企业网络、系统、应用和设备等所有资源进行定期的扫描和测试，发现可能存在的漏洞和风险，并及时采取措施进行修复或应对的过程。在EASM中，对于外部攻击面管理来说，进行漏洞管理是非常重要的，因为它能够帮助企业及时发现和修复安全漏洞，提高系统和应用的安全性，从而减少安全风险，保障企业信息安全。具体技术如下：

• 全面扫描测试：对企业的所有网络、系统、应用和设备进行全面扫描和测试，发现潜在的漏洞和安全风险。

• 优先级分类：对漏洞进行优先级分类，根据漏洞的危害程度和影响范围进行优先处理，确保关键系统和应用的安全。

• 定期更新：定期更新漏洞管理系统，保证其检测和修复能力的及时性和有效性。

• 告警提醒：当发现严重的漏洞和安全风险时，能够及时进行告警提醒，以便企业人员及时做出应对措施。

• 统计分析：对漏洞进行统计和分析，能够更好地了解企业的安全状况，识别漏洞的来源和趋势，并根据具体情况采取相应的风险管理和防御措施。

• 集成性：漏洞管理系统需要具有较好的集成性，能够与其他安全系统和设备进行有效的整合，形成一个全面的安全防御体系。

Cloud security and governance

对企业在云环境中的数据和资源进行有效管理和保护的技术。在EASM中，云安全和治理非常重要，因为许多企业正在采用云服务来存储和处理敏感信息，需要确保数据的机密性、完整性和可用性，同时合规性需求也需要得到满足。具体技术如下：

• 数据加密：对敏感数据进行加密，确保数据在存储和传输过程中的保密性和安全性。

• 准入控制：采用身份认证、访问控制和权限管理等措施，限制用户和系统对云资源的访问和操作权限，提高云环境的安全性。

• 审计和日志记录：对云环境中的操作和事件进行审计和日志记录，能够更好地追踪和监控安全事件，提供安全事件调查和故障排查的依据。

• 合规性管理：确保企业在云环境中满足相关的合规性要求，如GDPR、HIPAA等，包括数据保护、隐私保护、数据存储位置等。

• 弹性扩展：云环境具有弹性的特点，能够根据业务需求进行快速扩展和收缩，但也需要确保安全控制和治理能够随之弹性变化。

• 风险评估和管理：对云环境进行风险评估，及时识别和处理可能存在的安全风险，采取相应措施进行风险管理和防御。

• 自动化管理：利用自动化工具和技术，对云资源进行自动化的安全管理和治理，提高效率和准确性。

• 多云管理：针对企业在多个云服务提供商之间的部署和资源，提供统一的安全管理和治理框架，减少安全管理的复杂性。

Subsidiary security monitoring（子公司安全监控）

EASM中的一项技术。它指的是对组织的子公司、合作伙伴或第三方供应商进行监控和评估，以确保其安全措施能够满足组织的安全标准和要求。以下是subsidiary security monitoring的一些技术：

• 监控和评估：通过使用各种技术和工具，对子公司的网络、系统和应用程序进行实时监控和评估，以发现潜在的安全漏洞和威胁。

• 漏洞扫描：使用漏洞扫描工具对子公司的网络和系统进行扫描，以识别可能存在的漏洞和弱点。这样可以采取相应的措施来弥补这些漏洞，提高整体的安全性。

• 安全事件监测：通过实时监测网络和系统日志，可以及时发现和处理可能的安全事件和入侵行为。这有助于保护组织和子公司的敏感数据和资源。

• 安全策略与合规性检查：对子公司的安全策略和流程进行审查和验证，以确保其符合组织的安全规范和合规要求。如果发现不符合的情况，可以采取措施予以纠正。

• 第三方供应商安全评估：对与组织合作的第三方供应商进行安全评估，以确保它们的安全措施和实践符合组织的要求，从而降低与这些供应商合作可能带来的风险。

• 安全报告和监控仪表板：生成定期的安全报告和监控仪表板，向组织和子公司提供关于安全状况、漏洞以及风险的可视化信息，以便及时采取必要的措施。

subsidiary security monitoring技术可以帮助组织全面了解和管理其子公司、合作伙伴和第三方供应商的安全风险，并采取适当的措施来保护组织的数据和资源。

四、主要供应商和技术特点

以下是一些常见的External Attack Surface Management (EASM)头部供应商及其产品：

• Tenable.io：Tenable.io是一种云端基础设施和应用安全管理平台，提供实时的外部攻击面视图和漏洞扫描功能。其特点包括全面的资产和漏洞发现、多种漏洞扫描方法和自动化监控等。

• Rapid7 InsightVM：Rapid7 InsightVM是一种综合的漏洞管理和安全评估平台，可提供对企业外部攻击面的全面可见性和漏洞扫描。其特点包括高级漏洞评估和快速漏洞修复建议等。

• Qualys Cloud Platform：Qualys Cloud Platform是一种集成了多项安全解决方案的云安全平台，包括全面的外部攻击表面管理功能。其特点包括实时的资产发现和扫描、基于云的部署和自动化报告等。

• RiskIQ Digital Threat Management：RiskIQ Digital Threat Management是一种综合的数字威胁管理平台，提供全面的外部攻击表面管理和威胁情报功能。其特点包括全面的数字资产发现和监控、威胁情报检测和实时威胁响应等。

这些头部供应商的产品提供了各种先进的功能和特点，包括全面的数字资产发现和管理、实时的外部攻击检测和漏洞扫描、自动化的工作流和报告等。它们通过提供可视化的外部攻击面视图、智能化的威胁分析和实时监控，帮助企业全面了解和管理其外部攻击表面，提高对潜在风险的感知能力，并加强对外部攻击的防范和响应能力。

参考资料

• Hype Cycle for Security Operations, 2023

• Innovation Insight for Attack Surface Management

• Competitive Landscape - External Attack Surface Management

• Predicts 2023 - Enterprises Must Expand From Threat To Exposure Management