外部攻击面管理 (EASM) 帮助组织识别和管理与面向互联网的资产和系统相关的风险。目标是发现难以检测的威胁，例如影子 IT 系统，以便您可以更好地了解组织的真实外部攻击面。

EASM 流程、工具和托管服务可以帮助检测服务器、公共云服务、凭证和第三方合作伙伴之间的威胁。理想情况下，您的 EASM 计划应帮助您识别云错误配置、软件漏洞、暴露的凭据、影子 IT 以及威胁行为者可以利用的各种其他安全漏洞。

相关内容：阅读我们的攻击面管理指南

在本文中：

• 外部攻击面的兴起
• 外部攻击面的主要挑战是什么？
  • 分布式IT生态系统
  • 影子IT
  • 来自自动化工具的太多数据
• EASM 功能和用例

外部攻击面的兴起

传统上，占主导地位的 IT 安全策略是使用内部网络和防火墙提供深入的外围防御。然而，威胁行为者并不总是需要突破边界，因为外部托管的资产代表着唾手可得的成果。保护这个外部攻击面是安全团队面临的主要挑战。

现代数字系统具有广泛的覆盖范围，许多资产部署在受保护的网络边缘之外。与内部网络相比，这种外部数字足迹可能更大，保护起来也更具挑战性，包括员工、客户和第三方之间基于互联网的交互。

当企业实施数字化转型项目并允许远程用户通过网络应用程序和服务进行通信时，这一挑战只会变得更加严峻。组织扩展其数字资产，其中许多资产托管在防火墙之外或公共云中（即云基础设施或移动应用程序商店）。

此外，开发这些应用程序和服务通常涉及第三方产品和功能，包括数据、基础设施和代码。第三方供应商和服务提供商通常在其他提供商（即第四方）之上构建其功能。组织必须将这些资产纳入其外部攻击面策略，即使他们不了解具体细节。

外部攻击面的主要挑战是什么？

以下是组织在尝试映射和保护外部攻击面时面临的主要挑战：

分布式IT生态系统

组织不再拥有传统的、定义明确的网络边界。当今的 IT 生态系统包括分布在许多位置和设备上的众多端点和资产。该生态系统可以包括核心网络、区域办事处、子公司、第三方托管提供商以及位于组织防火墙之外的业务合作伙伴。

影子IT

除了 IT 生态系统日益分散的性质之外，组织还面临影子 IT、未经授权使用 IT 系统、软件、设备、服务和应用程序带来的严重风险。通常，影子 IT 可以帮助提高员工生产力并推动创新。然而，它也带来了严重的安全风险，可能导致数据泄露和潜在的合规违规。

主要问题不在于员工使用某种工具。相反，安全问题的发生是因为员工在没有通知 IT 或安全部门的情况下引入了这些工具。影子 IT 意味着安全团队甚至不知道已被攻击者利用的受损资产。没有可见性，无法清点所有资产，也无法确保安全堆栈真正涵盖与 IT 生态系统交互的所有组件。

如果 IT 团队不了解这些工具，他们就无法提高对这些工具的保护，以确保正确使用并防御攻击。他们无法修补最新的安全软件版本或监控漏洞。因此，该组织很容易受到攻击。

来自自动化工具的太多数据

组织经常使用多种工具来监控攻击面。结果，他们花费了大量的资源和时间，却没有实现可操作的可见性。这些工具会产生大量数据，需要不断维护和分析。太多的数据和太多的警报最终会耗尽资源。为了真正发挥作用，安全工具需要采用优先级划分和警报分类功能，以提供可操作的见解。

相关内容：阅读我们的攻击面监控指南 

EASM 功能和用例

EASM 工具有助于绘制外部攻击面，帮助组织发现和管理面向外部和内部的资产中的潜在漏洞和安全弱点，并发现基于基础设施的未知漏洞。

您可以使用这些工具作为整体网络安全策略的一部分，并将它们设置为与云安全态势管理 (CSPM) 和漏洞扫描程序等工具一起使用。理想情况下，EASM 应在您的安全堆栈中工作，以帮助识别、确定优先级并修复错误配置和漏洞。

以下是需要寻找的 EASM 关键能力：

• 监控——持续扫描各种外部环境，例如面向外部的本地基础设施和云服务，以及物联网基础设施等分布式生态系统。
• 资产发现——尝试发现和映射未知的外部资产。
• 分析——评估和分析资产属性，以帮助确定每项资产的风险级别，无论资产是否脆弱或行为异常。
• 优先级划分——帮助确定漏洞和风险的优先级，根据优先级分析推送警报。
• 修复——提供可操作的见解，以减轻优先威胁并修复与票务系统、安全编排、自动化和响应 (SOAR) 解决方案以及事件响应工具等解决方案的集成。

EASM 是一个新兴领域，为常见用例提供类似功能的供应商相对较少。以下是最常见的 EASM 用例：

• 数字资产发现和库存——帮助组织跨各种环境（包括云、本地 IT、运营技术 (OT) 和物联网）查找未知的数字资产，例如网站、域名、IP、云服务和 SSL 证书。EASM 有助于实时维护已识别资产的库存。
• 修复漏洞并减少暴露——根据风险级别和严重性，优先修复各种暴露，包括错误配置、未修补的漏洞和开放端口。
• 云安全和治理——帮助组织识别云供应商的公共资产，以改善云治理和安全性。目标是发现组织不知道的云资产，并应用适当的保护措施来保护它们。
• 数据泄漏检测——监控数据泄漏，包括通过第三方和员工使用的云应用程序和协作工具发生的凭证泄漏和敏感数据暴露。
• 子公司风险评估——了解各个子公司的数字资产，以进行更全面的风险评估。
• 供应链或第三方风险评估——扩大可见性以涵盖供应链漏洞和第三方威胁。它有助于支持评估组织风险暴露的评估。
• 并购 (M&A) 风险评估——帮助组织了解数字资产格局以及收购组织可能从被收购公司继承的相关风险。

使用 LvBuG 进行攻击面管理

仅靠可见性不足以最大限度地降低风险和抵御攻击。组织需要了解他们的攻击面。他们需要根据不良行为者如何优先考虑和执行攻击来对资产进行风险排名。

LvBuG Assets 将道德黑客的情报与资产发现、持续评估和流程改进相结合，以降低不断扩大的数字环境中的风险。您可以在一个地方识别、分析、管理测试范围并跟踪测试结果，以获得完整的资产清单。

一旦确定，就可以对资产风险进行排名，解决覆盖范围差距并分配补救资源。我们的道德黑客社区可以丰富资产数据，包括技术映射，以实现资产跟踪和足迹。借助 LvBuG Assets，组织将了解其攻击面并做好有效抵御攻击的准备。