随着云计算、移动互联网、物联网5G等数字化技术的应用,IT业务越来越开放,IT系统也越来越复杂,这意味着风险暴露面也会随之增长,再加上网络攻击技术门槛不断降低,网络安全形势会更加严峻。因此,攻击面管理成为了安全团队的首要工作任务之一。今年上半年,Gartner发布了《新兴技术:外部攻击面管理EASM关键洞察》报告,指出作为新兴技术,EASM得到了主流安全供应商的关注,技术和市场快速发展,EASM将成为企业漏洞管理策略的重要组成部分。
EASM是一种流程和技术的组合,用于发现可能存在漏洞的面向外部(互联网暴露)的企业资产和系统。在 EASM 中发现了面向外部的资产,如域、子域、IP、公共云服务错误配置、泄露的代码、暴露的数据库、可被攻击者利用的漏洞等。EASM的一个关键优势是提供了一个由外而内的视角(见图1)。
图 1:外部与内部视图
EASM应该成为更广泛的威胁和漏洞管理工作的一部分,旨在发现和管理面向内外部的资产及其潜在漏洞,同时可以协助补充漏洞评估和云安全态势管理(CSPM)等现有能力,以优先处理修复漏洞和错误配置。
01 主要能力
监测:持续扫描各种环境(如云服务和面向外部的企业内部基础设施)和分布式生态系统(如物联网基础设施);
资产发现:发现和清点企业未知的面向外部的资产和系统;
分析:评估和分析资产属性,确定资产是否存在风险、脆弱性或异常行为;
优先排序:对风险和漏洞进行优先排序,并根据优先排序分析提供预警和优先级分析;
修复:提供优先缓解措施的实施计划,以及修复缓解工作流程,并集成像工单系统、事件响应工具、SOAR等解决方案。
02 应用场景
资产的识别及清点:识别未知的数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表;
漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定修复优先次序;
云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM可以提供全面的云资产清单,补充现有的云安全工具;
数据泄漏检测:监测数据泄漏情况,如凭证泄漏或敏感数据通过协作工具和云应用程序或第三方使用的协作工具暴露的敏感数据;
子公司风险评估:进行公司数字资产可视化能力建设,以便更全面地了解和评估风险;
供应链/第三方风险评估:评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险;
并购(M&A)风险评估:了解待并购公司数字资产和相关风险。
图 2:外部攻击面管理的主要应用场景
03 关键洞察
这项新兴技术关键洞察分析有三个,每个关键洞察都强调了对安全产品领导者的影响以及他们应该在产品路线图和开发,以及影响对EASM 技术和产品的采用(参见图 3)。
图 3:关于产品外部攻击面管理的关键见解
关键洞察 1:外部攻击面管理(EASM)能力与其他现有的安全市场相交叉;攻击面管理(EASM)能力可跨越到其他现有的安全市场,主要是数字风险保护服务(DRPS)
需要对面向外部的资产和服务以及可能出现的相关漏洞,相关因素包括:
数字化转型
影子 IT 削弱了企业边界
COVID-19 带来的新远程工作环境
1.影响
目前,EASM 与 DRPS 的最大重叠部分(见图 4)。沟通这两种产品的差异将使潜在用户受益。另一方面,强一致性可能有利于 DRPS 供应商扩展到 EASM,反之亦然。此外,EASM 和 DRPS 的显著差异可以补充安全服务厂商围绕安全的产品评估。
图 4:EASM 和 DRPS 之间的市场重叠
一般来说,EASM 供应商格局将分为两条路径:
供应商主要专注于持续的数字资产识别、责任部门和台账,以提高组织的资产和漏洞的可见性;
供应商还专注于支持红队活动,如持续的BAS,以提供更多的 “攻击者视角”。
CyCognito、FireCompass和Randori就是后者的例子,这些供应商不太可能进一步扩展到DRPS。EASM供应商主要专注于数字资产挖掘和开发相关应用场景。EASM供应商可以探索DRPS的机会,这就需要社交媒体数据保护、深度暗网监控和非法资产及时下线服务等能力。
2.建议
宣传EASM与相邻或重叠技术的区别,阐明EASM与类似工具在范围、方法、功能和核心目的上的区别;
制定针对渠道合作伙伴的市场策略,如提供安全评估、漏洞管理和数字风险管理服务的MSSP和安全咨询供应商;
对于具有EASM功能的DRPS供应商来说,首要寻找现有事件响应服务供应商,因其可提供安全评估服务,可强有力地补充EASM产品。
关键洞察2:EASM是一个新兴的概念,安全供应商对其认识正在迅速提高。
安全人员对EASM价值的认识和理解仍具有局限性。由于EASM仍是一个新兴的概念,EASM供应商需要在信息传递和用户宣传方面做出努力。此外,鉴于许多供应商对 "攻击面管理 "的炒作越来越多,各安全领域的供应商(甚至是漏洞评估和DRPS以外的供应商)可能会随意地使用这个术语,这将干扰买家做出正确判断。
1.影响
由于EASM的概念仍在更迭,预计至少需要12至18个月的时间才能在市场上形成合理的认知水平。这意味着EASM领域的产品领导者将需要计划额外的资源和工作来宣传并建立品牌认知。需要制定营销方案,明确EASM的适应范围及应用场景。
2.建议
与公认的市场分类法相协调,如Gartner的EASM概念。
开发符合不同用户的需求和关注点的用例,涵盖以技术为重点的角色、以CISO 和风险经理战略重点。
关键洞察 3:EASM 可以更广泛的成为企业漏洞管理策略的组成部分
EASM应该是更广泛的企业威胁和漏洞管理的组成部分,其中已知和未知的风险、脆弱性和资产被作为一个整体来考虑。近年来的重大安全事件表明,风险暴露是如何从一系列新的(面向内部和外部的)基础设施资源中产生的,如第三方的供应链、OT/IoT系统和面向外部的基础设施。
SolarWinds软件的黑客攻击使许多企业受到影响。
OT和IoT系统的漏洞被利用来破坏高安全性的关键系统(如Stuxnet蠕虫攻击)和发起大规模分布式拒绝服务(DDoS)攻击(如Mirai活动)。
亚马逊AWS的存储服务未检测到的漏洞导致了多个大型企业的数据泄漏(例如,在Booking.com、Capital One和Expedia)。
减轻这一系列风险的有效方法是采取更好的协调统一的方法,使得一些综合控制和流程支持框架覆盖的所有风险领域。
1.影响
EASM 能力与 DRPS、第三方风险管理、CSPM 和脆弱性评估有交叉和重叠,随着市场的成熟,我们可以预期多个安全细分市场将出现一定程度的整合。随着组织采用更全面的策略进行威胁和漏洞管理,他们将尽量寻求从单一供应商采购多种安全能力,而不是从多个供应商处采购解决方案。这也符合安全购买者从同类最佳解决方案转向集成度更高的解决方案的趋势。网络安全保险是一个有趣的用例,EASM 解决方案可以提供帮助确定保险费。
鉴于市场的互补性和重叠性,EASM产品的领导者应该为合作或收购做好准备。影响EASM领域的并购包括以下几个方面:
Palo Alto Networks提供具有CSPM和网络应用安全功能的Prisma Cloud 2.0,于2020年12月收购了Expanse。
网络安全保险和风险供应商Coalition于2020年1月收购了BinaryEdge。
可预见的是,未来并购也可能涉及安全专业服务提供商。拥有渗透测试、BAS和红队的安全服务企业,可能会考虑收购或与EASM供应商合作,以扩大其漏洞和威胁管理能力。虽然市场还不成熟,但EASM可以成为一个差异化的产品,并为提供额外的销售机会。
独立的EASM供应商应着眼于邻近的空间,寻求进一步合作和发展。图5显示了我们认为与EASM市场最一致的市场,以及哪些技术更具有互补性和重叠性。
图 5:外部攻击面管理生态系统
2.建议
制定价值主张,支持客户努力实现全局性的威胁和漏洞管理策略;
专注扩大对安全和云整合的支持,补充资产监控工具、漏洞管理合作伙伴和安全生态系统;
与漏洞管理领域的其他技术参与者建立紧密的伙伴关系,目的是更好地推动市场向更全面的解决方案的演进。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
