外部攻击面管理(EASM)

为什么外部攻击面管理(EASM)很重要? 

外部攻击面管理(EASM)非常重要，因为当涉及到面向公共互联网或外部的资产时，存在被利用和攻击的可能性. 重要的是要记住，这个外部攻击面可以为威胁行为者打开利用内部攻击面的大门.

EASM解决方案在识别那些成为业务攻击面一部分的面向外部的资产方面变得越来越好，因为每次面向公众的启动都会产生新的攻击向量. EASM解决方案应该能够利用威胁源来参与 threat hunting. 这对于了解威胁行为者在野外利用什么以及是否值得团队努力并主动解决潜在问题至关重要. 主动威胁搜索的关键方面包括:

• Data collection and processing 
• Documentation and reporting 
• 跨团队的协作和沟通
• 人类与科技一起工作

EASM还应该能够利用来自后边界攻击面的外部威胁情报来正确检测和优先考虑风险和威胁, 从最近的网络端点到周围的深和 dark web. 企业每天在公共互联网上投放的无数资产确实令人震惊, 这些资产一旦上线，在防止潜在的剥削方面都会有自己的考虑.

External, 对于任何希望尽其所能保护其业务的攻击面的安全组织来说，主动威胁情报是必不可少的. 关键是要采取超越网络边界的预防措施，以便能够响应每个动态攻击面上的事件.

How Does EASM Work? 

EASM通过持续监测和发现面向公共互联网的资产的潜在漏洞来工作，这些漏洞可以被利用为攻击媒介. If this were to happen, 然后，威胁行为者也可能潜在地破坏组织的内部攻击面.

Indeed Forrester says 当“工具或功能持续扫描”时，EASM可以工作, discover, 列举面向互联网的资产, 建立已发现资产的唯一指纹, and identify exposures on both known and unknown assets.“让我们来看看Forrester发现的一些用例，这些用例可以说明EASM功能的一些细节:

• Asset discovery: Dynamically find unknown, internet-facing assets; complement on-premises asset discovery tools and processes
• Asset inventory management: Automate the capturing and refreshing of data representing the IT asset estate; identify asset ownership 
• 漏洞风险管理(VRM): Enumerate internet-facing assets; inform VRM teams and tools of asset exposures for remediation
• 云安全态势管理(CSPM): Discover incorrect or weak configurations of cloud assets; identify cloud policy violations and potential compliance risks
• 并购尽职调查协助: Discover and enumerate unknown internet-facing assests of acquisition target; assess the risk to determine next steps in due diligence

With these use cases, 我们可以开始了解每天有多少资产被用于接入面向公众的互联网，并将组织的攻击面从内部扩展到外部，从而扩展到全球. External threat intelligence 提要对于减轻和阻止外部攻击面上的威胁至关重要.

EASM的功能是什么? 

EASM的一些功能我们已经在上面的不同部分中介绍过了, but we'll compile them, with some additions, here.

Curated and Fine-Tuned Detections

Depending on the provider, 威胁情报和检测工程团队应该能够通过SaaS交付提供检测, 这意味着可以访问最新的警报, updates, and threat intel. EASM从业者应该能够不断地用最新的信息来丰富威胁管理工具.

SOC Augmentation

A security operations center (SOC) 能否利用EASM平台快速访问所有资产的错误配置数据. From there, 可以进行优先排序过程，以确定哪些资产需要立即关注. On the proactive front, EASM可以用来为红色组织收集威胁情报, blue, 还有正在进行演习的紫队.

EASM平台主要应该能够帮助从业者获得对顶级外部资产的可见性，这样他们就可以在攻击者发现漏洞之前确定优先级并进行修复.

What are the Benefits of EASM? 

EASM的好处是深远的，可以对主动安全措施的有效性和企业的整体声誉产生令人难以置信的积极影响. 

• Reducing risk: Reducing the attack surface means reducing overall risk. 攻击面将不可避免地发生变化, 因此，利用能够执行与外部风险和遥测相关的动态扫描的解决方案来指出潜在威胁或漏洞是很重要的.
• Remaining in compliance:如果EASM平台能够识别网络遵从性中的差距, 特别是当它在全球的外部环境中运作时, 然后安全组织将有能力解决这些问题 cloud compliance 与内部和外部监管机构保持一致.
• Managing vulnerability随着现代边界的扩大, 新的和旧的漏洞为威胁行为者打开了大门. 并不是所有的漏洞都会被利用, 但安全机构肯定不想坐等发现. 主动管理外部攻击面上的漏洞是至关重要的.
• Refining threat intelligence:通过使用EASM平台进行外线进攻, 在威胁有机会产生影响之前减轻威胁变得更有可能. 在警报和遥测中增加更大的背景将使响应和优先排序更加迅速.
• Operating securely in the cloud:当正确地集成到安全组织中时, EASM实践应该产生暴露在公共互联网上的业务资产的完整清单，并且还应该(如前所述)提供对任何错误配置数据的访问，以帮助团队做出响应.

阅读更多关于攻击面安全的信息 

攻击面安全新闻:最新的Rapid7博客文章

Rapid7 Blog:网络资产攻击面管理101