企业风险管理案例

多年来，外部攻击面管理(EASM)一直是许多安全组织及其供应商的重点关注领域。

EASM试图发现组织外部攻击面的全部范围，并修复相关问题，其覆盖面广，主要针对软件漏洞、错误配置和被忽视的影子IT资产，从外部着手管理安全风险。对增加攻击面可见性和外部资产认知的关注得到了CISO(首席信息安全官)、CIO和从业者的一致认同。

最近，一个新的网络安全框架和工具集应运而生——曝光管理(EM)。当EM(有时称为威胁曝光管理)应用于组织时，它不仅关注漏洞和错误配置的发现，还着重于优先处理这些安全发现，并将其转化为可操作的结果，从而简化工作流程并提升安全效果。

EM的创新在于将焦点从单纯的漏洞转向可被利用的漏洞，进而根据可利用性来优先处理修复行动。

EASM的优点与不足

Gartner于2021年首次在其《Gartner安全运营技术炒作周期》报告中提出EASM概念，且该类别迅速成为安全创新的触发点，攀升至技术炒作周期的高峰。

安全生态系统快速意识到EASM的价值，市场的整合随之加速。IBM收购了Randori，Palo Alto收购了Xpanse，微软收购了RiskIQ，EASM迅速被整合进了网络安全巨头们更大、更全面的产品中。

EASM解决方案的架构师和部署者认识到，要想发挥效力，安全范式必须能够应对并克服多个结构性和后勤挑战：

动态攻击面：SaaS应用程序和按需云服务的部署模糊了所需信息(如IP地址、设备名称、网络标识等)的边界，这些信息对准确、最新的资产目录化和跟踪至关重要。用户的不确定性，例如通过无害的重新配置暴露资产，以及将公司设备连接到有风险的网络，进一步加剧了这种动态性。

无网络边界：曾经，企业网络局限于组织总部，但随着区域办公室和合作伙伴组织的加入，这一边界扩展了。云技术的采用进一步模糊了企业网络的定义。BYOD(自带设备)和COVID-19疫情期间的远程办公最终打破了关于清晰网络边界或资产分类规则的幻想，但这些资产依然需要得到防护。

信息和人员孤岛：如今的组织规模庞大，部门界限日益模糊，这种动态性可能消除瓶颈、鼓励主动性并提升生产力，但也阻碍了对部署资产(通常是非正式的)和随意使用的资产进行准确的目录化和安全管理。

EASM能够有效地进行持续的发现，并为许多新类型资产提供修复建议，然而，随着它达到了炒作的顶峰，EASM的承诺开始出现问题。事实证明，过于追求资产可见性给漏洞管理团队带来了大量额外工作：

1. 尽管EASM工具强调的可见性提升了，但仍然留下了危险的盲点，特别是供应商管理的资产风险，大多数工具无法发现。此外，网站所依赖的代码和脚本，例如第三方CSS和JavaScript，也可能面临被攻破的风险，但早期的EASM工具完全忽视了这些风险。再加上EASM常常误判资产归属、困在信息孤岛中，以及生成大量误报，导致客户感到不满和挫败。

2. 可见性成为了另一个导致警报疲劳的来源。EASM本身并未提供处理这些噪音的流程，也没有整合重复发现或将其融入现有工具和工作流程中。

3. EASM的威胁验证和优先级设定是其薄弱环节：由于可见性增强带来的大量噪音，确认警报的有效性并在对威胁严重性进行排序和分配修复优先级之前是至关重要的。

4. 上述缺陷导致企业错误地评估了风险暴露，处理了不相关的问题，浪费了时间和资源，同时让关键风险区域暴露在外。

因此，不足为奇的是，Gartner很快将EASM归入了“幻灭的低谷”。EASM的前景广阔，但仍然需要大量投资来解决其市场交付初期阶段中的不足。

曝露管理(EM)的出现

EASM试图通过不断编目潜在的CVE和错误配置来“煮沸海洋”，而EM则智能地寻找现实世界中实际存在的暴露和配置问题。

曝光管理的目标是确保组织发现并验证这些暴露。验证不仅支持优先级的设定，还能帮助修复工作。

以下三个原则为从EASM向曝光管理转变提供了路径。

更广泛、更深入的发现——了解更多关于潜在威胁、漏洞和暴露的信息，同时提供证据、背景和涉及资产的相对重要性。发现的范围至关重要，应包括组织管理和拥有的所有资产，如云和SaaS资产、供应商管理的资产以及与组织资产连接的数字供应链资产。资产归属证明也是全面发现过程中的关键一环。

验证与优先级设定——一旦发现了潜在的暴露，EM工具能够帮助验证这些发现，并根据业务影响和可利用性为其设定优先级，这种方法确保首先处理暴露的关键资产。该原则不仅仅是创建漏洞清单，更主张对资产连接性的动态理解，通常以图形表示，用以理解资产之间的关系以及安全问题的影响。

操作简化——简化操作流程是曝光管理(EM)的核心，减少平均修复时间(MTTR)对于管理暴露至关重要。EM专注于简化警报处理流程，确保警报能够及时到达正确的团队。通过提供易于遵循的修复流程，帮助IT团队快速且高效地采取行动。EM与安全信息与事件管理(SIEM)和工单系统的集成，确保适当的员工能够迅速实施措施，减少被利用的时间窗口。

EASM 2.0 = 曝露管理

EM只是Gartner推出的下一个类别，引导CISO购买更多软件工具吗?

从传统EASM到新兴的曝光管理，不仅仅是语义上的变化。EASM通过强调攻击面和可见性提供了良好的起点，但简单地编目无数问题症状并不等同于理解其严重性，提供验证的可利用性信息以及适当的修复措施。

网络安全市场需要一种专注于实际暴露的管理方式，并使用优化的工具来持续分析可利用性并操作化修复措施。你可以将EM视为“EASM 2.0”的升级版，其基础是关注可操作的发现和直接的指令。因此，曝光管理不仅是Gartner的“下一个大事件”，它还是保护组织资产和声誉的最可行方法。