2022年攻击面管理调查：七成企业还在用电子表格管理IT资产

2022-06-13

了解企业资产存在的暴露面，掌握这些暴露面存在的潜在风险是开展有效安全计划的基础。为了更全面地了解企业在攻击面管理上的现状以及所面临的困难与挑战，Randori与ESG日前开展了一项调查，对398位企业安全团队负责人进行了访谈和调研，并发布了《2022年攻击面管理现状报告》，报告数据显示：

67%的受访组织表示，他们的外部攻击面在过去12个月中扩大了；

69%的组织因未知、未受管理或管理不善的面向互联网的资产而受到威胁;

组织平均需要80多小时来更新其攻击面清单；

70%的组织使用至少10种解决方案来管理其安全卫生状态；

近3/4的组织仍然依靠电子表格来管理他们的攻击面；

不到1/3的组织拥有正式的外部攻击面管理解决方案；

外部攻击面管理是2022年大型企业的第一投资重点。

研究发现，行业正在努力跟上数字环境的快速扩张和不断变化的步伐，但缺乏有效做到这一点所需的工具和流程。结果导致了真正暴露给攻击者的风险与安全团队已知的风险之间的差距越来越大。研究人员认为，以下三种力量正成为推动攻击面管理（ASM）解决方案需求不断增长的重要因素：

1、攻击面继续扩大，但可见性仍然很差

报告调研发现，在过去一年中，随着远程办公人员数量、云解决方案和SaaS应用程序使用量的不断增加，企业组织的外部攻击面进一步扩大。

从表面上看，攻击面扩大并不奇怪，因为世界一直朝着更为互联和分散的方向发展，连接到互联网的资产数量自然会增加，攻击面扩大也是理所当然的。但值得警惕的是，导致攻击面扩张的原因，除了云采用率和SaaS应用程序及服务的增长外，企业对第三方供应商的日益依赖也是重要因素，企业组织对第三方供应商处的资产可见性管理能力不足，这引入了新的风险和盲点。

值得庆幸的是，调查显示绝大多数企业都认为应该提升对攻击面的监控能力，但这种意识形态并没有发挥作用。40%的受访企业仍然依赖于传统的IT资产管理系统进行攻击面的检测和发现；41%的企业通过广泛的网络威胁情报系统对新威胁进行监测。

虽然企业目前所采用的方案具有一定的价值，但传统的资产管理系统仅涵盖企业的IT和安全团队已知的资产，而网络威胁情报解决方案也仅能监测已知的威胁。这两种工具都不具备主动发现未知攻击面或对因未被企业重视的攻击面进行管理的能力，而这些恰好是企业进行安全管理的重要驱动力。

相比之下，专用的ASM解决方案具备自动监控和持续发现功能，可提高对攻击面的可见性。但调查显示，目前只有34%的受访企业在其安全堆栈中拥有该专用解决方案。这意味着半数以上的企业在攻击面的可见性方面仍处于劣势，由于未采用专用的ASM工具，这些企业组织面临的攻击威胁风险更大。

2、现有管理流程效率有待提高

2021年12月，Log4j漏洞被披露后，短短5小时内，Randori公司就开发出了一个有效的漏洞利用；48小时内，GreyNoise Intelligence等公司便观察到了针对该漏洞的广泛利用尝试。

这表明攻击者的速度正变得越来越快，攻击者采取行动时，大多数的企业组织却仍挣扎在了解自身是否暴露的阶段。企业组织平均需要80多小时来编译其攻击面的更新清单，而攻击者仅需48小时就能开发出有效的漏洞利用。

当被问及“将采取什么行动来改善攻击面管理”时，31%的受访企业表示将增加专用于发现和评估外部资产状况的漏洞扫描频率；29%的企业将根据关于资产可利用性的威胁情报，提高分析外部攻击面中资产并为资产分配风险评分的能力；25%的企业表示将为安全和IT人员提供更多的攻击面管理培训。

3、外部攻击面管理成为重要的投资领域

调查显示，73%的企业仍在使用电子表格管理企业攻击面；34%的企业拥有专用的外部攻击面管理（external attack surface management，EASM）解决方案；31%的企业将EASM作为2022年的重点投资领域，他们将围绕其攻击面管理计划建立正式的KPI和指标，并开始利用EASM解决方案从渗透测试和攻防演练工作中获得更大的价值。

专用的EASM解决方案能够消除传统电子表格在对攻击面管理时导致的编译、管理混乱问题。还可以通过持续监控暴露的资产，在新风险出现时及时向企业发出警报，了解企业对诸如Log4j等漏洞问题的暴露程度就像检查员工的电子邮件或登录控制台一样简单，可大大降低安全团队的工作压力，降低安全人员倦怠的风险。

外部攻击面管理的重要意义体现在多个方面。其中最主要的是，攻击面是抵御攻击的第一道防线。如果企业的攻击面中有大量未知或未受管理的资产，则可能随时遭遇未知攻击。

对外部攻击面进行管理可以实现对企业攻击面的持续可见性监测，能够帮助企业更加准确地评估这些风险。一般来说，企业的攻击面一直处于变化之中，这也是持续性监测的重要意义所在。

此外，企业对外部攻击面管理的了解只是一个开始。随着企业的攻击面不断扩大，不能仅停留在对风险的识别、发现和监控上，企业还必须能够通过持续的测试和验证来改进其安全控制措施，以确保企业资产和基础设施能够得到妥善的防护。