隨著云計算、移動互聯網、物聯網5G等數字化技術的應用，IT業務越來越開放，IT系統也越來越復雜，這意味著風險暴露面也會隨之增長，再加上網絡攻擊技術門檻不斷降低，網絡安全形勢會更加嚴峻。因此，攻擊面管理成為了安全團隊的首要工作任務之一。今年上半年，Gartner發布了《新興技術：外部攻擊面管理EASM關鍵洞察》報告，指出作為新興技術，EASM得到了主流安全供應商的關注，技術和市場快速發展，EASM將成為企業漏洞管理策略的重要組成部分。

　　EASM是一種流程和技術的組合，用于發現可能存在漏洞的面向外部（互聯網暴露）的企業資產和系統。在 EASM 中發現了面向外部的資產，如域、子域、IP、公共云服務錯誤配置、泄露的代碼、暴露的數據庫、可被攻擊者利用的漏洞等。EASM的一個關鍵優勢是提供了一個由外而內的視角（見圖1）。

　　圖 1：外部與內部視圖

　　EASM應該成為更廣泛的威脅和漏洞管理工作的一部分，旨在發現和管理面向內外部的資產及其潛在漏洞，同時可以協助補充漏洞評估和云安全態勢管理（CSPM）等現有能力，以優先處理修復漏洞和錯誤配置。

　　01 主要能力

　　監測：持續掃描各種環境（如云服務和面向外部的企業內部基礎設施）和分布式生態系統（如物聯網基礎設施）；

　　資產發現：發現和清點企業未知的面向外部的資產和系統；

　　分析：評估和分析資產屬性，確定資產是否存在風險、脆弱性或異常行為；

　　優先排序：對風險和漏洞進行優先排序，并根據優先排序分析提供預警和優先級分析；

　　修復：提供優先緩解措施的實施計劃，以及修復緩解工作流程，并集成像工單系統、事件響應工具、SOAR等解決方案。

　　02 應用場景

　　資產的識別及清點：識別未知的數字資產（如網站、IP、域名、SSL證書和云服務），并實時維護資產列表；

　　漏洞修復及暴露面管控：將錯誤配置、開放端口和未修復漏洞根據緊急程度、嚴重性來進行風險等級分析以確定修復優先次序；

　　云安全與治理：識別組織的公共資產，跨云供應商，以改善云安全和治理，EASM可以提供全面的云資產清單，補充現有的云安全工具；

　　數據泄漏檢測：監測數據泄漏情況，如憑證泄漏或敏感數據通過協作工具和云應用程序或第三方使用的協作工具暴露的敏感數據；

　　子公司風險評估：進行公司數字資產可視化能力建設，以便更全面地了解和評估風險；

　　供應鏈/第三方風險評估：評估組織的供應鏈和第三方有關的脆弱性及可見性，以支持評估組織的暴露風險；

　　并購（M&A）風險評估：了解待并購公司數字資產和相關風險。

　　圖 2：外部攻擊面管理的主要應用場景

　　03 關鍵洞察

　　這項新興技術關鍵洞察分析有三個，每個關鍵洞察都強調了對安全產品領導者的影響以及他們應該在產品路線圖和開發，以及影響對EASM 技術和產品的采用（參見圖 3）。

　　圖 3：關于產品外部攻擊面管理的關鍵見解

　　關鍵洞察 1：外部攻擊面管理（EASM）能力與其他現有的安全市場相交叉；攻擊面管理（EASM）能力可跨越到其他現有的安全市場，主要是數字風險保護服務（DRPS）

　　需要對面向外部的資產和服務以及可能出現的相關漏洞，相關因素包括：

　　數字化轉型

　　影子 IT 削弱了企業邊界

　　COVID-19 帶來的新遠程工作環境

　　01 影響

　　目前，EASM 與 DRPS 的最大重疊部分（見圖 4）。溝通這兩種產品的差異將使潛在用戶受益。另一方面，強一致性可能有利于 DRPS 供應商擴展到 EASM，反之亦然。此外，EASM 和 DRPS 的顯著差異可以補充安全服務廠商圍繞安全的產品評估。

　　圖 4：EASM 和 DRPS 之間的市場重疊

　　一般來說，EASM 供應商格局將分為兩條路徑：

　　供應商主要專注于持續的數字資產識別、責任部門和臺賬，以提高組織的資產和漏洞的可見性；

　　供應商還專注于支持紅隊活動，如持續的BAS，以提供更多的 “攻擊者視角”。

　　CyCognito、FireCompass和Randori就是后者的例子，這些供應商不太可能進一步擴展到DRPS。EASM供應商主要專注于數字資產挖掘和開發相關應用場景。EASM供應商可以探索DRPS的機會，這就需要社交媒體數據保護、深度暗網監控和非法資產及時下線服務等能力。

　　02 建議

　　宣傳EASM與相鄰或重疊技術的區別，闡明EASM與類似工具在范圍、方法、功能和核心目的上的區別；

　　制定針對渠道合作伙伴的市場策略，如提供安全評估、漏洞管理和數字風險管理服務的MSSP和安全咨詢供應商；

　　對于具有EASM功能的DRPS供應商來說，首要尋找現有事件響應服務供應商，因其可提供安全評估服務，可強有力地補充EASM產品。

　　關鍵洞察2：EASM是一個新興的概念，安全供應商對其認識正在迅速提高。

　　安全人員對EASM價值的認識和理解仍具有局限性。由于EASM仍是一個新興的概念，EASM供應商需要在信息傳遞和用戶宣傳方面做出努力。此外，鑒于許多供應商對 “攻擊面管理 ”的炒作越來越多，各安全領域的供應商（甚至是漏洞評估和DRPS以外的供應商）可能會隨意地使用這個術語，這將干擾買家做出正確判斷。

　　01 影響

　　由于EASM的概念仍在更迭，預計至少需要12至18個月的時間才能在市場上形成合理的認知水平。這意味著EASM領域的產品領導者將需要計劃額外的資源和工作來宣傳并建立品牌認知。需要制定營銷方案，明確EASM的適應范圍及應用場景。

　　02 建議

　　與公認的市場分類法相協調，如Gartner的EASM概念。

　　開發符合不同用戶的需求和關注點的用例，涵蓋以技術為重點的角色、以CISO 和風險經理戰略重點。

　　關鍵洞察 3：EASM 可以更廣泛的成為企業漏洞管理策略的組成部分

　　EASM應該是更廣泛的企業威脅和漏洞管理的組成部分，其中已知和未知的風險、脆弱性和資產被作為一個整體來考慮。近年來的重大安全事件表明，風險暴露是如何從一系列新的（面向內部和外部的）基礎設施資源中產生的，如第三方的供應鏈、OT/IoT系統和面向外部的基礎設施。

　　SolarWinds軟件的黑客攻擊使許多企業受到影響。

　　OT和IoT系統的漏洞被利用來破壞高安全性的關鍵系統（如Stuxnet蠕蟲攻擊）和發起大規模分布式拒絕服務（DDoS）攻擊（如Mirai活動）。

　　亞馬遜AWS的存儲服務未檢測到的漏洞導致了多個大型企業的數據泄漏（例如，在Booking.com、Capital One和Expedia）。

　　減輕這一系列風險的有效方法是采取更好的協調統一的方法，使得一些綜合控制和流程支持框架覆蓋的所有風險領域。

　　01 影響

　　EASM 能力與 DRPS、第三方風險管理、CSPM 和脆弱性評估有交叉和重疊，隨著市場的成熟，我們可以預期多個安全細分市場將出現一定程度的整合。隨著組織采用更全面的策略進行威脅和漏洞管理，他們將盡量尋求從單一供應商采購多種安全能力，而不是從多個供應商處采購解決方案。這也符合安全購買者從同類最佳解決方案轉向集成度更高的解決方案的趨勢。網絡安全保險是一個有趣的用例，EASM 解決方案可以提供幫助確定保險費。

　　鑒于市場的互補性和重疊性，EASM產品的領導者應該為合作或收購做好準備。影響EASM領域的并購包括以下幾個方面：

　　Palo Alto Networks提供具有CSPM和網絡應用安全功能的Prisma Cloud 2.0，于2020年12月收購了Expanse。

　　網絡安全保險和風險供應商Coalition于2020年1月收購了BinaryEdge。

　　可預見的是，未來并購也可能涉及安全專業服務提供商。擁有滲透測試、BAS和紅隊的安全服務企業，可能會考慮收購或與EASM供應商合作，以擴大其漏洞和威脅管理能力。雖然市場還不成熟，但EASM可以成為一個差異化的產品，并為提供額外的銷售機會。

　　獨立的EASM供應商應著眼于鄰近的空間，尋求進一步合作和發展。圖5顯示了我們認為與EASM市場最一致的市場，以及哪些技術更具有互補性和重疊性。

　　圖 5：外部攻擊面管理生態系統

　　02 建議

　　制定價值主張，支持客戶努力實現全局性的威脅和漏洞管理策略；

　　專注擴大對安全和云整合的支持，補充資產監控工具、漏洞管理合作伙伴和安全生態系統；

　　與漏洞管理領域的其他技術參與者建立緊密的伙伴關系，目的是更好地推動市場向更全面的解決方案的演進。