Forrester：攻击面管理（ASM）不仅是一种工具

当2021年12月Log4j漏洞被曝出并带来广泛影响时，攻管理工具越来越多的击面仅种企业开始意识到IT资产可见性的重要性。由于影子IT、攻管理工具并购和第三方/合作伙伴的击面仅种活动 ，组织通常不了解其资产状况 ，攻管理工具安全团队和IT团队努力实现其可见性 ，击面仅种以使企业深入了解日益复杂的攻管理工具分布式IT环境 。如果没有足够深入的击面仅种可见性
，企业不可能实现应用程序和基础设施依赖映射（AIDM）的攻管理工具理想状态。当然 ，击面仅种企业也无法为未摸清底细的建站模板攻管理工具应用程序和系统推出关键补丁 ！

近日，击面仅种研究机构Forrester发布ASM（Attack Surface Management  ，攻管理工具攻击面管理）研究报告  ，击面仅种阐述了ASM市场、攻管理工具主要应用场景以及企业安全计划中基本的ASM集成点等
。Forrester给攻击面管理（ASM）所下的定义是：“持续发现、识别、清点和评估组织全部IT资产面临的风险这一流程”。攻击面管理不仅仅局限于通过互联网访问的环境，而是源码库在组织的整个环境中进行。组织有机会将来自ASM工具和流程的外部可见性与内部安全控制 、配置管理数据库（CMDB） 、其他资产以及跟踪及管理平台整合起来 ，全面映射企业中的所有连接和资产。

在报告中，Forrester列出了ASM应用的几点建议 ：应该将ASM视为是工具赋能的一项计划 ，而不仅仅是一种工具或功能；还应该利用ASM将优先级相互冲突的团队聚集起来 。服务器租用如果组织正力求达到应用程序和基础设施依赖关系映射的预期状态，那么让ASM计划的目标紧紧围绕提高可见性 、进而提高可观察性，并将其定位于达到这个预期状态的关键手段，就可以统一安全 、技术、业务领导者及团队，这是漏洞风险管理和内部补丁SLA肯定无法做到的 。

实际上 ，ASM计划应如同一个融合或矩阵组织，牵涉多个利益相关者，亿华云包括基础设施及运营、应用程序开发及交付 、安全 、风险 、合规、隐私、营销、社交媒体及其他职能部门。

ASM解决方案的采用者盛赞ASM的诸多优点：提高可见性、节省时间以及确定风险优先级 。一位安全工程师表示：“ASM工具发现的资产比我们以为的多50%。”美国一家ISP的高防服务器一位网络安全架构师说 ：“ASM是必不可少的安全控制工具 。”虽然市面上有几家公司将ASM作为独立解决方案来提供，但我们越来越多地看到这些独立产品被提供威胁情报、漏洞管理以及检测和响应的供应商收购
。研究人员表示，在今后12到18个月内，ASM将是这些类别中的一项标准功能。Log4j漏洞印证了这一点 ，该漏洞凸显了开源软件管理和软件物料清单（SBOM）的重要性。