Forrester：攻击面管理不仅仅是工具

2021年年底爆发的Log4J漏洞，充分证明了网络资产可见性的重要性。日益增长的影子IT，复杂的第三方伙伴、合作伙伴的往来活动，无处不在的网络连接和联网设备……如果没有足够的可见性，就没有AIDM（应用程序与基础设施的依赖关系映射）。自然，也就不能向应用程序和信息系统打上合适的补丁。这就是攻击面管理(ASM)的出现原因。

调研机构Forrester在2022年初发布的报告中将ASM定义为“持续发现、识别、清点和评估实体IT资产风险的过程”。一个机构的攻击面不仅仅是指那些互联网访问，还包括整个信息环境。将ASM工具与内部安全控制流程、CMDB、以及其他资产跟踪管理平台整合起来，就能够完全映射企业中的所有连接和资产。

用户也对ASM解决方案表示认可，尤其是其可视性、节省时间和排定风险优先级的能力上。在Forrester的调查研究采访中，一位汽车交易行业的安全工程师表示：“（ASM工具）发现的资产比我们想象的多50%。”另一家ISP的网络安全架构师则表示：“（ASM）是必备的安全措施。”

Forrester高级分析师Jess Burn认为，虽然有几家安全公司专注于提供ASM的独立解决方案，但可能这些厂商的未来都会走向收并购，收并购方应该是一些提供威胁情报、漏洞管理、检测和响应的厂商。Burn相信，ASM将在未来12到18个月内成为以上这些领域的标准能力。Log4j漏洞证明了这一点，因为它加速了开源软件管理和SBOM的关键性。

Burn强调，ASM应该被视为一个由工具驱动的项目，而不仅仅是一个工具或一种功能。应该利用它将相互冲突的优先级事项聚集在一起。如果机构组织希望实现AIDM，那么将ASM项目的目标与更高的可视性、可观察性并列起来，并将其视做为AIDM的关键因素，就能够把安全、技术和业务部门的团队和领导人联合在一起，这是以前的漏洞风险管理、内部补丁的SLA(服务等级协议)永远难以企及的。

事实上，ASM项目应该是一个融合或矩阵式组织，跨越多个利益相关者，包括基础设施和运营、应用程序开发和交付、安全、风险、合规性、隐私、营销、社交媒体等。