2021年年底爆发的Log4J漏洞，充分证明了网络资产可见性的重要性。日益增长的影子IT，复杂的第三方伙伴、合作伙伴的往来活动，无处不在的网络连接和联网设备……如果没有足够的可见性，就没有AIDM（应用程序与基础设施的依赖关系映射）。自然，也就不能向应用程序和信息系统打上合适的补丁。这就是攻击面管理(ASM)的出现原因。

　　调研机构Forrester在2022年初发布的报告中将ASM定义为“持续发现、识别、清点和评估实体IT资产风险的过程”。一个机构的攻击面不仅仅是指那些互联网访问，还包括整个信息环境。将ASM工具与内部安全控制流程、CMDB、以及其他资产跟踪管理平台整合起来，就能够完全映射企业中的所有连接和资产。

　　用户也对ASM解决方案表示认可，尤其是其可视性、节省时间和排定风险优先级的能力上。在Forrester的调查研究采访中，一位汽车交易行业的安全工程师表示：“（ASM工具）发现的资产比我们想象的多50%。”另一家ISP的网络安全架构师则表示：“（ASM）是必备的安全措施。”

　　Forrester高级分析师Jess Burn认为，虽然有几家安全公司专注于提供ASM的独立解决方案，但可能这些厂商的未来都会走向收并购，收并购方应该是一些提供威胁情报、漏洞管理、检测和响应的厂商。Burn相信，ASM将在未来12到18个月内成为以上这些领域的标准能力。Log4j漏洞证明了这一点，因为它加速了开源软件管理和SBOM的关键性。

　　Burn强调，ASM应该被视为一个由工具驱动的项目，而不仅仅是一个工具或一种功能。应该利用它将相互冲突的优先级事项聚集在一起。如果机构组织希望实现AIDM，那么将ASM项目的目标与更高的可视性、可观察性并列起来，并将其视做为AIDM的关键因素，就能够把安全、技术和业务部门的团队和领导人联合在一起，这是以前的漏洞风险管理、内部补丁的SLA(服务等级协议)永远难以企及的。

　　事实上，ASM项目应该是一个融合或矩阵式组织，跨越多个利益相关者，包括基础设施和运营、应用程序开发和交付、安全、风险、合规性、隐私、营销、社交媒体等。

　　（注：AIDM是Forrester提出来的一种反映信息资产及其基础设施的运行状态和相互关系的概念）

参考阅读

差劲的信息安全负责人什么样？

ASM技术篇：人工智能在攻击面管理中的应用

新型DDoS攻击：单包即可发起 最高放大2千亿倍

缩写就算了，未来SOC真正需要的三个能力