近日,Gartner发布《外部攻击面管理竞争格局》报告,对外部攻击面管理竞争格局进行了描述和总结。外部攻击面管理(EASM)已经从一种独立的能力发展成为一种功能,可以满足各种关联安全市场的威胁暴露要求。技术和服务供应商应评估他们在哪些方面需要建立、合作或收购,以便在市场整合中保持竞争力。

未来三年,外部攻击面管理(EASM)将成为纳入各种安全市场的一项功能。这些市场主要与威胁暴露面有关,包括漏洞评估、数字风险保护服务、威胁情报和自动安全测试。

EASM是持续威胁暴露管理(CTEM)计划的一个基本组成部分,因为它支持CTEM的前三个阶段:范围界定、发现和优先排序。EASM将被越来越多地要求扩展到覆盖所有的网络物理系统(CPS)资产,从操作技术(OT)系统到物联网(IoT)设备。这些资产虽然是企业的一部分,但传统上并没有被IT安全团队所监控。过分强调外部资产识别作为EASM的主要好处将不再有助于EASM供应商的差异化。他们需要展示EASM如何与企业现有的安全能力整合,以改善流程,如网络安全验证和漏洞管理,以及EASM结果如何推动更好的可操作性,特别是通过与其他数据集的整合。

预期发展

  • 到2023年底,超过50%的数字风险保护服务(DRPS)供应商将增加EASM功能,作为其数字足迹能力的自然延伸;

  • 到2025年,不到10%的提供EASM解决方案的供应商将是纯粹的供应商;

  • 到2025年,将出现由漏洞评估、EASM和入侵和攻击模拟(BAS)等功能组成的综合平台。

外部攻击面管理是指为发现面向互联网的企业资产和系统以及可能被恶意威胁者利用的暴露而部署的流程、技术和专业服务。EASM有助于识别未知资产,并提供有关组织的系统、云服务和应用程序的信息,这些信息在公共领域是可用和可见的,因此可被攻击者/对手利用。这种可见性也可以扩展到组织的子公司或第三方。

常见的EASM功能包括:

  • 对各种环境(企业内部和云)进行外部资产识别。在互联网上出现面向公众的资产时,持续发现这些资产,并将这些资产归属于组织(通常使用专有算法),以实现资产的实时库存;

  • 面向公众的资产的例子是IP、域名、证书和服务;

  • 评估所发现的资产是否有风险和/或行为异常,以确定缓解/修复行动的优先次序;

EASM最常见的是基于云的产品和服务,但也可以 "作为一种服务 "提供。EASM吸引了参与渗透测试、漏洞管理和威胁狩猎的安全运营部门,他们希望对其面向互联网的资产有更好的可见性,以补充其威胁和暴露管理计划。

竞争形势和趋势

EASM的使用案例包括资产管理、风险管理、云安全和治理、第三方风险评估以及并购(M&A)尽职调查。企业的任务是管理数字系统使用变化带来的不断增长的攻击面,包括新的混合工作、公共云的加速使用、更紧密的相互连接的供应链、面向公众的数字资产的扩展和更多地使用操作技术(如CPS)。

EASM可以通过不断验证已知的和发现未知的数字业务资产来支持组织向CTEM方法的倡议。此外,EASM对资产的可利用性进行分析,以优先缓解/修复漏洞和暴露。

Gartner观察到2021年的终端用户互动比2020年翻了两番,显示出对EASM的持续兴趣。根据对29家EASM供应商进行的调查,创造收入最多的三个行业是银行、金融服务和保险(BFSI);高科技和电信;以及政府。零售业也经常被提到是一个最重要的行业。然而,对EASM的兴趣仍然超过了对EASM的实际采用。安全专业人员对EASM价值的认识和理解仍然相当有限。并非所有的组织都知道为什么他们需要了解他们面向外部的资产是什么,或者为什么他们应该把预算放在这项工作后面。然而,更多的供应商正在进入该领域(本身或通过收购),创造了一个高度的市场炒作。同时,邻近安全市场的供应商正在迅速收购EASM供应商。Gartner预测,随着EASM越来越多地被纳入其他安全产品中,EASM在企业中的应用将加速。

EASM不会是一个独立的市场

EASM与许多安全市场有很强的互补性。EASM是对漏洞评估、威胁情报、云安全和安全测试(如漏洞和攻击模拟[BAS]、渗透测试即服务[PTaaS]以及自动渗透测试和红色团队工具)的补充。Gartner预测,这些市场将在未来三到五年内纳入EASM。这一点可以从EASM供应商快速、持续市场整合和并购中得到证明。

示例

  • LookingGlass收购了AlphaWave(2021年6月);

  • 微软收购了RiskIQ(2021年7月);

  • Team Cymru收购了Amplicity(2021年11月);

  • Recorded Future收购SecurityTrails(2022年1月);

  • Darktrace收购Cybersprint(2022年2月);

  • IBM收购Randori(2022年6月);

  • Tenable收购Bit Discovery(2022年6月);

  • Mandiant收购Intrigue(2021年8月);Mandiant随后被谷歌收购(2022年9月);

  • CrowdStrike收购Reposify(2022年9月);

以下部分强调了一些关联安全市场,在这些市场中,供应商希望增加EASM,作为其现有解决方案的延伸或作为新的解决方案提供。这些市场可以通过其成熟度(由纵轴表示)和获得EASM能力的频率(由横轴表示)来总结(见图1):

图1:外部攻击面管理市场的整合

应用安全测试 (AST)

应用安全测试市场包括旨在分析和测试应用安全漏洞的产品和服务。EASM是对AST的补充,因为EASM可以用来自动发现脆弱的应用程序。这些应用可能是没有被安全部门积极管理的应用,因为它们被组织内的开发者使用,而安全部门却不知道,或者因为它们已经被遗弃或成为孤儿。无论哪种方式,都可能有暴露的应用程序和API,给组织带来风险。在某些情况下,EASM可以用来监控公共代码库中的代码泄露。

代表厂商

Detectify

云安全

云安全代表了在几个相关市场中提供的一系列广泛的能力;它不是单一市场。这些市场的产品和服务提供控制和技术,以保护基于云的操作和存储在其中的数据。EASM可以补充云安全解决方案,通过识别一个组织的公共资产跨越云供应商来改善云安全和治理。这是因为云安全解决方案善于保护云资产,但要依靠组织知道这些云资产是什么。虽然一些云安全产品可以识别影子云服务,但它们只限于与已知的云资产进行通信或连接的元素。EASM可以提供现有云安全产品不可见的云资产的全面清单。这是对现有云安全工具的补充,如云安全态势管理(CSPM)产品,它应用通用框架、监管要求和企业政策,主动和被动地发现和评估云服务配置和安全设置的风险/信任度。

网络资产攻击面管理(CAASM)

网络资产攻击面管理是一个新兴的技术领域,专注于使安全团队克服资产可见性和暴露的挑战。它使企业能够主要通过与现有工具的API集成看到所有资产(内部和外部),查询综合数据,确定漏洞的范围和安全控制的差距,并对问题进行补救。EASM和CAASM都专注于为组织的资产和与这些资产相关的漏洞/风险提供更好的可见性。然而,不同的是,EASM纯粹关注外部资产,而且这些资产的发现是通过主动扫描互联网进行的。EASM可以成为CAASM内提供外部可见性的数据源之一。由于这种动态关系,从CAASM供应商那里获得EASM能力的情况不多,反之亦然。相反,它们是整合点。

代表厂商

Encore

威胁情报(TI)和数字风险保护服务

DRPS提供对透明(表面)网络、深层网络和暗网来源的可见性,以确定对关键数字资产的潜在威胁,并提供关于威胁者和用于进行恶意活动的战术和流程的背景信息。DRPS在四个方面提供支持--映射、监测、缓解和管理对关键数字资产的影响,确保业务运营得到维护。DRPS和EASM之间有一定的重叠,因为两者都专注于了解组织的数字足迹,但DRPS并不像EASM那样提供相同范围的本地资产发现。DRPS更注重于公司品牌、客户、数据、高管和员工受到的欺诈、盗窃或冒充企图的威胁。在这个意义上,EASM和DRPS的结合提供了一个更全面的组织数字资产的视图,以及与这些资产相关的威胁和漏洞。因此,许多DRPS供应商已经将EASM功能作为其产品的一部分。事实上,Gartner预测,到2023年底,超过50%的DRPS供应商将增加EASM功能,作为其数字足迹功能的自然延伸。

这方面的另一个动态是威胁情报市场。TI产品和服务提供有关网络安全威胁和其他网络安全相关问题的知识、信息和数据。这些产品和服务的产出旨在提供或协助整理关于威胁的身份、动机、特征和方法的信息,通常被称为战术、技术和程序(TTP)。其目的是促成更好的决策,提高安全技术能力,以减少风险和被破坏的机会。Gartner认为TI和DRPS是独立的市场,但在能力和供应商方面有很大的融合性。总的来说,市场正朝着在TI、DRPS和EASM之间分层组合关联的方向发展,目的是尽可能全面地收集有关受影响实体的外部威胁信息。然后,TI的结果是为最大的可操作性而定制的。

代表厂商

CTM360, CybelAngel, Cyberint, Cybersixgill, LookingGlass, Recorded Future, SOCRadar, Styx Intelligence, Team Cymru

第三方风险管理(TPRM)和安全评级服务(SRS)

安全评级服务和第三方风险管理服务通过非侵入式手段从公共和私人来源收集数据,分析数据,并使用专有的评分方法对实体安全态势进行评级。SRS和TPRM服务提供商使用的信息主要来自于访问IP地址、访问 "蜜罐"、分析暗网/深网内容和分析个人专有数据仓库等公开来源。然后,这些信息和评分方法被用来得出一个分数。

代表厂商

CTM360, CybelAngel, Cyberint, Cybersixgill, LookingGlass, Recorded Future, SOCRadar, Styx Intelligence, Team Cymru

安全服务

安全评级服务和第三方风险管理服务通过非侵入式手段从公共和私人来源收集数据,分析数据,并使用专有的评分方法对实体安全态势进行评级。SRS和

Gartner还观察到安全服务提供商试图利用EASM的市场机会来赚钱。一些安全服务供应商与现有的EASM技术供应商合作,在EASM产品的基础上提供管理服务。另一些则开发了自己的EASM功能,但主要是作为一种服务来销售,而不是作为一个独立的技术平台。安全服务提供商还将EASM服务与其他服务组件(如渗透测试或漏洞评估服务)一起出售。因此,安全服务提供商对EASM技术提供商来说既是机会也是威胁。然而,在这一领域,EASM技术提供商仍然多于服务提供商。Gartner预测,服务提供商将主要寻求与EASM技术提供商合作或收购,而非自己建立。

代表厂商

Coalfifire, Tech Mahindra

安全测试

渗透测试是对计算机系统或网络的测试,以发现可利用的漏洞。这个过程包括在测试前收集有关目标的信息,确定可能的进入点,尝试闯入并报告结果。

在收集目标信息的阶段,EASM可以补充渗透测试(寻找可利用的进入点)。随着自动渗透测试解决方案的不断涌现,渗透测试和EASM之间的融合将变得更加突出。今天进行的大多数渗透测试都是由人驱动的,外包的,每年进行一次(使其成为一个时间点的观点),这就是自动化渗透测试市场出现的原因。尽管自动化渗透测试本身是一个新兴市场,但一些供应商已经加入了EASM,反之亦然。

这是因为开始进入自动化渗透测试市场的厂商最初只做自动化网络渗透测试,不做外部测试。EASM、DRPS、BAS和自动渗透测试等技术可以共同为企业提供其环境中全部攻击面的真实视图。这让企业可以测试自身可预测和不可检测范围,确定发生攻击时如何应对。因此,这些技术的融合可以更好地支持企业的CTEM计划。

漏洞管理平台

漏洞管理平台对企业控制的资产内的漏洞进行识别、分类、优先处理和协调修复或缓解。EASM通过识别来自企业面向互联网的资产和系统的风险来补充漏洞管理。这些资产和系统可能是组织没有适当管理的,甚至是组织不知道的。大多数头部的漏洞管理供应商,如Rapid7、Tenable和Qualys,近年来都增加了EASM功能,或通过收购增加了EASM功能,并在向客户传递信息时继续强调EASM的重要性。

代表厂商

Qualys, Tenable, 华云安

更广泛的安全解决方案供应商

前面的部分概述了EASM已经存在或正在被纳入的一些安全市场。虽然其中一些供应商在这些互补的安全市场中竞争,但其他供应商拥有更广泛的产品组合,跨越多个安全市场。这些也已扩展到EASM的安全供应商可以在其解决方案组合中的多个产品中纳入或交叉销售EASM。

代表厂商

CrowdStrike, Darktrace, Fortinet, Google,IBM, Microsoft, 绿盟科技, Palo Alto Networks (PAN)

单一EASM供应商

单一的EASM供应商采取了一种技术无关的方法。这些供应商专注于扩大其合作伙伴生态系统,并支持更多的集成。尽管许多纯粹的供应商展示了强大的EASM能力和广泛的伙伴关系,但他们在与EASM是其众多产品之一的更广泛的安全供应商竞争时,确实面临着真正的挑战。如果这些更广泛的安全供应商在其他安全市场上建立起来,这就更具有挑战性,因为一些组织在筛选供应商时优先考虑现有的关系,而另一些组织从成本和供应商管理的角度出发,更愿意从较少的安全供应商的技术栈中消费能力。在接下来的几年里,可能会有更多的纯粹的供应商继续被收购,Gartner预测,到2025年,提供EASM功能的供应商中,只有不到10%是单一的供应商。

代表厂商

Assetnote, C2SEC, Censys, CyCognito,IONIX, Ovalsec, spiderSilk, Sweepatic

EASM需要关注调查结果的可操作性,而不仅仅是发现面向外部的资产。

EASM供应商继续专注于改善资产的发现,通过改善其扫描基础设施来收集更多环境中的数据,如OT和云端。同时,EASM供应商通过改进其机器学习(ML)引擎和利用更多的第三方来源来填补发现中存在的任何空白,一直在提高资产归属的准确性/保真度。自然地,EASM供应商倾向于强调其发现能力的广度和将资产候选者归于组织的准确性。然而,对于如何利用EASM推动更多的可操作性却强调得不够。

为了更具可操作性,EASM需要支持跨系统的数据整合和重复计算结果,将资产/问题分配给修复过程的所有者的自动化,以及与第三方系统更紧密的整合。这些系统包括票务系统、安全信息和事件管理(SIEM)、安全协调、自动化和响应(SOAR)、配置管理数据库(CMDB)和漏洞评估工具。一些EASM提供修复步骤和优先问题的指导,跟踪修复进度的仪表板,或创建游戏手册。随着足够多的供应商进入市场,除了提供外部攻击面的可见性之外,他们还需要一个明确的差异化和更有说服力的价值主张。

EASM是CTEM的基本组成部分。

CTEM被定义为一套流程和能力,使企业能够持续不断地评估企业的数字和物理资产的可访问性、暴露性和可利用性(见实施持续威胁暴露管理(CTEM)计划)。它由多个阶段组成:范围界定、发现、优先排序、验证和动员,并以一套技术和能力为基础,EASM是其中之一。CTEM与基于风险的脆弱性管理(RBVM)不同,后者是传统脆弱性管理的演变,而CTEM是围绕操作和管理整体风险的更广泛的过程。它包括解决已确定的漏洞,以及优化未来的流程,使漏洞不再重新出现。

EASM是CTEM的基础,原因有二。首先,它提供了对组织控制力较弱的资产的持续和改进的可见性,如SaaS应用和供应链合作伙伴和供应商持有的数据。其次,它可以评估和优先处理攻击者最可能利用的问题,因此在CTEM的前三个阶段对组织有利。

EASM需要提供对OT/IoT环境的可见性。

EASM的目标是发现可能暴露漏洞的企业资产和系统,它将越来越需要扩展到覆盖所有网络物理系统资产,包括从OT系统到IoT设备。

由于在不同的生态系统中引入了数字化和设备与系统的连接,数字化转型举措在创造新的风险方面发挥了作用。在工业领域,OT网络和系统变得更加脆弱,因为它们不能再依靠通过网络空隙的物理隔离。物联网设备在不同的企业环境中不断涌现,传统的物理基础设施越来越多地被连接,使企业面临新的风险。所有这些新的安全挑战促成了安全专业人员需要解决的现有风险,因此,应将其作为风险管理和CTEM活动的一部分。EASM工具将特别有用,因为它们的资产识别功能在企业努力说明在IT部门知识外部署的所有设备和系统时是非常有价值的。

工业环境中的物联网部署就是这种情况,在这种情况下,往往缺乏对已经运行了几十年或由当地工厂或部门部署的东西的全面了解。物联网设备的部署使情况变得更糟,而这些设备正在助长现有的影子IT问题。

竞争者名录

  • 单一供应商和更广泛的解决方案套件供应商的组合;
  • 在Gartner的客户互动中最常提到的供应商;

  • 在EASM供应商中最常提到的竞争供应商;

  • 本报告中每个竞争趋势部分的代表厂商;

Censys

概述

Censys攻击面管理(ASM)是一个独立的EASM解决方案。Censys对超过3592个端口的公共IPv4地址空间进行扫描,并每天更新客户的攻击面。客户的输入和开源情报(OSINT)数据被用来定义种子,然后用来发现一个组织的攻击面。攻击面的范围可以根据为属于该组织的子公司、业务单位和公司定义的种子来确定。用户还可以使用Censys云连接器与他们的云服务提供商集成,以获得额外的云可见性。发现路径向用户展示了Censys是如何在库存中发现资产的。用户可以通过在搜索栏中精心设计的查询来搜索这个清单中的特定资产或资产组。每个归属的资产都会被评估,以确定其当前配置中存在哪些安全弱点,并作为风险呈现。风险的严重性是由它容易被利用的程度、它的绝对影响和利用的可能性来定义的。最近披露的新出现的漏洞也被列为优先事项,并作为风险实施。这些指纹在解决方案中的发布节奏是临时性的,目的是在漏洞披露后24小时内确定攻击面清单中受影响的资产。每个被发现的风险的类型和潜在的安全影响的细节,以及建议的补救步骤都被提供。最初发现风险的时间戳和最近的观察也被记录下来。此外,Censys支持工作流程的整合。

优势

作为一个独立的EASM供应商,Censys旨在通过每天的攻击面更新和归因准确性,更好地支持多云企业,从而使自己与众不同。作为其资产识别的一部分,Censys将每天扫描亚马逊网络服务(AWS)、微软Azure和谷歌云平台(GCP)中最受欢迎的1440个端口。容器或独立的连接器在客户的云环境中运行,不断将可公开到达的资产信息反馈给Censys ASM进行发现和监控。Censys拥有与AWS、Azure和GCP的云连接器。此外,Censys将使用客户的ASM账户中存在的完全合格的域名来发现GCP和AWS中的存储对象,而不需要整合到云账户中。

CyCognito

概述

CyCognito的EASM产品被称为CyCognito平台。CyCognito使用机器学习、自然语言处理和图形数据模型,首先映射组织内部的业务关系,包括其子公司。然后,CyCognito发现这些实体的所有暴露在互联网上的资产,并确定关联。资产分析利用了对不同类型的漏洞进行持续测试。优先级的确定是基于业务背景、资产可发现性、潜在影响和攻击者利用的难易程度等因素。然后,这些被优先考虑的风险伴随着关于风险的支持性证据、资产所有权和补救验证指导,并带有其Exploit Intelligence。CyCognito还提供了一个叫做补救计划的工具,通过提供一个优先考虑的资产和问题清单来促进补救工作。CyCognito可以支持与SIEM、IT服务管理(ITSM)和CMDB等工具的整合。

优势

CyCognito的核心优势是在其对组织的资产和漏洞(包括跨子公司和部门)的映射中提供自动化。CyCognito还能为这一信息提供完整的审计和证据跟踪,并给出信心评分。这种自动化延伸到所有权归属,促进了确定组织内拥有特定资产的部门或子公司的正确所有者的过程。

此外,作为资产分析的一部分,CyCognito平台不断进行主动安全测试,以找到可利用的外部资产,而不需要输入或配置。这种方法通过能够测试一个组织的外部攻击面中以前没有测试过的部分,如新发现的网络,来实现规模化,并更好地告知优先次序。

Detectify

概述

Detectify有两个产品--表面监控和应用扫描。虽然它们在技术上可以独立使用,但Detectify的绝大部分客户(大约90%)都将它们放在一起使用。Detectify每24小时进行一次识别。然后用IP地址、DNS记录类型和开放端口等信息来充实域名。资产每8小时被监测一次,以确定其当前状态,哪些IP不再可及,哪些端口已打开或关闭。Detectify在每个域上协调基于有效载荷的测试。此外,客户可以对其攻击面设置自定义规则,以便在异常情况成为风险和偏离公司政策之前发现它们,如关键资产上的非预期开放端口。补救指导按通用漏洞评分系统(CVSS)得分分类。

优势

Detectify的独特之处在于它对EASM采取了漏洞赏金计划/众包的方式。道德黑客向Detectify提交攻击方法,然后Detectify将这些方法构建到其产品中,并在客户的攻击面持续运行测试。基于有效载荷的自动测试方法减少了假阳性,客户也可以标记假阳性。Detectify提供了用于发现资产的方法的可见性,如刮擦或暴力强迫。

Detectify的独特之处在于,由于Detectify在应用安全测试领域的背景,其核心买家角色超越了企业安全,扩展到产品安全、应用安全和DevSecOps等团队,他们专注于保护数字产品和服务的安全。Detectify的目标是让开发团队快速运行,同时仍然保持控制。例如,它支持在生产过程中发生漏洞和问题时自动委托的做法。

Google

概述

谷歌在2022年9月收购了Mandiant。Mandiant攻击面管理是Mandiant优势平台中的一个模块,可以单独购买。域名或GitHub账户为识别提供初始输入,通过扫描超过250个数据源来完成,如开发人员存储库、云供应商、DNS数据和互联网扫描。攻击面管理提供每小时、每天或每周刷新一次每个集合。免费订阅时,每季度刷新一次收集。分析包括对资产进行指纹识别,以确定超过5000个不同的应用程序和服务,资产数据与Mandiant威胁情报相关联。问题可以根据严重程度进行优先排序,严重程度是根据Mandiant漏洞风险评级和CVSS v3对常见漏洞和暴露(CVEs)进行确定。对于其他由于暴露、泄漏或错误配置而产生的问题,其严重程度是根据对受影响资产的潜在影响来确定的。补救建议与技术集成一起提供,如SIEM、SOAR或票据系统,以支持补救工作。

优势

EASM和威胁情报能力的结合使Mandiant在评估风险和支持优先次序方面具有优势。例如,与Mandiant威胁情报的整合使用户能够利用Mandiant的破坏指标(IoC)数据找到可疑的基础设施,并通过利用分配给Mandiant的CVE的利用状态来确定修复的优先次序。

全面的资产清单以及所涵盖的环境,使Mandiant能够检测到与端点API、云存储库、GitHub数据、域名和证书等有关的大量暴露信息。该工具使用部署的良性有效载荷执行380多次主动检查,以测试漏洞、错误配置或暴露。在主动检查不可行的情况下,Mandiant攻击面管理将执行被动检查,客户可以选择根据推断的CVEs创建问题。

IONIX (原Cyberpion)

概述

IONIX的ASM平台是一个独立的解决方案。IONIX的资产发现包括各种方法,包括映射客户的域名和子域名、IP发现、全球公钥基础设施(PKI)和域名注册跟踪、跟踪云资产和移动发现。机器学习被用来确定资产是否属于该组织或其子公司。根据资产类型进行风险分析,通过与资产相关的漏洞和错误配置的严重性和可利用性以及资产对组织的重要性计算风险分数。这是根据资产得到的引用和连接的级别、资产与原始根域的距离以及资产与组织业务的相关性来确定的。IONIX支持与票务系统以及与SOAR和SIEM等工具的整合。

优势

IONIX是一个纯粹的供应商,它通过在传统的资产导向视角上叠加连接导向视角来实现自我差异化。IONIX如何发现外部连接和资产的依赖关系的例子包括:

  • 网络引擎将检测数十种网络依赖关系,如从第三方服务或服务器加载的对象或代码;

  • DNS引擎将建立一个DNS供应链树,考虑所有参与DNS记录解析过程的服务器(平均有几十个服务器);

  • l 云引擎将检测内容交付网络(CDN)或负载平衡器的来源;

此外,IONIX可以通过其主动保护,化解源于组织资产的风险性外部依赖的攻击载体。IONIX进一步扩大了攻击面管理,目前的重点是更好地管理属于组织的已知和未知资产,对来自未知和不受控制的资产的关键风险进行优先排序并提供防御。

NetSPI

概述

NetSPI的攻击面管理平台是作为一个独立的解决方案与渗透测试服务一起提供的。通过多种方法发现客户的对外资产(如IP地址),包括自主系统名称分析、DNS记录分析、域名注册评估,以及业务结构分析和映射。客户可以了解到数据是如何产生的,以及现有和潜在风险与所发现资产之间的联系。进一步的分析是通过各种活动进行的,如云监控、DNS监控、网络和网络分析以及漏洞评估。上下文的充实是通过NetSPI的攻击面操作团队完成的,该团队除了代表客户进行人工测试和验证所发现的风险外,还进行了分流。该团队了解客户的业务、资产类型和外部攻击面预期。在此基础上,客户可以访问该平台,并对其数据进行控制,从而可以根据其环境和要求进行相应的配置,以提高优先级。NetSPI通过提供漏洞细节、影响、复制步骤和发现层面的补救最佳做法来支持补救工作。客户还可以要求进行补救测试,由NetSPI来执行。

优势

NetSPI通过将其ASM能力与人力测试专长相结合,实现了差异化。这是通过攻击面操作团队实现的,他们对发现的风险进行手动测试和验证。因此,它减少了警报疲劳和假阳性,同时只向客户提供与其组织有关的关键和高风险,以及对如何补救上述风险的支持。最近,NetSPI收购了云和应用测试公司nVisium,以进一步提高其测试和验证不断扩大的攻击面的能力。

Palo Alto Network

概述

Palo Alto Networks的EASM解决方案,Cortex Xpanse,作为一个独立的解决方案,通过两种方式提供:Expander是对外部资产的持续监控,而Assess则是一种时间点评估。Xpanse发现了许多不同的资产,如IP、证书、域名、服务、云资源和网站,此外还有超过595个错误配置和问题,通过自动策略。这是通过利用各种数据源实现的,如注册数据、新闻稿、DNS记录和Xpanse专有的全球互联网扫描数据集,仅此而已。发现的资产与各种数据源进行交叉引用,包括组织的内部数据(如组织标识符、域名或IP)。为了准确确定未知资产的属性,Xpanse利用其人工智能驱动的资产属性引擎。还向客户提供关于第三方托管的资产以及它们所带来的潜在风险的额外见解。暴露是根据关键、高、中、低的严重程度进行优先排序的,可以配置成与组织的安全政策相一致。此外,任何新发布的CVE和受影响的资产都会被评估,以达到相关性和风险优先级的目的。最近,PAN发布了一个附加模块,Active Response,它提供了自动化的游戏规则和修复功能(如遏制)。补救可以通过与其他PAN Cortex产品(如Cortex XDR和Cortex XSOAR)的本地集成以及与第三方工具(如SIEM、SOAR和ITSM)的集成进行。

优势

Palo Alto Networks非常注重资产发现和自动化优先的方法来管理攻击面风险,包括能够支持任何规模的组织,如大型政府实体。这也与Palo Alto Networks生态系统的紧密集成相辅相成,无论是在企业内部还是在云端--例如,与Prisma Cloud集成,帮助识别未受管理的云端存在并将其纳入管理。此外,Xpanse不仅仅是发现和优先处理资产和暴露;如果客户愿意,它可以自动执行一些补救措施,如包含远程桌面协议(RDP)主机。

Tenable

概述

Tenable的EASM产品被称为Tenable.asm,可作为独立的解决方案集成到Tenable的核心漏洞评估(VA)产品中,或作为企业平台解决方案的一部分,Tenable One。Tenable One包括VA、漏洞优先级技术(VPT)、Web应用扫描、CSPM、容器安全、活动目录安全、EASM和攻击路径分析。Tenable的EASM解决方案有能力策划大量的数据和元数据,这些数据是从整个互联网的资产中收集和维护的,如Web应用防火墙(WAF)、负载均衡器和动态DNS架构。此外,Tenable.asm可以识别和映射复杂的域名关系,包括域名品牌名称、网站或应用程序推荐人、自治系统编号(ASN)和共享IP地址的子域,以帮助。用户能够分析和搜索200多个属性的资产,此外,解决方案还能在满足某些标准的情况下自动标记资产。Tenable的EASM产品可以被配置为根据预定义的规则触发警报,这可以帮助用户及时了解正在发生的持续变化。

优势

Tenable的与众不同之处在于拥有众多的数据源,包括但不限于200多个互联网快照、150多个数据列和45亿资产。Tenable.asm还与其他Tenable解决方案紧密集成,允许从风险角度全面了解企业的资产和漏洞。这种集成还提供了业务背景,以进一步优化优先级和修复决策。Tenable在销售其EASM解决方案时得益于其庞大的客户群。Tenable也是为数不多的提供EASM功能免费版本的供应商之一。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。