近日,Gartner发布《新兴技术:网络资产攻击面管理关键洞察》,对网络资产攻击面管理的技术现状进行了总结与分析,提出了三点关键洞察。网络资产攻击面管理CAASM 旨在帮助安全团队解决持续的资产暴露和漏洞问题,提升内部和外部资产的可见性。CAASM作为新兴技术,目前市场占有率仍处于较低水平,预计将在5-10年内发展为主流市场。
主要发现
网络资产攻击面管理CAASM 是一种新兴技术,重点是使安全团队能够全面了解内外部所有资产。这主要是通过与现有工具的 API 集成、融合多源数据、识别风险范围、查找安全控制差距以及为所有已识别问题推荐修复或缓解方案来实现的。
尽管人们对 CAASM 技术的兴趣与日俱增,但对于 CAASM 与现有资产发现和管理工具,尤其是配置管理数据库CMBD的区别,仍存在分歧。
安全团队是 CAASM 解决方案的主要用户。然而,CAASM 不只是为安全团队,而是可以扩展到其他人员和团队,如企业架构师、IT 资产经理、治理风险与合规GRC。
CAASM与外部攻击面管理EASM和数字风险保护服务DPRS结合使用时,可为更完整的自动化攻击面管理流程奠定基础,并支持制定有效的持续威胁暴露管理计划。
建议
希望抓住CAASM机遇的产品厂商应该:
继续扩大能力集成和第三方系统数据接入,融合更丰富的数据,包括赛博物理系统、IT 系统和安全解决方案,涵盖端点安全、身份管理、云服务、移动设备管理、CMDB、漏洞评估和网络安全等;
基于当前的能力,验证并推广 CAASM 的成熟案例实践,并集成响应和报表的相关能力,使得CAASM实现管理闭环。响应和报表能力包括工单系统、治理风险与合规GRC工具、BI 报表工具、安全信息和事件管理SIEM、安全编排与自动化响应SOAR解决方案;
将安全团队作为 CAASM 解决方案的主要买家,同时确认其他潜在的利益相关者(IT运营、CRC等)。销售早期与利益相关者接触,以更好地展示CAASM如何支持利益相关者的工作目标,从而降低因使用范围变化而导致的销售订单延误风险。
宣传CAASM的一个理念,即CAASM可以有效融入持续威胁暴露管理计划,通过CAASM可以更好地帮助企业进行风险暴露收敛。
评估通过合作伙伴扩展EASM 和 DRPS 等攻击面管理ASM相关能力的机会。
分析
技术概述
网络资产攻击面管理CAASM是一个新兴的技术领域,专注于帮助安全团队应对资产可见性和暴露面的挑战。主要通过与现有工具的API 集成,帮助企业实现对所有资产的全面掌控,企业可利用CAASM:
融合多源数据
确定漏洞范围
确定安全控制方面的差距
根据发现的问题进行修复和补救
CAASM从其他收集资产子集(如端点、服务器、设备、云对象和应用程序)的产品中汇总资产数据。整合内部和外部网络资产,用户可以通过漏洞评估VA和终端检测与响应EDR产品,来获得资产安全控制方面存在的差距和风险。
CAASM主要通过API实现了被动数据采集,从而取代了低效的通过人工获取并校验资产数据的方式。
相关厂商
Armis, Axonius, Balbix, Brinqa, Encore, JupiterOne, Lansweeper, Noetic, NorthStar, Panaseer, Sevco Security
本报告提供了有关CAASM 的关键洞察,并描述对市场上竞争厂商和即将进入市场的厂商的影响(图1)
图 1:网络资产攻击面管理(CAASM) 关键洞察
关键洞察1:CAASM需要更明确地与CMDB进行区分
CAASM仍是一个新兴市场。据Gartner 估计,目前CAASM 的购买率仅占目标受众的1%至 5%,需要5 至 10年的时间才能成为主流应用(详见《2023年安全运营成熟度曲线》报告)。与许多新兴技术一样,人们对CAASM 的兴趣逐步上升,但市场对CAASM 与现有工具(尤其是配置管理数据库CMDB)的差异,仍存在疑惑。Gartner认为,随着定位的逐渐明确及其独特的能力,CAASM将得到更广泛的应用。
CMDB与CAASM
CAASM 经常与 CMDB 混淆,因为两者都支持资产管理。两者的区别在于CAASM 侧重于安全团队的资产管理场景,而非 IT 服务管理ITSM场景。
CAASM主要提供相关安全能力,包括提供组织所有资产完整可见性、映射资产依赖关系、覆盖漏洞信息以执行优先级排序并进行修复和响应。
IT职能部门在ITSM工具中使用CMDB收集的资产类型和有关资产的信息不足以满足安全职能部门的需求。例如,CMDB可能不会跟踪每一项资产,也不会管理物理设备、云账户等类型的资产。
CMDB 无法收集和关联与资产相关的漏洞。CAASM 无法取代为传统 IT 资产管理而设计的 CMDB,后者侧重于跟踪资产生命周期和执行财务成本分析等方面。
CAASM 可以作为数据源与 CMDB 进行双向集成,并用于丰富或补充 CMDB 数据集中的问题。
市场上一般不会混淆网络资产攻击面管理CAASM与外部攻击面管理EASM及漏洞评估VA,但梳理相关技术之间的关系仍有价值。
EASM 与CAASM
EASM 可以是为CAASM提供外部资产和风险可见性的数据源之一。
EASM 和 CAASM 的重点都是为组织的资产及资产相关的漏洞/风险提供更好的可见性。不同之处在于EASM 只关注外部资产,主要是通过互联网主动扫描来实现。
CAASM 可提供更全面的组织资产视图, 主要通过与现有工具的 API 集成实现资产被动发现。由于CAASM依赖于其他已经部署的技术来收集有关资产的信息,因此CAASM的价值取决于现有数据源的质量。
CAASM 从来都不是数据来源,而是现有数据源的集成和融合中心。
VA与CAASM
CAASM 可以将多个漏洞源聚合到一起,并将漏洞与资产进行关联,而不需要进行手动匹配。
CAASM可以提供漏洞评估工具VA未覆盖资产的可见性,例如未知资产、医疗设备和POS设备等资产。这是因为漏洞评估工具VA通常只扫描企业控制资产的漏洞。
VA、EASM、CMDB是CAASM获取数据的重要来源,因为CAASM无法产生资产和漏洞数据,而是一个数据融合中心,可以实现多源数据聚合、去重和校验,并通过双向集成的方式将处理后的数据反哺给VA和CMDB。
一些供应商已开始将其解决方案定位在CAASM 和赛博物理系统CPS保护平台领域。CPS保护平台的范围仅限于CPS 资产,但对于那些对企业IT 之外的资产可见性有强烈需求的组织来说,可能不会超出CPS 保护平台的范围。CPS保护平台可自动发现CPS 资产,并增加一系列与安全相关的功能,以改善CPS 的风险状况。CPS保护平台主要通过被动扫描提供资产的实时可见性和分类能力。这些平台使用各种技术来发现和识别运行环境中的资产,同时不会对网络性能产生影响。
近期影响
产品厂商应明确CAASM 的作用,CAASM并不会取代任何现有技术,而是取代自建系统和通过手动的方式来收集和核对资产信息。因此,利用CAASM 可提高效率并降低成本。
Gartner建议最终用户以全职员工的人工成本为锚点采购CAASM产品。此外,我们还建议最终用户综合对比CAASM和人力工作的投入产出比。
对于大多数企业来说,这项投资将是一项新的支出,为了确保预算落地,产品厂商必须证明CAASM的优势和价值。
CAASM的主要优势是通过从多个系统收集和丰富数据,实现对全局资产的可视化和管理。实际上许多CAASM产品提供标准的第三方系统数据连接器,支持对端点安全、身份管理、云服务、移动设备管理、CMDB、漏洞评估和网络安全等系统的数据对接。除此之外,CAASM还可以映射资产依赖关系,这些上下文信息可用于资产价值和重要性评估。
未来 6至 18 个月的建议行动
利用工具计算 CAASM 的价值和客户投资回报率(详见Gartner官网)。这将有助于更好地展示企业从使用 CAASM 而非手动报告工作中获得的效率提升和附加功能所带来的成本效益。
继续扩展第三方系统数据连接器,接入更多的数据源,包括赛博物理系统 (CPS)、IT 系统和安全解决方案,涵盖端点安全、身份管理、云服务、移动设备管理、CMDB、漏洞评估和网络安全。CAASM 将在解决方案层面进行竞争,包括第三方系统接入的范围,映射不同系统之间的数据关系,以进行详细的资产清点和梳理。
关键洞察2:安全团队是主要用户,但CAASM 的优势可以超越安全领域,进入I&O 和 GRC领域
CAASM使安全团队能够实现安全工具覆盖范围内的可视化管理,支持攻击面管理ASM流程,并为相关系统校对老化数据和补齐缺失数据。迄今为止,Gartner已观察到 CAASM的以下常见应用:
资产管理。这种应用场景侧重于提供组织控制下的所有 IT、IoT和OT资产的可见性。利用 CAASM 进行资产管理的组织旨在识别其拥有的所有资产。此场景扩展到资产配置文件整合,即收集信息(例如,设备类型、制造商、操作系统版本、资产信誉、漏洞和连接)并在集中视图中展示,以获得更完整的资产配置文件。这种场景可能会吸引那些拥有多个漏洞扫描工具,并希望集中进行数据融合处理的大型组织。
监控基本安全卫生和指标报告。此应用场景侧重于通过网络安全控制和风险暴露管理来改善基本的安全卫生。CAASM 可以提供安全栈的可见性,并识别潜在的安全工具配置错误、安全控制覆盖范围和差距以及重复的安全工具/许可证。
IT 合规性和审计报告。此场景侧重于收集有关技术控制的必要信息,以满足组织需要遵守的法规、行业标准或框架。CAASM可以帮助生成关于技术控制措施状态的证据。
IT 治理。该场景重点关注影子 IT 治理。CAASM 可以降低从 "影子 IT "组织、已安装的第三方系统和非IT部门管理的应用程序收集数据的阻力,并提供更好的安全可见性,安全团队需要这些可见性,而 IT 部门可能不需要。
问题优先级排序。此场景侧重于从各种源系统中获取漏洞信息,并将其与资产信息和资产依赖性相关联,以确定修复或缓解措施的优先级。CAASM 能够按资产类型、应用程序、站点等进行漏洞分类,这将有助于修复工作的开展。CAASM 场景还可进一步扩展,以支持持续威胁暴露管理 CTEM。
CAASM的其他应用场景还包括软件物料清单SBOM报告和并购M&A尽职调查。CAASM还可以支持安全运营,例如事件响应。由于CAASM 可以映射资产依赖性,因此用户可以查看可能受到漏洞影响的全部资产。
近期影响
首席信息安全官CISO和安全运营总监等安全管理者是CAASM的主要用户。然而,CAASM的优点可能超出安全管理的范畴。企业中的其他人员和团队,如企业架构师、IT管理员和 GRC团队,都可以从融合的全面的资产数据中获益,从而实现业务目标。
CAASM的价值可能覆盖整个组织,但尚未得到各组织的充分认可。因此,CAASM的采购和推广有时会遇到来自安全之外团队的阻力。产品厂商应确保在销售周期中,不仅要与主要买家(即安全团队)接触,还应与可能是解决方案的利益相关方接触。这种接触会尽量减少销售阶段中的摩擦,并有机会证明CAASM与利益相关方的业务目标是一致的。
利益相关方的范围应尽早确定。2022年 Gartner技术购买行为调查显示,范围的变更会导致额外的研究和评估,这在很大程度上推迟了75% 的受访者的购买时间(见图2)。
图 2:延迟购买流程的因素
从产品路线图的角度来看,产品厂商应评估其解决方案对当前目标场景的支持,这将为其新功能开发提供依据。例如,CAASM厂商可以增加资产配置和安全控制的采集分析能力,并根据安全基线进行评估。这可以作为一个单独的模块交付(如CAASM本地化交付),也可以通过与安全态势管理工具(如云安全态势管理CSPM或SaaS安全态势管理SSPM)的集成来交付。根据基线对资产和安全控制措施进行配置评估,将使CAASM不仅能识别资产和安全控制措施,还能评估这些资产和安全控制措施的安全态势。这将有助于进一步发现资产的潜在攻击面,而不仅仅是对发现的漏洞进行优先级排序。
建议未来6 到 18个月采取的行动
将安全团队作为 CAASM 的主要采购部门,同时确定其他潜在的利益相关者。在销售周期的早期与这些利益相关者接触,以便有更好的机会展示 CAASM 的能力,通过早期介入降低销售周期延期风险。
基于当前能力培养CAASM场景,并进行必要的外部能力集成(侧重于响应和报表),包括工单系统、GRC工具、BI报告工具或SIEM和SOAR解决方案等。
关键洞察3:CAASM与 EASM 和DPRS 相结合,是实现自动化的攻击面管理ASM流程的基础。
当与其他新兴技术(如EASM 和DRPS)相结合时,CAASM构成了更加自动化的 攻击面管理ASM 流程的基础:
ASM包括人员、流程、技术和服务的组合,用于持续发现、盘点和管理组织的资产。这些资产既可能是内部资产,也可能是外部资产,这些资产带来了数字风险。对资产的可见性有助于减少可能被恶意人员利用的风险暴露面。
ASM的三大要素:CAASM、EASM和 DRPS,在图3 的第一个支柱中分别代表"内部"、"外部"和"数字风险"。
图 3:风险暴露管理的组成部分
图4:CAASM、EASM和 DRPS支持的常见用户场景
EASM 通过主动发现的方式来梳理面向互联网的外部资产的可见性。EASM解决方案不需要Agent或集成来发现和收集信息。相反,EASM解决方案采用由互联网数据源提供的特有方式(例如,DNS、WHOIS、证书、互联网扫描等),自动识别组织面向互联网的所有资产,无论是IP、域名、证书、互联网服务、存储桶等。通常情况下外部攻击面发现需要基于根域名和组织名称开始,发现外部资产并与组织、部门及下属分支机构进行关联,同时只要互联网上出现新的跟组织相关的资产,EASM就会及时检测到,实现对未知或未纳管数字资产的管理。
DRPS提供了对互联网、深网、暗网来源的可见性,以识别关键数字资产的潜在威胁,并提供恶意人员以及网络攻击方法和策略的上下文信息。DRPS和EASM之间存在重叠;两者都专注于了解组织的数字足迹,但DRPS并没有提供与EASM相同的资产发现范围。DRPS更关注欺诈、盗窃或仿冒,以及企图对公司品牌、客户、数据、高管和员工的潜在威胁。
近期影响
迄今为止,CAASM市场竞争并不激烈。虽然这个领域对新的厂商很有吸引力,但在竞争格局方面,产品厂商还应考虑其他因素。首先,CAASM易于部署,通常不需要Agent来收集资产信息。对于产品厂商来说,这既是销售CAASM 的优势,也是挑战,因为这意味着CAASM工具并不具有粘性——既易于实施,也易于更换。如果产品厂商的解决方案支持用户的关键业务流程,被用户作为主要的安全分析和报表产品,或者为用户提供丰富的扩展安全能力,将有助于提高用户粘性。
其次,迄今为止,CAASM一直是独立的市场,没有与相关市场的技术进行过多的整合,未来几年或许会有CAASM厂商之间的并购。例如,漏洞评估厂商并购或自研CAASM/EASM是一个可行的技术路线。CAASM、EASM和DRPS的厂商之间也可能建立更多的集成和合作伙伴关系。
建议在未来6 到 18个月内采取的行动
宣传CAASM在CTEM中的作用,传递CAASM帮助企业进行风险暴露管理的价值。
评估通过合作伙伴关系扩展ASM相关能力(如EASM和DRPS)的机会。利用Gartner《竞争格局:外部攻击面管理》报告,识别潜在合作伙伴。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。