從研究人員近些年的調查結果來看，威脅攻擊者目前非常善于識別和利用最具有成本效益的網絡入侵方法，這就凸顯出了企業實施資產識別并了解其資產與整個資產相關的安全態勢的迫切需要。

　　目前來看，為了在如此復雜的網絡環境中受到最小程度上的網絡威脅，企業不應問 "我們暴露了嗎?"而應問 "我們暴露的程度如何?要了解這個問題，企業必須實施一種程序化和可重復的方法，將自己想象成威脅攻擊者，從敵對的角度看待自己的網絡防御系統。

　　網絡安全暴露的現狀

　　威脅者發動網絡攻擊可能會瞄準企業任何可能存在漏洞的地方。因此，企業需要實施多種安全控制、工具和流程來保護內部的網絡系統。

　　目前來看，企業的安全工作經常被分割滲透測試、威脅情報管理和漏洞掃描等成不同部分。但是不幸的是，從以往的網絡攻擊案例來看，這種分割方法對企業所面臨的各種網絡風險的洞察力極其有限。在這樣的背景下，再加上缺乏全面的風險優先級排序，使得企業在面臨安全挑戰時會顯得不知所措，無法充分指導企業首先應該解決哪些問題。

　　因此，企業需要一種系統性且一致的策略來衡量其面臨的安全風險，這就需要將重點轉移到思考威脅攻擊者有哪些攻擊途徑上去，并在發生網絡攻擊時不斷”評估“防御措施和響應計劃。

　　此外，企業了解威脅攻擊者的”動態"對于準確定位安全漏洞、告知安全團隊應首先在哪些方面應用安全措施以及有必要采取哪些額外的安全控制措施至關重要。(從威脅攻擊者的角度識別安全漏洞，能讓企業主動提升安全態勢)

　　企業得攻擊面不斷擴大

　　目前，大多數企業的 IT 生態系統包括從內部員工的身份，工作平臺以及云服務等，包含了各種各樣的數據資產，每種資產都可能因安全漏洞和錯誤配置而暴露。這些安全漏洞和錯誤配置可能被威脅攻擊者用來破壞組織的運營和數據資產。

　　混合環境中，這一挑戰更為嚴峻，因為混合環境融合了云和內部資產，再加上沒有明確的邊界，大大降低了可見性和控制力。可見，隨著企業的發展，其攻擊面必然會隨著新的互聯資產的整合而擴大，從而增加了復雜性。

　　值得注意的是，外部威脅環境的不確定性使這種擴展變得更加復雜，新興威脅(包括由人工智能驅動的威脅)不斷改變著外部威脅環境，“影子 IT"也會大大增加了這種復雜性，這樣就會大大增加了業務風險、合規風險，使得安全管理變得更加復雜。

　　由此可見，企業數據資產的相互關聯性以及不斷發展的安全威脅，給安全管理員有效管理組織的安全態勢帶來了巨大挑戰。如果每個安全漏洞不加以解決，都可能成為通向更多資產或數據的通道，為威脅攻擊者創造潛在的利用途徑。

　　企業需要搞清楚攻擊面

　　威脅攻擊者利用常見的安全漏洞、泄密憑證或配置錯誤的安全設置”穿越“受害者網絡并訪問企業資產的攻擊途徑是一種重大威脅，這些途徑往往隱藏在復雜的網絡生態系統中。因此，安全團隊往往無法全面了解企業所面臨的潛在安全威脅，從而對可能導致勒索軟件部署的混合攻擊準備不足。

　　許多企業往往會主動提升內部的安全態勢以抵御勒索軟件等高風險威脅，這就好比在不斷擴大的資產庫存中修補安全漏洞，注定是一場無休止的”戰斗“。歸根結底，由于缺乏對優先級和風險的范圍和理解，再加上大量漏洞的出現，使得企業在風險暴露方面有太多事情要做，而在首先采取什么行動方面卻幾乎沒有指導。因此，企業需要一種方法來解決 "我們是如何暴露的 "這一問題。

　　什么是安全風險攻擊面管理?

　　一個企業不可能對其運營的方方面面都能夠提供最好的安全防護。因此，需要優先保護關鍵領域，在最需要的地方簡化安全工作。

　　通過調整優先級，企業可以解決三個關鍵問題：

　　從威脅攻擊者的角度來看，我的組織是什么樣的?

　　我的組織中哪些部分最容易受到攻擊?

　　如果攻擊者設法破壞了這些攻擊路徑，會產生什么影響?

　　通過回答這三個問題，安全團隊可以更好地確定工作量的輕重緩急，并立即解決關鍵的安全風險。

　　攻擊管理側重于優化安全措施，以更好地防范威脅，其主要目標是緊急突出和強化組織的最脆弱點。這一過程對于確定優先級至關重要，當企業搞清楚遵守每項政策或衡量每項指標都不切實際時，就需要把防御重點轉移到封堵威脅攻擊者的潛在切入點上。

　　攻擊面管理往往從評估外部安全狀況開始，主要包括模擬威脅攻擊者針對組織的潛在行動(攻防演練)，這種方法的主要好處之一是揭示了可能被利用的攻擊載體，使企業能夠先發制人地解決薄弱環節。特別是在資源緊張的情況下，這一點尤為重要。

　　參考文章：https://www.helpnetsecurity.com/2024/04/09/organizations-exposure-management/