Forrester：攻击面管理不仅仅是工具

调研机构 Forrester 在 2022 年初发布的报告中将 ASM 定义为 “持续发现、识别、清点和评估实体 IT 资产风险的过程”。一个机构的攻击面不仅仅是指那些互联网访问，还包括整个信息环境。将 ASM 工具与内部安全控制流程、CMDB、以及其他资产跟踪管理平台整合起来，就能够完全映射企业中的所有连接和资产。

用户也对 ASM 解决方案表示认可，尤其是其可视性、节省时间和排定风险优先级的能力上。在 Forrester 的调查研究采访中，一位汽车交易行业的安全工程师表示：“（ASM 工具）发现的资产比我们想象的多 50%。” 另一家 ISP 的网络安全架构师则表示：“（ASM）是必备的安全措施。”

Forrester 高级分析师 Jess Burn 认为，虽然有几家安全公司专注于提供 ASM 的独立解决方案，但可能这些厂商的未来都会走向收并购，收并购方应该是一些提供威胁情报、漏洞管理、检测和响应的厂商。Burn 相信，ASM 将在未来 12 到 18 个月内成为以上这些领域的标准能力。Log4j 漏洞证明了这一点，因为它加速了开源软件管理和 SBOM 的关键性。

Burn 强调，ASM 应该被视为一个由工具驱动的项目，而不仅仅是一个工具或一种功能。应该利用它将相互冲突的优先级事项聚集在一起。如果机构组织希望实现 AIDM，那么将 ASM 项目的目标与更高的可视性、可观察性并列起来，并将其视做为 AIDM 的关键因素，就能够把安全、技术和业务部门的团队和领导人联合在一起，这是以前的漏洞风险管理、内部补丁的 SLA (服务等级协议) 永远难以企及的。

事实上，ASM 项目应该是一个融合或矩阵式组织，跨越多个利益相关者，包括基础设施和运营、应用程序开发和交付、安全、风险、合规性、隐私、营销、社交媒体等。