😧
攻击面管理中的ROI问题
攻击面管理中的ROI问题
攻击面管理(ASM)工具在减少风险方面效果明显,但它们提供的更多是信息。
安全团队部署了ASM后,资产清单会不断增长,警报开始出现,仪表板上填满了数据。表面上看,活动可见且有可衡量的产出。但当领导问一个简单的问题:“这是否减少了安全事件?”时,答案往往不明确。
这种“努力与结果之间的差距”是攻击面管理中的核心ROI问题,尤其是当ROI主要通过资产数量而非风险降低来衡量时。
承诺与证明
大多数ASM计划围绕着一个合理的想法展开:你不能保护你不知道存在的东西。因此,团队专注于发现:域名和子域名、IP和云资源、第三方基础设施以及瞬态或短期存在的资产。
随着时间的推移,数量增加,仪表板呈上升趋势,覆盖范围改善。
但这些指标并没有直接回答组织是否变得更加安全。在许多情况下,团队变得更忙碌,却没有感到暴露度降低。
为什么ASM看起来很忙但效果不大
ASM往往优化覆盖范围,因为覆盖范围容易衡量:发现的资产越多,检测到的变化越多,生成的警报也越多;每一项看起来都像是进展。
但它们主要衡量的是投入,而不是结果。
在实际操作中,团队往往会遇到以下问题:
警报疲劳
“已知但未解决”资产的积压
重复的所有权混淆
曝露风险持续数月
做的工作是实打实的,但风险降低却很难看得见。
衡量差距
ASM的ROI之所以难以证明,部分原因在于大多数攻击面度量标准关注的是系统能看到的内容,而非组织实际改进的方面。
常见的攻击面管理指标包括:
资产数量
变化次数
而更有意义的攻击面度量指标通常没有涵盖下面的内容:
风险资产被抢占的速度
危险暴露持续的时间
攻击路径是否随着时间的推移而缩短
资产清单仍然是衡量外部攻击面基础的重要工具。没有广泛的发现,根本无法了解暴露的程度。然而,在发现的度量标准没有与能够衡量风险是否被真正降低的标准相匹配时,差距就出现了。
没有面向结果的度量标准,即使所有人都同意资产可见性是必要的,ASM也很难在预算审查时作出防御。
有意义的ROI是什么样的?
与其问:“我们发现了多少资产?”,不如问:“我们在处理暴露的速度和安全性上变得多快多好?”
这种重新定义的ROI,将焦点从可见性转移到响应质量和暴露持续时间上。其与现实世界的风险关联更为紧密。
三个真正重要的结果指标:
1. 资产所有权的平均时间
需要多长时间才能回答一个基本问题:“这个资产是谁拥有的?”
没有明确所有权的资产:
会存在得更久
更新和修补的速度较慢
更有可能完全被遗忘
缩短时间到所有权可以减少暴露窗口,资产暴露没有责任人时,暴露的风险也会更大。这是ASM发现能转化为行动的最直接信号之一。
2. 无认证的、能改变状态的端点减少
不是所有的资产都同样重要。
跟踪多少外部端点能改变状态,有多少内容需要认证,以及这些数字随时间的变化,能提供更强的信号,说明攻击面是否在关键点缩小。
一个拥有成千上万静态资产的环境,但少数无认证、能改变状态的路径,显然比一个拥有少量资产但多出许多危险入口的环境更加安全。
3. 失去所有权后的去委托时间
曝露往往在以下情况后依然存在:
团队变动
应用程序停用
供应商迁移
组织重组
测量在失去所有权后,资产被退役的速度是长期卫生管理的强有力指标,也是最少被追踪的指标之一。
如果废弃的资产无限期地存在,单单发现这些资产并不能降低风险。
这在实践中是什么样子的?
抽象的度量标准容易达成一致,但很难付诸实践。目标不是一个新的仪表板或不同的警报,而是转变为关注:所有权缺口、暴露持续时间和未解决的风险,这些原本可能在资产数量中消失。
与其强调总资产数量,不如从这种视角突出显示:
哪些资产已被拥有
哪些资产未被解决
哪些资产的所有权未明确的时长
目标不是更多警报,而是更快速的解决方案。
将ASM变成一种控制手段
ASM的困境并不是因为团队的努力不足造成的,而是因为努力没有始终与领导关心的结果挂钩。
将ROI重新围绕速度、所有权和暴露持续时间,使得展示真正进展成为可能,即使原始的资产数量从未改变。在许多情况下,最有意义的胜利来自于让攻击面再次变得无聊。
一个具体的起点
检验面向结果的ASM指标的一种方法是让资产可见性跨团队广泛可访问,而不是仅仅依赖工具孤岛。我们发现,当工程、安保和基础设施团队都能看到所有权缺口和暴露持续时间时,解决速度会加快,而无需增加更多警报。
这一思路促使我们发布了一个ASM平台的社区版,它提供了资产发现和所有权可见性,而没有任何费用或限制。目标不是替代现有工具,而是为团队提供一种衡量暴露是否在随时间缩小的方法。
如果你想测试你ASM计划的ROI,可以试试这个方法:忽略你拥有多少资产。
不妨问问:
风险资产未被掌握的时间有多长?
现在与上个季度相比,存在多少无认证、能改变状态的路径?
被遗弃的资产退役的速度有多快?
如果这些答案没有改善,那么更多的发现也不会改变结果。
结论:衡量那些真正改变风险的因素
攻击面管理在通过衡量变化而非积累来证明价值时才变得有说服力。发现从始至终都很重要。可见性始终是衡量攻击面时的重要标准。但这两者都无法保证暴露风险被降低,仅能证明暴露被观察到。
攻击面管理的ROI在于,风险资产能更快地被确认拥有,危险路径能更快消失,废弃的基础设施不会无期限地存在。资产清单提供了必要的广度,面向结果的度量则提供了理解风险降低的深度。
在Sprocket Security,我们不仅从资产存在数量来考虑攻击面管理,还考虑了有意义暴露持续的时长以及它多快得以解决。最重要的是,攻击面度量应该让进展变得可见,而不仅仅是资产数量的增长。
如果一个攻击面管理计划无法回答暴露是否随时间缩小,那么很难证明它做的不仅仅是报告问题。
攻击面管理(ASM)工具在减少风险方面效果明显,但它们提供的更多是信息。
安全团队部署了ASM后,资产清单会不断增长,警报开始出现,仪表板上填满了数据。表面上看,活动可见且有可衡量的产出。但当领导问一个简单的问题:“这是否减少了安全事件?”时,答案往往不明确。
这种“努力与结果之间的差距”是攻击面管理中的核心ROI问题,尤其是当ROI主要通过资产数量而非风险降低来衡量时。
承诺与证明
大多数ASM计划围绕着一个合理的想法展开:你不能保护你不知道存在的东西。因此,团队专注于发现:域名和子域名、IP和云资源、第三方基础设施以及瞬态或短期存在的资产。
随着时间的推移,数量增加,仪表板呈上升趋势,覆盖范围改善。
但这些指标并没有直接回答组织是否变得更加安全。在许多情况下,团队变得更忙碌,却没有感到暴露度降低。
为什么ASM看起来很忙但效果不大
ASM往往优化覆盖范围,因为覆盖范围容易衡量:发现的资产越多,检测到的变化越多,生成的警报也越多;每一项看起来都像是进展。
但它们主要衡量的是投入,而不是结果。
在实际操作中,团队往往会遇到以下问题:
警报疲劳
“已知但未解决”资产的积压
重复的所有权混淆
曝露风险持续数月
做的工作是实打实的,但风险降低却很难看得见。
衡量差距
ASM的ROI之所以难以证明,部分原因在于大多数攻击面度量标准关注的是系统能看到的内容,而非组织实际改进的方面。
常见的攻击面管理指标包括:
资产数量
变化次数
而更有意义的攻击面度量指标通常没有涵盖下面的内容:
风险资产被抢占的速度
危险暴露持续的时间
攻击路径是否随着时间的推移而缩短
资产清单仍然是衡量外部攻击面基础的重要工具。没有广泛的发现,根本无法了解暴露的程度。然而,在发现的度量标准没有与能够衡量风险是否被真正降低的标准相匹配时,差距就出现了。
没有面向结果的度量标准,即使所有人都同意资产可见性是必要的,ASM也很难在预算审查时作出防御。
有意义的ROI是什么样的?
与其问:“我们发现了多少资产?”,不如问:“我们在处理暴露的速度和安全性上变得多快多好?”
这种重新定义的ROI,将焦点从可见性转移到响应质量和暴露持续时间上。其与现实世界的风险关联更为紧密。
三个真正重要的结果指标:
1. 资产所有权的平均时间
需要多长时间才能回答一个基本问题:“这个资产是谁拥有的?”
没有明确所有权的资产:
会存在得更久
更新和修补的速度较慢
更有可能完全被遗忘
缩短时间到所有权可以减少暴露窗口,资产暴露没有责任人时,暴露的风险也会更大。这是ASM发现能转化为行动的最直接信号之一。
2. 无认证的、能改变状态的端点减少
不是所有的资产都同样重要。
跟踪多少外部端点能改变状态,有多少内容需要认证,以及这些数字随时间的变化,能提供更强的信号,说明攻击面是否在关键点缩小。
一个拥有成千上万静态资产的环境,但少数无认证、能改变状态的路径,显然比一个拥有少量资产但多出许多危险入口的环境更加安全。
3. 失去所有权后的去委托时间
曝露往往在以下情况后依然存在:
团队变动
应用程序停用
供应商迁移
组织重组
测量在失去所有权后,资产被退役的速度是长期卫生管理的强有力指标,也是最少被追踪的指标之一。
如果废弃的资产无限期地存在,单单发现这些资产并不能降低风险。
这在实践中是什么样子的?
抽象的度量标准容易达成一致,但很难付诸实践。目标不是一个新的仪表板或不同的警报,而是转变为关注:所有权缺口、暴露持续时间和未解决的风险,这些原本可能在资产数量中消失。
与其强调总资产数量,不如从这种视角突出显示:
哪些资产已被拥有
哪些资产未被解决
哪些资产的所有权未明确的时长
目标不是更多警报,而是更快速的解决方案。
将ASM变成一种控制手段
ASM的困境并不是因为团队的努力不足造成的,而是因为努力没有始终与领导关心的结果挂钩。
将ROI重新围绕速度、所有权和暴露持续时间,使得展示真正进展成为可能,即使原始的资产数量从未改变。在许多情况下,最有意义的胜利来自于让攻击面再次变得无聊。
一个具体的起点
检验面向结果的ASM指标的一种方法是让资产可见性跨团队广泛可访问,而不是仅仅依赖工具孤岛。我们发现,当工程、安保和基础设施团队都能看到所有权缺口和暴露持续时间时,解决速度会加快,而无需增加更多警报。
这一思路促使我们发布了一个ASM平台的社区版,它提供了资产发现和所有权可见性,而没有任何费用或限制。目标不是替代现有工具,而是为团队提供一种衡量暴露是否在随时间缩小的方法。
如果你想测试你ASM计划的ROI,可以试试这个方法:忽略你拥有多少资产。
不妨问问:
风险资产未被掌握的时间有多长?
现在与上个季度相比,存在多少无认证、能改变状态的路径?
被遗弃的资产退役的速度有多快?
如果这些答案没有改善,那么更多的发现也不会改变结果。
结论:衡量那些真正改变风险的因素
攻击面管理在通过衡量变化而非积累来证明价值时才变得有说服力。发现从始至终都很重要。可见性始终是衡量攻击面时的重要标准。但这两者都无法保证暴露风险被降低,仅能证明暴露被观察到。
攻击面管理的ROI在于,风险资产能更快地被确认拥有,危险路径能更快消失,废弃的基础设施不会无期限地存在。资产清单提供了必要的广度,面向结果的度量则提供了理解风险降低的深度。
在Sprocket Security,我们不仅从资产存在数量来考虑攻击面管理,还考虑了有意义暴露持续的时长以及它多快得以解决。最重要的是,攻击面度量应该让进展变得可见,而不仅仅是资产数量的增长。
如果一个攻击面管理计划无法回答暴露是否随时间缩小,那么很难证明它做的不仅仅是报告问题。
关于作者
评论0次