导读

欧比：伙计，今天的主题是攻击面管理，因为很多人听说过攻击面管理，ASM或扩展攻击面管理或外部攻击面管理，所有这些不同的术语。但谈论为什么这很重要真的很重要。老实说，没有比问专家更好的人选了，在这里，专家就是你。尤达，用你的话说，什么是攻击面管理？

尤达: 嗯。简单地说，对吧？好吧，如果我们试图尽可能简单地说，我会说这是一种可见性，但当然这个词被过度使用，可能意味着很多事情。但我几十年来一直在告诉人们，只要我参与尝试推广这个概念或倡导其重要性……这就是对手的视角。这真的是通过对手的视角来看。为什么这很重要？嗯，如果你曾经见过一个漏洞管理项目……他们没有把所有资产都列在清单上，对吧？对的，没有监控所有东西。我的意思是，但这几乎发生在每个公司，他们忽略了一些，或者他们需要添加一些他们刚刚发现的新东西，但如果你只是从这个角度看，嗯，我们在监视我们被告知要监视的东西，或者我们认为我们应该监视的东西。但是你看，对手不这样做，对吧？他们只是找出来。他们只是去挖掘。在很长一段时间里，公司没有做同样的尽职调查，我称之为，对吧？嗯，我们什么都不假设。让我们来看看，就像我们要把这个组织放在十字准星下一样。我们看到了什么？就像攻击者一样，因为我们发现的一切，或者我可以说，每一次我为任何组织做这件事，我发现的是，外面有比公司意识到的更多的东西。所以这就是ASM。从执行或定期执行它中可以获得很多好处，我们稍后可以讨论。

欧比: 是的，你说的是……好吧，首先，我要讨论一下术语，对吧？顺便说一句，你和我都没有发明这个术语。我想每个人都应该知道，可能也知道。但我想我要攻击它一下。攻击面管理，从你刚才的描述来看……其中没有太多管理，不是吗？

尤达: 我当然不是发明这个术语的人，我并不是很喜欢它。我反复说过我不喜欢这个术语，因为它没有太多管理的成分。你说的是，如果我没听错的话……通过对手的视角看自己。所以你提到有很多东西是人们不知道存在的，对吧？我想人们经常称之为影子IT，对吧？

欧比: 所以毫不奇怪，人们会启动新的服务器，甚至是新的网站，以公司的名义启动各种新事物。也许是在云端，对吧？他们在云端启动新的存储桶。而人们都不知道它的存在，对吧？这种情况已经持续了很长时间。这个挑战，多年来我一直在谈论情报。我总是说CMDB（配置管理数据库），它应该是你所拥有的一切的清单，对吧？每台计算机，上面的所有软件，所有版本，所有一切。每次我站在台上说，每个人都举手表示他们相信自己的CMDB是准确的。没有人举手。一半的人笑了，老实说，我觉得这有点悲哀。我只是坐在这里想，你怎么能保护你甚至不知道自己拥有的东西呢？就像，你不了解你的环境。你不了解你的库存。作为一个情报人员，这让我害怕，因为我可以告诉你，这是一个可怕的对手。他们非常危险。他们有这些战术和技巧，你知道，他们对像我们这样的公司感兴趣。他们刚刚想出了这个新战术。但我无法告诉你这是否真的对我们很重要，因为我甚至不知道我们是否有那个软件系统，或者我们是否有那个版本，或者我们是否打了补丁，或者我们的补偿控制是什么，或者什么是暴露在外的。人们有时只是耸耸肩，咯咯笑CMDB出了问题。从你说的来看，我的意思是，这延伸了，对吧？你有对手能够找到我们不知道存在的东西。你如何保护你不知道存在的东西？所以能够通过对手的视角来看，正如你所说，正如你也敏锐地指出的那样，对手不遵守规则，对吧？他们并不真的在乎。他们只是出去找东西。这就是交易，对吧？无论用什么必要的手段去找东西，因为他们的工作就是进入我们的口袋偷东西。就像他们不必遵守规则一样。所以，你知道，我认为这是一个有趣的部分，正如你所说的那个对手成分。所以从你说的来看，攻击面管理不是管理。就像我甚至争辩说这是一种情报，就像攻击面情报。我的意思是，如果我可以重新命名它，我可能会称它为攻击面情报。

尤达: 这就是情报。它能够转化为可操作的情报。我的意思是，这就是我们真正要处理的问题。就像你说的，这就是对手使用它的方式。我的意思是，找出我们能找到的关于目标的一切。如果我们从一个行动的角度来看，对吧？就是了解战场。所以你的工作是了解你这边，也就是蓝方。但你也必须了解红方。无论我们谈论的是因为你是防守者还是攻击者，双方都是必要的。你必须了解双方。为了然后开始做决定说，我们要么这样防守，因为我们认为他们很可能会这样做，要么如果你在另一边，攻击者那边，那么你要看蓝方，说，好吧，我们相信他们建立了自己的防御方式，所以我们将选择这些攻击向量来增加这些攻击成功的可能性，它们不会被发现，无论你的优先事项是什么。所以这需要这种情报，很多时候被称为侦察，为了做出更强有力的决定。这就是我们现在要给企业带来的东西，以及任何在互联网上的组织，那就是我们说你真的需要对自己这样做，这样如果这是对你做的，你就会知道他们会看到什么。如果你不喜欢那样，好吧，你有问题。你需要解决它。对。因为当这一切结束时，当这是一台运转良好的机器时，你应该说的是你应该说，我喜欢我所看到的。我对我所看到的感到满意。我认为这就是我们在继续保卫这个组织时想要处于的位置，老实说，这是一个充满争议的环境。我的意思是，互联网就是这样，不管人们是否愿意承认。这是一个有风险的地方，在一个有点危险或有风险的地方做生意是有代价的。所以你需要得出这样的结论:我们现在接受了风险。我们对风险水平感到满意。这就是我们在继续接受经营成本时想要保持的方式。

欧比: 是的。嗯，这是一个很好的观点。你谈到接受风险，对吧？我的意思是，这是作为CISO最重要的部分之一，你知道，就是风险，对吧？能够量化风险，能够向领导层传达这种风险，能够拥有或接受风险，或者能够确保其他人，如果是CSO，也许是CIO或其他什么人最终成为，但是，处于一个能够拥有风险的位置。如果你实际上不知道风险是什么，拥有风险真的很难。或者拥有风险真的很危险。你以为你知道风险是什么，但事实证明有很多你不知道的风险。你知道，那些未定义的、未被发现的影子IT，突然间成为攻击因素。那是有人进入你环境的大门。你知道，S3存储桶总是让人想起。哦，是的。是啊。是啊，当我们进入云端时，对吧？配置错误的S3存储桶或不应该存在的额外S3存储桶，因为组织没有制定策略，或者可能有策略但没有控制措施。你瞧，一个组织可能认为他们知道自己的风险，他们说，好吧，我们处于可接受的风险中。事实是，你承担了很多你不知道的风险。因为你不了解自己的环境。

尤达: 是的，就像你说的。所以多年来，我们与许多组织合作。我们所做的是通过攻击者的视角来评估他们，然后我们坐到桌前。然后我们向他们展示，好吧，这就是你在互联网上在攻击者眼中的样子。你知道其中有多少？或者给我们看你的资产清单，对吧？问题是，即使是一个成熟的安全项目的公司，可能也只知道我们向他们展示的80%。有些公司，相当多，只有50%。那么他们的风险评级都是错误的，对吧？我的意思是，显然，如果他们不知道外面有一半的东西，他们的风险评级就不可能再准确了。我不知道。在某些情况下，我们甚至看到他们只意识到了25%。从我们向他们展示的内容来看。有没有人得到过100%？你有没有遇到过他们映射出来，他们就像，是的，我们知道一切。

欧比: 不，还没有一个。一个也没有。即使是小团体，比如最小的公司，也有一些他们没有意识到的东西，比如一台旧设备之类的。

尤达: 是的。现在，再次从我在网络战中的背景来看，这是你无法参与对话的。对。如果你不能说你掌握了这些信息或情报，坦率地说，你会被踢出房间。如果你在不了解战场状况的情况下试图对决策发表意见。但当我来到私营部门，这是常态时，起初我不相信，老实说。我以为这只是例外或极端情况。但事实证明，不，这是常态。那时我说，哇，我们需要为此做点什么。我们需要帮助改变这一点。这就是我们的开源工作倡议的来源。

欧比: 我很高兴你提到了这一点。你说得对，被人嘲笑离开房间。想象一下，一个将军出现在会议上。我们将讨论入侵另一个国家或其他任何事情。这是一场陆战，他们无法告诉你他们有多少坦克和人员。我们不知道。我们有……他们在那边的某个地方。那这个排呢？我真的不确定那些家伙在哪里。是的。那这些人呢？我不知道。他们还是军队的一部分吗？是的，我的意思是，这是不可能的。这甚至不会成为一个想法。当然，你知道你的所有库存在哪里，你的所有武器在哪里，你所有用于防御的东西在哪里，你知道，你所有的前进作战基地在哪里，以及所有这些东西。我和你一样。当我进入私营部门时，你知道，在情报方面有类似的经历，当我意识到有多少东西是未知的，至少在情报方面，我会说，好吧，你知道，情报刚刚进入私营部门。有道理。但当我开始学习的时候，对我来说，这就是CMDB。这是我第一次接触到的东西，作为一名情报人员。我就像，好吧，我知道要保护什么。我知道我们有什么，等等，当我意识到我和为谁工作时，他们不知道，这并不令人恐慌。这不像是我们要解决的事情清单的首要任务。只是不，我们不太清楚。我们有这个数据库，但它都过时了。我只是接受它，继续下一件事。我想，这怎么可能？我不明白。我还是不明白。这似乎是常态。正如你所说，我很少发现有组织对自己的库存有信心，他们只是继续他们的工作。我只是想，好吧，你的房子着火了。但正如你所说，进入私营部门，你意识到这就像是常态，而不是像教育那样的异常现象。