在本次行業媒體的采訪中，Detectify公司首席執行官Rickard Carlsson討論了遠程工作和數字化轉型背景下攻擊面管理的演變。

Carlsson強調了首席信息安全官今天面臨的挑戰，包括在不斷擴大的攻擊面中保持可見性和管理合規性，同時還要處理有限的資源和不斷增長的業務需求。

隨著向遠程工作和數字化轉型的轉變，傳統的攻擊面管理概念是如何演變的？與幾年前相比，首席信息安全官今天面臨的最大挑戰是什么？

組織應該開始忘記舊的基于邊界的安全方法。事實上，辦公室工作和遠程工作已經沒有區別了。沒有內外之分，只有外在。現在需要保護的是不斷增長的、動態的、雜亂無章的端點、云服務和第三方應用程序，它們構成了外部攻擊面。

毫無疑問，首席信息安全官如今面臨著許多與攻擊面擴展相關的挑戰。他們一直在努力保持可見性，跟上現代（快速發展的）技術變化，新的攻擊媒介，并保持在不斷增長的合規性和監管浪潮（如NIS2、DORA或歐洲的網絡彈性法案）的前列。此外，他們需要在有限的資源和不斷增加的壓力下完成所有這些工作，以帶來業務價值。

傳統的攻擊面管理通常需要幫助處理不完整和過時的庫存。組織應該采用什么策略和工具來確保其全面和最新的資產清單？

越來越多的組織采用多個云提供商，從而擴大和分散其攻擊面。沒有持續映射和評估的庫存使得未知資產中的數字暴露和與域相關的漏洞（如子域接管或服務器錯誤配置）更容易被忽視。手動清單通常要么過時要么不完整，很少反映攻擊面的當前狀態。

攻擊者很清楚總會有一個薄弱環節，所以最好的策略是立即識別并密切監控所有面向互聯網的資產的變化。自動和持續的掃描將幫助您的團隊了解攻擊面中除了漏洞和問題之外的變化，以及該變化是否會帶來風險，即使它只是一個IP、一個端口或一個云提供商。最好的工具還將授權安全團隊，允許他們設置自己的策略來定義哪些更改應該被視為風險。

實時監控和自動化有多重要？首席信息安全官如何利用這些工具來減少手工工作并改進安全結果？

建議首席信息安全官尋找能夠真正幫助他們的團隊以最有效的方式完成工作的工具，從簡化攻擊面發現（實時、連續的資產映射）到產生最準確、最嚴格的評估（怎么強調都不夠），最后將發現無縫地集成到現有的工作流程中，以快速修復和減少手工工作。當團隊不能相信他們的發現，不得不尋找假陽性時，就會浪費本可以用來解決實際風險或產生業務價值的寶貴時間。

首席信息安全官應該關注哪些指標來衡量其攻擊面管理策略的有效性？

有效性不是通過計算固定漏洞的總數來衡量的。假裝讓安全團隊解決每個出現在他們面前的漏洞是不現實和低效的，特別是考慮到在許多組織的系統中沒有相關的攻擊路徑。

ciso應該根據他們獨特的業務環境來定義他們的風險，并專注于解決那些對他們的組織真正重要的事件和破壞。查看這些相關問題的檢測和補救時間也可能是有用的和有見地的。評估工作是否與遵從性需求和審計結果保持一致，也是攻擊面管理策略和工具有效性的良好指示器。

隨著許多組織依賴第三方供應商和云計算服務提供商，首席信息安全官如何管理和減輕與第三方合作伙伴關系及其帶來的擴展攻擊面相關的風險？

首席信息安全官痛苦地意識到，數字化努力和現代技術堆棧意味著混合云和大型第三方依賴，這使得拍攝無縫隙攻擊面圖片的任務非常艱巨。為了降低這些風險，他們應該尋找能夠帶來自動和實時可見性的工具，并能夠管理跨多個云提供商托管的資產中的問題。一定程度的風險敞口總是可以確定的，但由首席信息安全官來決定什么風險是過度風險。可接受的風險總是因行業和數字成熟度的不同而不同。