ابزارهای مدیریت سطح حمله (ASM) با این وعده معرفی میشوند که ریسکهای امنیتی را کاهش دهند. اما در عمل، اغلب چیزی که ارائه میدهند صرفاً اطلاعات بیشتر است.
با استقرار ASM توسط تیمهای امنیتی، فهرست داراییها گسترش مییابد، هشدارها فعال شده و داشبوردها مملو از داده میشوند. این روند فعالیت قابل مشاهده و خروجیها قابل اندازهگیری هستند. با این حال، وقتی مدیران میپرسند که آیا این اقدامات تعداد رخدادهای امنیتی را کاهش داده است، پاسخ اغلب نامشخص باقی میماند.
این فاصله میان تلاش انجامشده و نتیجه واقعی، مسئله اصلی بازده سرمایهگذاری (ROI) در مدیریت سطح حمله است؛ بهویژه زمانی که ROI عمدتاً بر اساس تعداد داراییها سنجیده میشود و نه بر کاهش واقعی ریسک.
وعده در برابر اثبات (Promise vs Proof)
بیشتر برنامههای ASM بر این فرض بنا شدهاند:
نمیتوانید از چیزی محافظت کنید که از وجود آن بیاطلاعید.
بنابراین تیمها روی کشف داراییها تمرکز میکنند:
- دامنهها و زیردامنهها
- IPها و منابع ابری
- زیرساختهای شخص ثالث
- داراییهای گذرا یا کوتاهمدت
با گذشت زمان، تعداد داراییها افزایش مییابد و پوشش امنیتی بهتر میشود.
اما هیچیک از این معیارها مستقیماً نشان نمیدهد که سازمان واقعاً امنتر شده است. در بسیاری موارد، تیمها بیشتر مشغول میشوند اما احساس امنیت کمتری دارند.
چرا ASM شلوغ اما ناکارآمد است؟
ASM معمولاً برای پوشش کامل بهینه میشود، زیرا پوشش راحتتر قابل سنجش است:
- داراییهای بیشتر کشف شده
- تغییرات بیشتر شناسایی شده
- هشدارهای بیشتر تولید شده
هر کدام از اینها به ظاهر پیشرفت محسوب میشوند، اما در واقع فقط ورودیها را میسنجند، نه نتایج واقعی.
تجربه عملی تیمها شامل:
- خستگی ناشی از هشدارها
- فهرست طولانی داراییهای «مشخص اما حلنشده»
- سردرگمی مداوم در مالکیت
- استمرار ریسک برای ماهها
کار واقعی انجام میشود، اما کاهش ریسک سختتر دیده میشود.
شکاف در سنجش ROI
یکی از دلایل دشواری اثبات بازگشت سرمایه (ROI) در ASM این است که بیشتر معیارها روی آنچه سیستم میبیند تمرکز دارند، نه آنچه سازمان واقعاً بهبود میدهد.
معیارهای رایج ASM:
- تعداد داراییها
- تعداد تغییرات
معیارهای مؤثر اما کمتر پیگیری شده:
- سرعت مالکیت داراییهای پرریسک
- مدت زمان مواجهه با نقاط آسیبپذیر
- کاهش مسیرهای حمله در طول زمان
بدون سنجش مبتنی بر نتیجه، ASM حتی در جلسات بودجهریزی هم سخت قابل دفاع است.
ROI موثر چه شکلی دارد؟
بهجای پرسیدن این سؤال:
«چند دارایی کشف کرده ایم؟»
سؤال مفیدتر این است:
«چقدر سریعتر و امنتر در مدیریت مواجههها عمل میکنیم؟»
این بازتعریف، ROI را از صرفاً شمارش دارایی ها به سمت کیفیت پاسخ دهی و مدتزمان مواجهه با ریسک منتقل می کند.این رویکرد ROI را از دید داراییها به کیفیت پاسخ و مدت زمان مواجهه با ریسک تغییر میدهد که با ریسک واقعی همسو است.
سه شاخص عملی برای سنجش نتایج واقعی
میانگین زمان مالکیت دارایی (Mean Time to Asset Ownership)
داراییهای بدون مالکیت:
- طولانیتر باقی میمانند
- دیرتر پچ میشوند
- احتمال فراموشی دارند
کاهش این زمان، پنجره ریسک بدون مسئولیت را کوتاه میکند و نشانه واضحی است که ASM به اقدام تبدیل شده است.
کاهش Endpointهای بدون احراز هویت با قابلیت تغییر وضعیت
تمام داراییها اهمیت یکسانی ندارند. برای سنجش واقعی کاهش سطح حمله، بررسی تعداد Endpointهای خارجی که قادر به تغییر وضعیت هستند، مشخص کردن اینکه کدام یک نیاز به احراز هویت دارند و دنبال کردن تغییرات این اعداد در طول زمان، شاخص بسیار قویتری ارائه میدهد.
در عمل، محیطی که هزاران دارایی ثابت دارد اما مسیرهای تغییر وضعیت بدون احراز هویت اندک هستند، به مراتب ایمنتر از محیطی است که داراییهای کمتری دارد اما مسیرهای ورودی حساس زیادی وجود دارد. این موضوع نشان میدهد که تمرکز بر Endpointهای حساس، اهمیت بیشتری نسبت به شمارش کلی داراییها دارد.
زمان حذف دارایی پس از از دست رفتن مالکیت
آسیبپذیریها اغلب پس از تغییرات تیم، منسوخشدن برنامهها، انتقال زیرساختها یا بازسازی سازمان همچنان باقی میمانند.
سنجش سرعت حذف داراییها پس از از دست رفتن مالکیت، یکی از شاخصهای قوی برای ارزیابی ASM در بلندمدت است و در عین حال یکی از شاخصهایی است که به ندرت شناسایی میشود.
اگر داراییهای بدون مالک برای مدت طولانی باقی بمانند، شناسایی آنها به تنهایی قادر به کاهش ریسک نخواهد بود.
کاربرد عملی این رویکرد در محیط واقعی
شاخصهای غیرعملیاتی بهراحتی پذیرفته میشوند، اما بهکارگیری عملی آنها دشوار است. هدف، ایجاد یک داشبورد جدید یا مجموعهای متفاوت از هشدارها نیست، بلکه تغییر در آن چیزی است که قابل مشاهده میشود؛
- شکافهای مالکیت
- مدتزمان مواجهه
- ریسکهای حلنشدهای که در میان شمارش داراییها گم میشوند.
بهجای تأکید بر تعداد کل داراییها، این دیدگاه نشان میدهد:
- کدام داراییها مالک دارند
- کدامها حلنشدهاند
- مالکیت هر دارایی چه مدت نامشخص بوده است
هدف، هشدار بیشتر نیست؛ حل سریعتر است.
تبدیل مدیریت سطح حمله (ASM) به یک کنترل موثر
چالش ASM به دلیل کمکاری تیمها نیست؛ بلکه به این دلیل است که تلاشها بهطور مستمر به نتایجی که برای مدیریان اهمیت دارد، همسو نمیشوند.
بازتعریف ROI بر اساس سرعت پاسخدهی، شفافیت مالکیت و مدتزمان باقیماندن مواجهه با ریسک، امکان نشان دادن پیشرفت واقعی را فراهم میکند، حتی اگر تعداد کلی داراییها تغییری نکند. در بسیاری از موارد، ارزشمندترین دستاوردها زمانی حاصل میشوند که سطح حمله مجدداً به وضعیتی قابل پیشبینی بازگردد.
نقطه شروع قابل اجرا
یک روش برای آزمون و سنجش شاخصهای ASM مبتنی بر نتایج این است که اطلاعات مربوط به داراییها برای تیمها قابل دسترسی باشد و پشت محدودیت ابزارها پنهان نشود. تحقیقات نشان میدهند که مشاهده همزمان شکاف مالکیت و مدت زمان مواجهه با ریسک توسط تیمهای مهندسی، امنیت و زیرساخت، منجر به افزایش سرعت رفع آسیب پذیری بدون افزایش تعداد هشدارها میشود. این رویکرد باعث شده است محققان نسخهای رایگان و جامعهمحور از پلتفرم ASM خود را عرضه کنند که شناسایی داراییها و مالکیت را بدون محدودیت و هزینه در اختیار تیمها قرار میدهد. هدف، جایگزینی ابزارهای فعلی نیست، بلکه فراهم کردن راهی برای اندازهگیری واقعی کاهش مواجهه با ریسک در طول زمان است. اگر قصد دارید بازده ROI برنامه ASM خود را ارزیابی کنید، به جای تمرکز روی تعداد داراییها، باید روی نتایج واقعی تمرکز کنید. در این مسیر، از خود بپرسید:
- داراییهای پرریسک چه مدت بدون مالک میمانند؟
- امروز نسبت به سهماهه قبل، چند مسیر تغییر وضعیت بدون احراز هویتِ داریم؟
- داراییهای رهاشده با چه سرعتی حذف میشوند؟
اگر پاسخ این شاخصها افزایش اثربخشی نداشته باشد، شناسایی داراییهای بیشتر به تنهایی تاثیری در نتیجه نخواهد داشت.
جمعبندی: تمرکز بر شاخصهایی که اثر قابل توجهی بر ریسک دارند.
مدیریت سطح حمله زمانی قابل دفاع است که تمرکز بر تغییرات واقعی داشته باشد، نه صرفاً شمارش داراییها. شناسایی و شفافیت داراییها همواره اهمیت دارند اما این موارد تضمینکننده کاهش مواجهه با ریسک نیستند و تنها نشان میدهند که وضعیت داراییها تحت نظارت قرار دارد. ROI در ASM زمانی آشکار میشود که داراییهای پرریسک سریعتر مالکیتشان تأیید شود، مسیرهای حساس زودتر حذف شوند و زیرساختهای بدون مالک برای مدت طولانی باقی نمانند. فهرست داراییها وسعت لازم برای پوشش سطح حمله را فراهم میکند، در حالی که شاخصهای مبتنی بر نتایج، عمق تحلیلی مورد نیاز برای درک واقعی کاهش ریسک را ارائه میدهند. در Sprocket Security، مدیریت سطح حمله تنها محدود به شمارش داراییها نیست و مدت زمان باقی ماندن آسیبپذیریها و سرعت رفع آنها نیز مورد سنجش قرار میگیرد. شاخصهای سطح حمله باید اثبات کنند که مواجهه با ریسک کاهش یافته، نه صرفاً شمار داراییها افزایش یافته است.
اگر یک برنامه ASM نتواند پاسخ دهد که آیا مواجهه با ریسک کاهش یافته است، به سختی میتوان ادعا کرد که فراتر از گزارشدهی عمل میکند. با این حال، داشتن دید کامل نسبت به داراییها همواره ضروری است.
