如何确定应用程序的攻击面？

在确认应用程序的攻击面时，我们必须首先判定哪些是企业范围之内的，哪些是范围之外的。企业部署了很多不同类型的应用程序，而且从风险管理的观点来看，每种应用程序都被区别对待。

根据软件的来源不同，软件也可区别对待。有些应用程序可以是本地开发的定制软件，而有些可能是由第三方开发的软件，或是商品化软件，或者是由外部的大小厂商提供的外部软件。非常重要的一点是， 统计出企业应用程序的攻击面中的任何云服务，这是因为这些服务常被用于存储和管理敏感信息。

（图片来源于网络）

确定应用程序范围的目标是，尽可能决定最全面的清单。确切地说，构建这个清单是一个反复的过程，并且很难真正地实现。为什么攻击面的清查过程如此困难？在多数企业中，原有的应用程序是在调查开始之前就部署好了，这就需要分析人员在对已有的应用程序的“存货”进行清查。此外，新的应用程序又在不断地开发，或者由于公司的合并或收购而产生新的应用程序。云供应商和云服务还使得各种企业和行业以一种“ 去中心化 ”的方式获得了更多的攻击面。最后，在很多企业中，随着现有的应用程序被重新设计和扩展，开发运维和其它的战略构想还可能导致各种微服务和其它软件攻击而的激增。

那么，分析人员如何找到部署在企业中的应用程序呢？

其方法依据企业而不同，但是企业的规模可能影响攻击面以及攻击面的发现方式。大企业往往拥有更多的业务、服务和产品，而这些往往与应用程序的暴露密切相关。在小企业中，与其它部门（如会计部门）合作时，使用非技术手段也许更可行。企业所属行业也可能影响到攻击面。大型银行或金融服务公司往往比大型的矿业公司拥有更多的定制软件开发，因为后者往往依赖的是封装好的软件和大量的特定行业软件。IT的成熟度和集中化会影响到确认应用程序的过程，由于拥有更高成熟度的公司其资产管理方法更好，因而其清查应用程序的起点就可能更好。

云的利用也影响到攻击面的确认过程。未利用云服务的企业和依赖自有数据中心的企业可能更容易发现已部署的应用程序。不过，必须重视的趋势是，企业日益将其大量的服务推送给云供应商，用以支持开发运维（DevOps）和其它的灵活性策略。

（图片来源于网络）