攻击面管理（ASM）是不断发展的网络安全领域，ASM旨在识别内部和外部漏洞，提供建议，并观察新出现的威胁。如果企业想要更好地管理攻击面，则可以部署很多ASM工具，这些工具可以扫描、分类、修复和监控安全问题，而这与CISO传统角色保持一致，即评估威胁和实施控制。

但网络安全领导者也可能考虑新兴的ASM方面，这些方面促进了更积极的安全措施。例如，运行时安全方法在应用程序和工作负载执行时保护它们，允许安全人员立即解决出现的问题。另一个例子是令牌化（tokenization），这是指使用随机生成标识符替换敏感数据的过程。敏感数据存储在安全数据库中或使用算法进行加密，这有助于减少攻击面，并最大限度地减少成功数据泄露的影响。

以下是关于运行时安全和令牌化如何融入ASM和企业网络安全战略的简要概述，可供CISO查看：

运行时安全性可支持实时ASM决策

Upwind Security提供了一个基于运行时的云安全平台。Upwind公司首席安全和战略官Rinki Sethi认为，随着代理AI在网络安全中的使用越来越普遍，运行时间对ASM至关重要。

她说：“如果你真的相信安全的未来将是代理，我相信，在攻击面管理方面，专注于运行时安全将是最重要的事情。”

Sethi表示，代理AI系统可以消耗运行时数据，并帮助企业在出现问题时做出决定，而不是事后处理配置错误或其他漏洞。她补充说，相比之下，网络安全工具只会识别IT环境中持续两周的问题，并告诉安全经理一些攻击者已经知道的事情。

Sethi称：“你想实时了解你的问题，如果你不以这种方式操作，你将无法跟上攻击者的步伐。”

Sethi说，Upwind的运行时重点是她决定在6月份加入初创公司的主要原因。她之前是Bill公司的首席信息安全官，Bill是一家金融运营平台提供商，也是Upwind公司的客户。

她说：“现在企业很少对员工开展关于运行时及其重要性的教育。焦点似乎仍然集中在态势管理上，因为它与攻击面有关，我认为我们需要将其转变为真正专注于运行时。”

然而，有些技术部署方面的考虑因素。例如，Upwind建议企业瞄准提供广泛基础设施覆盖范围的工具，并指出“并非每个运行时安全工具都相同地支持每个云环境和系统。”

令牌化限制攻击范围

Capital One公司已经投资于令牌化，构建内部令牌化引擎，以大规模保护敏感数据。Capital One的B2B软件业务Capital One Software的数据安全解决方案产品主管Leon Bian指出，这家金融服务公司现在每月在其数百个应用程序上运行超过1000亿次的令牌化操作。

今年早些时候，该软件部门推出被称为Databolt的令牌化产品，该产品源自Capital One的内部引擎。

Bian表示，令牌化符合ASM减少可利用资产的核心原则。

他说：“令牌化最大限度地减少了高风险数据暴露，并限制潜在漏洞的影响范围。”

Bian将令牌化描述为ASM的关键但未充分利用的组成部分，ASM传统上专注于发现和管理公开资产。但他补充说，如果这些资产被入侵，令牌化将“主动消除”这些资产对攻击者的价值。

根据Capital One Software的博文显示，实施令牌化的企业应遵循最佳实践，以充分实现流程的好处。这些做法包括识别最关键的数据，了解数据的位置及其流动方式，以及保护令牌服务器。