在數(shù)字化轉(zhuǎn)型過程中，數(shù)字技術(shù)對企業(yè)的業(yè)務(wù)模式、組織架構(gòu)和企業(yè)文化產(chǎn)生了積極影響，但同時也給企業(yè)帶來更多的安全威脅和風(fēng)險：企業(yè)暴露在互聯(lián)網(wǎng)上的攻擊面數(shù)據(jù)呈指數(shù)級增長，攻擊載體也隨之大量增加。攻擊面正在成為攻防博弈中攻守易勢的關(guān)鍵。

在此背景下，在“2022網(wǎng)絡(luò)安全運營技術(shù)峰會”上，國內(nèi)權(quán)威咨詢機構(gòu)賽迪顧問重磅首發(fā)《中國攻擊面管理市場白皮書》（以下簡稱白皮書）。白皮書選取了華云安等國內(nèi)外攻擊面管理領(lǐng)域代表企業(yè)，立足于攻擊面管理的本土化洞察與實踐，探討攻擊面管理在新一代網(wǎng)絡(luò)安全防御體系中的能動作用。

基于攻擊者視角的主動防御技術(shù)

企業(yè)需求轉(zhuǎn)變催生了新概念、新產(chǎn)品的應(yīng)運而生。攻擊面管理概念的提出也是如此。近年來，新興技術(shù)紛涌出現(xiàn)帶動了網(wǎng)絡(luò)資產(chǎn)邊界快速拓展，遠程辦公的興起與發(fā)展進一步增加了企業(yè)資產(chǎn)暴露面，而基于供應(yīng)鏈的新型攻擊大大降低了攻擊成本....在多重因素驅(qū)動下，網(wǎng)絡(luò)安全防御策略需要與時俱進化被動防御為主動防御，需要以攻擊者視角梳理資產(chǎn)與風(fēng)險脆弱點，更好地解決企業(yè)在數(shù)字化轉(zhuǎn)型中面臨的復(fù)雜現(xiàn)實。

攻擊面管理，由國際知名咨詢機構(gòu)Gartner于2018年首次提出。在2021年7月，Gartner發(fā)布了《2021安全運營技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)。在Gartner 發(fā)布 的2022 年主要安全和風(fēng)險管理趨勢中，“企業(yè)攻擊面正在擴大”被首先提出，與網(wǎng)絡(luò)物理系統(tǒng)和物聯(lián)網(wǎng)、開源代碼、云應(yīng)用程序、復(fù)雜的數(shù)字供應(yīng)鏈、社交媒體等相關(guān)的風(fēng)險，已使企業(yè)的暴露表面置于可控資產(chǎn)之外。企業(yè)必須采用超越傳統(tǒng)的安全監(jiān)控、檢測和響應(yīng)方法，管理更廣泛的安全風(fēng)險。Gartner認為，攻擊面管理主要包含，外部攻擊面管理（EASM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、數(shù)字風(fēng)險保護服務(wù)（DRPS）。

要講攻擊面管理，首先要知道何為攻擊面。白皮書指出，攻擊面是指未經(jīng)授權(quán)即能訪問和利用企業(yè)數(shù)字資產(chǎn)的所有潛在入口的總和，包括未經(jīng)授權(quán)的可訪問的硬件、軟件、云資產(chǎn)和數(shù)據(jù)資產(chǎn)等，同樣也包括人員管理、技術(shù)管理、業(yè)務(wù)流程存在的安全弱點和缺陷等，即存在可能會被攻擊者利用并造成損失的潛在風(fēng)險。白皮書認為不是所有資產(chǎn)暴露面都可以成為攻擊面，只有可利用暴露面疊加攻擊向量才形成了攻擊面。因此，如何進行暴露面的收斂以及攻擊向量的控制是攻擊面管理的重要手段。

值得一提的是，在白皮書中對攻擊面管理 （ASM）進行了定義：攻擊面管理是一種從攻擊者的角度對企業(yè)數(shù)字資產(chǎn)攻擊面進行檢測發(fā)現(xiàn)、分析研判、情報預(yù)警、響應(yīng)處置和持續(xù)監(jiān)控的資產(chǎn)安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性，而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字資產(chǎn)、企業(yè)品牌、泄露信息等等一系列可存在被利用的風(fēng)險的資產(chǎn)內(nèi)容。

首發(fā)攻擊面管理框架體系和成熟度模型

在本次報告中，華云安作為國內(nèi)領(lǐng)先的攻擊面管理創(chuàng)新公司入選。在2021年，華云安在行業(yè)率先提出以攻擊者視角構(gòu)建的攻擊面管理產(chǎn)品解決方案之時，便認為攻擊面管理可以有效整合漏洞掃描、攻擊和突破模擬BAS、擴展檢測和響應(yīng)XDR、擴展威脅情報XTI、漏洞優(yōu)先級VPT等各種安全能力，并結(jié)合用戶需求，提供網(wǎng)絡(luò)資產(chǎn)攻擊面管理CAASM、外部攻擊面管理EASM等場景化應(yīng)用，實現(xiàn)攻擊面的有效檢測、分析、監(jiān)控和響應(yīng)。因此，攻擊面管理不僅僅是一種理念，更是一種新興的方法論，亦是一個天然的技術(shù)融合架構(gòu)。這一點，與白皮書中的闡述不謀而合。

在白皮書中，賽迪顧問首發(fā)攻擊面管理框架體系。攻擊面管理框架體系自下向上分別為基礎(chǔ)技術(shù)、安全能力和應(yīng)用場景?；A(chǔ)技術(shù)為支撐攻擊面管理的技術(shù)能力集合，多種技術(shù)組合形成攻擊面管理的能力體系，根據(jù)不同的業(yè)務(wù)場景需求采用不同的能力組合，形成不同的應(yīng)用場景下的攻擊面管理解決方案，為用戶提供有針對性的攻擊面閉環(huán)管理能力。在白皮書中，將攻擊面管理按照不同的應(yīng)用場景分為外部視角的攻擊面管理和內(nèi)部視角攻擊面管理兩類，將數(shù)字風(fēng)險保護依據(jù)其外延與內(nèi)核歸屬融入到了外部視角當(dāng)中。

白皮書對于外部視角的攻擊面管理（EASM）和內(nèi)部視角的攻擊面管理構(gòu)成（CAASM）進行了定義與規(guī)范。EASM主要關(guān)注外部資產(chǎn)，使用一系列來源和方法來掃描全球的互聯(lián)網(wǎng)，尋找其面向外部的資產(chǎn)暴露面，并且對這種資產(chǎn)暴露面進行可視化。而CAASM關(guān)注內(nèi)部資產(chǎn)，發(fā)現(xiàn)功能主要通過與現(xiàn)有工具的API集成（被動）來工作，依賴于其他已部署的技術(shù)作為上下文，并富化從這些技術(shù)中提取的數(shù)據(jù)，以提供組織資產(chǎn)庫存的整體視圖 。

此外，在白皮書中建立了攻擊面管理的成熟度模型，主要是工具階段的被動防御、平臺階段的主動防御、流程化階段的對抗防御、先知階段的優(yōu)先防御四個層級；提出了暴露面獲取、脆弱點發(fā)現(xiàn)、攻擊面挖掘、情報獲取能力等攻擊面管理要具備的12個能力域，從檢測發(fā)現(xiàn)、分析研判、情報預(yù)警、響應(yīng)運營的閉環(huán)管控過程分解了響應(yīng)的能力子項，從子能力的具備和完善情況來評價攻擊面管理的有效性。