构建精益安全体系：浅析4个攻击面管理技术

随着企业的数字化转型和云计算、物联网等技术的广泛应用，组织拥有的网络资产数量急剧增长，包括硬件设备、软件服务、云服务、物联网设备等。网络资产安全管理变得越来越困难。大多数组织因资产管理不善而引发的网络安全事件。资产管理这个老问题，一直都没有被很好的解决，仿佛是一块无法撬动的顽石，无论是经过了多少次尝试改进，都没彻底解决这个问题，长期困扰着安全运营团队。本文将梳理近年来的资产攻击面管理相关技术，做一些简要的分析，供大家温故而知新。

资产管理是企业安全建设中的一个核心痛点，但这一问题至今未能得到有效解决，背后必然存在着诸多难点，从技术视角归纳了一些难点供大家讨论。

随着企业中设备和应用的迅速增加，网络资产管理的复杂性显著提升。企业所使用的设备不仅限于传统的服务器和办公电脑，还包括移动终端、物联网、安全设备、云服务和虚拟化资产等多种类型，企业的资产范围界定逐步趋向于“云、管、边、端”架构体系的四个层级。尤其在疫情期间，远程办公的普及和对云服务的广泛依赖加速了网络设备的多样化，企业不得不迅速适应这些变化以确保业务的连续性。这种设备和应用的多样性不仅增加了管理的复杂性，也对企业的安全防护提出了更高的要求，增加了潜在的安全风险。

资产管理面临的另一个主要痛点是数据多源带来的挑战。由于资产信息来源于不同的探针、人工录入和外部系统，往往导致数据的不一致和冲突。例如，相同资产在不同来源中的属性可能存在差异，使得管理人员难以获得准确的全景视图。此外，多源数据整合的复杂性使得实时更新变得困难，进而影响资产的准确性和及时性。缺乏标准化的格式和流程也加剧了这一问题，增加了数据清洗和验证的工作量，最终导致决策的延误和管理效率的降低。数据的不一致性的问题使得融合变得更加困难。

资产的类型、数量、配置和风险都会随着时间而变化，给IT和安全团队带来巨大的管理负担。例如，IT团队不仅要跟踪这些设备的存在，还需要确保它们始终处于最新的安全状态，例如安装了最新的补丁和安全更新。随着网络资产的持续增长，产生的“盲区”也使得团队难以全面了解和控制所有资产的风险状况。同时，网络威胁的态势不断演变，网络犯罪分子持续寻找新的漏洞利用方法，企业面临的威胁愈加多样和复杂。这种动态变化使得网络资产管理的复杂性进一步加剧，迫使安全团队必须在极短的时间内做出反应。

我们总企业安全建设的谈智能化，但是资产安全管理实际情况是自动化数据采集很多企业都没有完全覆盖，使得每个安全运营的“老师傅”都有自己一套自己的方法论。自动化技术的缺乏使得资产管理的各个环节无法实现实时监控和快速响应，进一步加大了企业在面对复杂网络环境和不断演变的威胁时的脆弱性。这个自动化并不是面相一个人的自动，而是在企业资产管理整个流程中的自动化，所以这就面临着复杂性、数据不一致、缺乏标准化流程、技术整合难度、文化抵触、合规要求和高投资成本等多重挑战。

在网络安全的对抗中，攻击者与防守者之间一直都是一个不对等的关系，主要包括资产视角、主动性、资源消耗、复杂性以及时间因素的差异。这种不对等使得防守者处于较为被动和困难的局面，而攻击者则相对具备更多优势。于是在安全技术的不断演进中，攻击面管理（Attack Surface Management，ASM）就出现了，其核心思想是从攻击者视角对全类型资产暴露面进行发现与管理的过程，通过对攻击面进行深入分析和有效管理，显著提高企业网络安全运营的响应速度。

攻击面管理的发展历程伴随着互联网的迅速扩展而不断演进。早期，网络安全工具主要通过简单的搜索引擎查询，如2000年代初期的“Google Dorks”工具，以及Shodan等网络服务搜索引擎，来识别暴露的数字资产。随着威胁日益复杂，安全研究者开发了更高级的工具，如Zmap和Masscan，用于大规模快速扫描。到2010年代，ASM工具逐步从简单的资产发现，演变为能够全面管理攻击面，包括发现、分析、优先级排序、修复和持续监控潜在的安全风险。近年来，随着云计算、物联网（IoT）等新技术的兴起，ASM工具必须适应新的威胁向量，逐步发展为涵盖外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、持续威胁暴露管理（CTEM）等更为全面的解决方案，如图2，Gartner 2024年的技术成熟度曲线可以看出CAASM和EASM分别处于高峰期和低谷期。

外部攻击面管理（EASM）

EASM专注于识别和管理企业的外部互联网资产及其漏洞。这些资产包括暴露的服务器、公共云服务配置错误以及第三方合作伙伴的软件代码漏洞等。EASM的主要目的是帮助组织识别外部的攻击面，提供攻击者视角，找出可能被利用的外部风险。

EASM适合那些主要面临互联网暴露资产和外部攻击风险的企业，能够通过外部资产扫描和漏洞检测发现潜在的威胁。对于需要持续监控外部资产并进行威胁狩猎的安全团队来说，EASM是必不可少的工具。

网络资产攻击面管理（CAASM）

CAASM的重点是提高对组织内部和外部资产的可见性。通过与现有的IT工具集成，CAASM能够汇总数据，帮助组织全面了解其资产状态。CAASM还可以识别安全控制中的漏洞，并通过自动化措施解决问题。与EASM不同的是，CAASM更多地依赖现有的内部数据源，而非扫描外部资产。

CAASM适合资产管理较为混乱、缺乏全面资产可见性的组织，特别是在跨部门和跨工具的复杂IT基础设施环境中。它通过自动化手段汇总资产信息，优化资产管理流程，是想要提升内部和外部资产透明度的企业的理想选择

数字风险防护服务（DRPS）

DRPS主要针对品牌保护、第三方风险评估以及外部威胁的发现。这类技术服务可以监控表面网络、社交媒体、暗网和深网，以识别可能针对企业资产的威胁。它还提供对威胁行为者、策略和攻击流程的上下文信息，帮助企业应对外部风险。

DRPS适用于需要品牌保护、社交媒体威胁检测以及数据泄露防护的企业，特别是在合规性要求高、品牌声誉管理和第三方风险评估方面有需求的组织。它可以帮助企业监控外部网络，及时发现和应对潜在的外部风险。

持续威胁暴露管理（CTEM）

CTEM不是一个技术，他是方案和架构，更强调通过持续检测、评估和管理暴露面来提高组织对威胁的响应能力。CTEM涉及到整个暴露面管理的周期，从资产可见性到漏洞评估，再到模拟攻击测试，以确保组织能够持续识别和优先处理暴露面上的风险。CTEM通常需要整合了EASM、CAASM和DRPS等技术工具，以形成全方位的威胁管理方案。

CTEM适合需要持续威胁暴露管理的组织，它提供从资产发现到威胁模拟的全流程管理能力。如果企业的已经具备了攻击面管理的基础能力了， CTEM能够确保对整个攻击面进行全面、持续的监控和快速响应。

攻击面管理是一个复杂的过程，因此衍生出了EASM、DRPS、CAASM和CTEM这四种技术来应对不同的需求和场景。如图4所示，它们在技术能力上有共同点，比如资产管理和风险优先级排序，但各自侧重不同。EASM核心外部探测和情报收集，最容易部署，适合快速识别外部风险；DRPS专注于数字资产风险监控，更加垂直；CAASM则以网络资产为核心，整合内部资产管理，提供统一的资产风险视图；而CTEM是一个全面的解决方案，覆盖全生命周期的威胁管理，需要技术和业务流程结合，实现持续的风险监控和优化。总的来说，这些技术共同构建了一个完整的攻击面管理体系，他们的关系这些技术各有侧重，但它们的共同目标都是帮助企业有效管理和降低其攻击面风险。企业可以根据自己的业务情况和侧重选择对应的能力建设。

本文将分析近年来资产攻击面管理相关技术的发展，包括EASM、DRPS、CAASM、CTEM等相关技术和解决方案。在经济大环境不佳的情况下，企业的安全建设投入往往会受到影响。然而，当前的安全体系是缺失与过载并存，企业可能缺乏对关键资产的保护，同时又在无效或冗余的安全工具上投入过多。这为建立精益安全体系提供了切入点：通过精准识别和优先保护核心资产，优化安全资源的配置，企业可以在减少不必要投入的同时提升整体安全效果。所以如果组织使用CAASM建立起资产的整体视图，就可以量体裁衣，通过资产视图驱动的安全建设策略、有效的资产管理和持续的威胁监控，企业能够在有限的预算下，构建更高效、精益的安全体系，实现风险最小化与投资回报的平衡。

内容编辑：创新研究院 桑鸿庆

    责任编辑：创新研究院 陈佛忠