攻击面管理 (ASM) 技术价值几何？处于不同安全阶段的组织如何选型？

当前，云计算的蓬勃发展与应用，以及远程办公模式的提前到来，为企业网络安全带来了大量的挑战。比如企业面临的攻击面大幅度增长、IT复杂化以及影子化等等。

 

不断增长的威胁和越来越多的影子资产让勒索软件、木马病毒等网络攻击愈发泛滥和失控，不收监控的IT资产盲点让网络攻击者们得以在企业网络内部横向移动以寻找更有价值的数据和资产。

 

在这样的背景下，攻击面管理正在成为企业CIO、CTO、CISO和安全团队们的首要任务。2018 年，Gartner开始敦促安全领导者开始着手减少、监控和管理他们的攻击面，并将其作为整体网络安全风险管理计划的一个重要组成部分。

 

什么攻击面管理 (ASM)？

 

攻击面管理（ASM）是一种从攻击者的角度对企业网络攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部视角来审视企业网络资产可能存在的攻击面及脆弱性，重点关注边界处存在可被利用的攻击可能性，强调整个企业资产可能存在的脆弱性，而不仅仅是已知资产和漏洞。

 

通过外部攻击者视角来审视资产安全性的方式，安全团队更易于发现资产存在可能被攻击的弱点，从而根据资产的重要性和风险的优先级对资产进行修复。通过攻击面管理的持续监控能力，可以持续发现资产漏洞和潜在风险。 

 

近年来，随着越来越多的勒索软件和供应链攻击的出现，传统的资产漏洞管理方式难以起到真正的作用，而更加全面的攻击面管理已经成为新一代的资产漏洞完整应对方案，所以 Gartner 等分析机构都建议将ASM作为安全团队的网络安全防御体系的优先事项。 

 

ASM 的最终目标是确保所有暴露在的资产都受到监控，并进一步消除任何可能演变为攻击者利用的进入点的盲点。

 

 

攻击面管理技术能够有效预防和减轻来自以下方面的风险，包括：

 

-传统、物联网和影子 IT 资产

-网络钓鱼和数据泄露等人为错误和遗漏 

-易受攻击和过时的软件

-未知的开源软件及其组件 (OSS)

-对所在行业发起的大规模攻击

-对企业发起的有针对性的网络攻击

-知识产权侵权

-从并购活动中继承的 IT资产

-供应商管理的资产等

 

及时识别数字资产是威胁情报的基本组成部分，可以大大降低数据泄露的遭受外部攻击的风险，因为任何一个资产中存在的安全漏洞都可能导致企业遭受到难以承受的网络攻击。

 

北京赛博英杰董事长、正奇学院创始人谭晓生在不久前发布的《2021年网络安全产业态势总结》一文中也曾提到，攻击面管理是一个由网络安全技术进步带来的新热点：“漏洞管理是个一直没有被解决好的老问题，面对 Shadow IT、物联网、过时的软件、未知的开源软件、第三方供应商管理的资产的时候，面临数字资产发现困难、漏洞的发现和分级困难、打补丁困难甚至根本没有补丁可打等问题。

 

攻击面管理（ASM）解决方案提供组织攻击面的外部攻击者视角——发现并持续监控攻击者在瞄准企业时看到的目标、服务、IP、域、网络、主机名和其他工件。从漏洞管理到攻击面管理，是对于网络安全防御技术创新和实践不断迭代的过程。”

 

 

零零信安是业内首家专注于漏洞优先级管理的安全厂商，在业内首先将“数字风险保护（DRP）”、“攻击面管理（ASM）”、“弱点/漏洞优先级排序技术（VPT）”融合，创建出“数据驱动的数字风险保护”方法，并先后发布“零零信安VPT”、“零零信安ASM”等产品，以帮助企业建立全局风险感知能力。

 

零零信安创始人兼CEO王宇在采访时告诉我们：“攻击面管理（ASM）分为网络资产攻击面管理（CAASM）和外部攻击面管理（EASM）。所以我们就会看到一个现象，一部分以做漏洞管理为主的厂商在自己的产品中集成了CAASM功能，另一部分做CAM的厂商则在往EASM进行扩展，但他们都会宣传自己在ASM领域的能力。如果按照整体ASM来看，国内参与的厂商非常多，也非常普遍。不过就我的看法来说，不管是CAASM还是EASM，都是一个技术能力，它们自己并不能构成独立的产品。就像我们是国内第一个把弱点和漏洞优先级技术（VPT）用于产品化的公司，但是这项技术实际上并不是一个独立的产品，而是很多产品的一个优势功能一样，ASM也是如此。”

 

因此在他看来，ASM的应用场景非常广泛，甚至未来不只是漏洞管理类产品，包括云安全产品、态势感知类产品、SIEM类产品等，也可能会考虑集成其能力或者接口，因为ASM将会成为很多风险管理类产品和方案的底层技术。

 

 

在王宇看来，网络资产攻击面管理（CAASM）适合IT资产和业务稍具规模的企业来使用，而EASM则适用于所有具有对外IT业务和应用的企业。

 

“以零零信安自身企业为例，作为一家初创型公司，我们同时也研发具有ASM功能的产品，所以我们既是甲方也是乙方。从甲方视角来看，我们公司内外部的IT系统并不多，场景也比较简单，所以没有使用CAASM的必要性，但是我会关注对外业务的外部攻击面，因为即使是我们这样的小公司，也会出现影子资产和关注不到的外部攻击面，而他们有可能影响到我们自身的业务。

从乙方视角来看，CAASM技术更多的是解决智能化的问题，在IT规模越大的企业里价值越高，解决的是提高效率和效果的问题；而EASM技术更注重的是发现企业可能对业务有影响的外部攻击面，解决的是某些风险的发现和规避的问题。”王宇表示。