什么是攻击面管理

网络安全行业几十年的网络防御都是被动式防御。尽管被动的防御成本更低，但是却存在防不住重大攻击的弱点，平均检测和响应时间等关键考核指标也越来越难看。

现代网络攻击的最大特点就是基于大量数据的立体化攻击。对于功能堆叠的刚性防御体系来说，立体化攻击就如同降维打击的存在。所以需要获得攻击者的视角，进行动态的主动防御。

因此，攻击面管理(ASM)和外部攻击面管理（EASM）越来越受到业界关注。

攻击面管理是对企业IT基础架构的持续发现、盘点、分类和监控。听起来类似于资产发现和资产管理，但ASM是从攻击者的角度看安全任务。网络安全开始探索进攻性或主动式的安全方法。

众多安全企业意识到，这种方式可以及早洞察入站威胁，并快速采取应对措施来缓解威胁和降低风险。抢在攻击者之前通过持续测试来确定缓解措施的优先级并验证措施的有效性。

确保安全性涵盖企业内部访问的所有暴露于攻击者的IT资产、暴露于互联网的资产以及供应商基础设施中的资产。

攻击面管理涉及到五个领域：外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）、漏洞评估（VA）、弱点/漏洞优先级技术（VPT）。

攻击面管理（ASM）是一种技术，主要是通过挖掘互联网数据集和证书数据库，或模拟采用侦察技术的攻击者，来全面分析组织资产。

通过扫描组织的域、子域、IP、端口和影子IT等，以查找面向互联网的资产，并对它们进行分析，以发现漏洞和安全缺口。

高级的ASM会针对每个发现的安全缺口，为组织提供应对方法，如清理未使用和不必要的资产以减小攻击面，警告用户其电子邮件地址唾手可得、可能被用于网络钓鱼攻击等。

ASM包含开源情报（OSINT）功能，可以抵御社会工程攻击或网络钓鱼活动，比如报告社交媒体上公开的个人信息、视频和会议内容。

借助ASM，企业可以快速关闭影子IT资产、未知和孤立的应用程序、暴露的数据库和API，以及其他潜在的入口点，以缓解出现的任何漏洞。

攻击面管理的优势

由于网络攻击导致的业务风险增加，企业开始要求更深入地了解其组织的安全风险。

因为如果组织中VIP员工的个人隐私数据泄露，攻击者很有可能直接通过登陆其邮箱、CRM系统、OA系统、业务系统、钉钉、VPN等,获取组织敏感信息甚至核心数据，无需进行渗透操作。

ASM将安全思维从防御者的思维重新调整为攻击者的思维。这使安全团队能够更好地确定攻击面区域的优先级。渗透测试和红队测试可以洞察攻击者的角度针对IT环境的特定方面发起。

攻击面管理产品包括SaaS、基于云和托管系统。这些产品和服务会自动发现攻击者可以查看的外部资产，并根据商业、开源和专有威胁情报源对其进行评估，从而为企业的整体安全态势生成安全评级。

攻击面管理产品具备的功能

攻击面管理产品主要具备：网络空间测绘（CAM）、组织架构和关联组织的识别、数字足迹的映射、供应链的识别和风险暴露面、威胁情报（TI）功能组（业务数据和数字资产泄露情报、隐私数据泄露和内部人员数据泄露情报）、漏洞优先级技术（VPT）、攻击面管理系统（产品）。

攻击面管理的演进方向

对于企业而言，传统的渗透测试或攻防演练，会耗费大量的时间和人力物力，因此企业会很少用到，但攻防对抗是动态的，仅靠一年屈指可数的测试、演练去发现问题是不够的。通过常态化的攻击测试可以保证及时的发现问题并告知企业，进而帮助企业能够及早处置相关风险。

扩展威胁情报服务也会更加常见，通过这项服务，可以帮助企业提升自身的情报能力，为其综合的风险分析去做数据支撑。