近年來，隨著網(wǎng)絡(luò)安全形勢的愈加嚴峻，行業(yè)對實戰(zhàn)型攻防技術(shù)的認知也有了快速的提升。在此背景下，偏向于主動防御且更注重實戰(zhàn)對抗的攻擊面管理（Attack Surface Management，簡稱“ASM”）理念以及相關(guān)技術(shù)，正在成為當(dāng)下整個行業(yè)關(guān)注的重點。

在Gartner年初發(fā)布的《2022年安全和風(fēng)險管理趨勢報告》中，就預(yù)測了七大網(wǎng)絡(luò)安全趨勢，其中最先被提及的就是攻擊面管理，背后的原因在于隨著混合辦公的普及，物聯(lián)網(wǎng)的廣泛使用、開源代碼、SaaS應(yīng)用程序、云應(yīng)用、數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風(fēng)險，使得企業(yè)受攻擊的暴露面正在日益不斷擴大。

與此同時，Gartner近期發(fā)布的《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線》報告中，攻擊面管理也再次被提及，其成熟度曲線已經(jīng)快速上升到了“半山腰”，并指出攻擊面管理的應(yīng)用，能夠幫助企業(yè)從內(nèi)部管理和外部攻擊者的角度，解決資產(chǎn)和漏洞可視化的難題，并基于優(yōu)先級計算指導(dǎo)防御人員進行主動防御，同時攻擊面管理還能幫助企業(yè)安全和風(fēng)險管理(SRM)團隊識別潛在的攻擊路徑，并指導(dǎo)開展安全控制措施的改進和調(diào)整，最終提高企業(yè)整體的安全防御水平。

那么，攻擊面管理為何對企業(yè)的網(wǎng)絡(luò)安全防護如此重要？企業(yè)要如何選擇合適的方法論，以及采用何種的解決方案才能構(gòu)建出企業(yè)攻擊面管理的“全棧能力”呢？

從合規(guī)建設(shè)走向能力導(dǎo)向

事實上，攻擊面管理的概念最早由Gartner于2019年提出；2021年7月，Gartner發(fā)布《2021安全營運技術(shù)成熟度曲線》，將攻擊面管理相關(guān)技術(shù)定義為新興技術(shù)；進入2022年，Gartner在多份報告中再次提及“攻擊面管理”，不僅讓攻擊面管理成為網(wǎng)絡(luò)安全行業(yè)年度最火爆的話題，更推動它成為了當(dāng)下國內(nèi)外安全行業(yè)最火熱的賽道之一。

魔方安全總經(jīng)理黃國忠

在魔方安全總經(jīng)理黃國忠看來：“攻擊面管理并不是‘橫空出世’的全新技術(shù)，它是攻防對抗升級演變的結(jié)果，更是理念和方法的提升?？梢钥吹剑瑥脑缙诘穆┒磼呙璧铰┒垂芾?，再到資產(chǎn)主動發(fā)現(xiàn)、資產(chǎn)測繪與暴露面收斂、資產(chǎn)安全管理，在攻防環(huán)境變化及實戰(zhàn)化安全運營驅(qū)動下，攻擊面管理迅速被整個行業(yè)所接受并不是突然的?！?/p>

確實，從宏觀層面來看，今天網(wǎng)絡(luò)安全問題已經(jīng)影響到國家安全的方方面面，由網(wǎng)絡(luò)安全事件造成的影響更是逐漸深入延展到了國家經(jīng)濟、民生等不同層面，涉及到國家關(guān)鍵信息基礎(chǔ)設(shè)施、工業(yè)企業(yè)系統(tǒng)等各個領(lǐng)域；而從微觀層面來說，網(wǎng)絡(luò)安全，特別是隱私泄露同樣也對個人造成了巨大的安全風(fēng)險，輕則造成個人財產(chǎn)損失，重則影響人身安全。

也正因此，在政策層面，去年11月1日，《個人信息保護法》正式生效，與此前出臺的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，共同構(gòu)建了中國信息安全的法律框架，形成了數(shù)據(jù)安全治理領(lǐng)域的“三駕馬車”，這也意味著中國的網(wǎng)絡(luò)安全保護正式進入了“強監(jiān)管”的時代。

更為關(guān)鍵的是，隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，越來越多企業(yè)的基礎(chǔ)架構(gòu)進行了重構(gòu)，導(dǎo)致目前企業(yè)網(wǎng)絡(luò)資產(chǎn)的數(shù)量和復(fù)雜性前所未有的增加，攻擊面極具擴大的同時，攻防不對稱也在加劇。

一方面，是攻擊手段現(xiàn)在“層出不窮”，導(dǎo)致安全漏洞“永無休止”，包括軟硬件層面的漏洞、弱口令，各種敏感信息的泄露、供應(yīng)鏈漏洞等等；另一方面，是目前攻防之間的關(guān)系極度的不對稱，最為典型的就是攻擊者往往處在“暗處”，而防守者卻處在“明處”，同時攻擊者只需要“單點突破”即可，而防守者卻需要做到“全面防護”。

黃國忠認為，正所謂“有攻才有防”，整個網(wǎng)絡(luò)安全行業(yè)的防守技術(shù)發(fā)展通常是受制于攻擊手段的，因此目前防守的技術(shù)往往是“滯后”于攻擊者的水平的，這是行業(yè)的特點之一，因此這就讓企業(yè)或者說防守方陷入一個非?！氨粍印钡木置?。

不僅如此，傳統(tǒng)的網(wǎng)絡(luò)安全解決方案面對這種挑戰(zhàn)時也“力有不逮”，主要在于過去的安全方案“碎片化”現(xiàn)象嚴重，單點式的“產(chǎn)品”創(chuàng)新也不再奏效，不但導(dǎo)致企業(yè)維護的成本“居高不下”，同時也很難在第一時間快速的做出響應(yīng)和處置。

從這個角度來看，在網(wǎng)絡(luò)安全“體系化、實戰(zhàn)化、常態(tài)化”，以及“攻防不對稱加劇”的趨勢下，企業(yè)的網(wǎng)絡(luò)安全建設(shè)也需要從過去的強調(diào)安全合規(guī)走向能力導(dǎo)向和實戰(zhàn)對抗，這就需要集成化、可視化、自動化、數(shù)智化的新一代安全解決方案，而攻擊面管理正是其中重要代表，因為其目標就是提供攻擊者視角，比攻擊者更快更全更準地發(fā)現(xiàn)薄弱環(huán)節(jié)，在攻擊者利用之前提前響應(yīng)，改變攻防極度不對稱的局面，由此也就不難理解，為何攻擊面管理這幾年“應(yīng)運而生”并突然火爆的背景所在。

三個維度看懂攻擊面管理

可以看到，攻擊面管理最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性，這些資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等等一系列可存在被利用的風(fēng)險的資產(chǎn)內(nèi)容。那么，它與傳統(tǒng)漏洞掃描滲透測試服務(wù)，乃至與資產(chǎn)測繪及資產(chǎn)安全管理的到底有何本質(zhì)區(qū)別呢？

對此，黃國忠告訴我：“攻擊面管理，簡單理解相當(dāng)于主動防御，也可以把它理解為在疫情的影響之下，人們需要接種疫苗一樣，它起到的作用就是以攻擊者的視角，不停地幫助企業(yè)查找其在網(wǎng)絡(luò)空間中的各種風(fēng)險，而且這個過程是持續(xù)的、不間斷的，一旦發(fā)現(xiàn)有漏洞或者容易出現(xiàn)問題的環(huán)節(jié)，就能夠采用技術(shù)或者工具幫助企業(yè)實現(xiàn)快速的應(yīng)對和響應(yīng)，這就叫做‘戰(zhàn)場前移’，且這種預(yù)防是始終站在攻擊者的視角來做得預(yù)防，因此它也是一種安全更往前設(shè)定的防御理念和方法論?！笨梢詮娜齻€維度來做更深度的解讀：

首先，根據(jù)應(yīng)用場景的不同，目前攻擊面管理劃分為外部攻擊面管理（EASM）和網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）。其中，外部攻擊面管理（EASM）更側(cè)重外部攻擊者視角下，暴露在互聯(lián)網(wǎng)的風(fēng)險與未知資產(chǎn)；而網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）更強調(diào)攻防視角下內(nèi)外部的全局視角，并通過API集成等其他技術(shù)手段，持續(xù)解決資產(chǎn)可見性和漏洞風(fēng)險。

其次，攻擊面管理和其他安全技術(shù)的區(qū)別，主要體現(xiàn)在：相比傳統(tǒng)的滲透測試等安全服務(wù)手段，外部攻擊面管理（EASM）系統(tǒng)在廣度、頻度和數(shù)據(jù)驅(qū)動響應(yīng)與運營方面的效果比較明顯，同時能夠避免高度依賴于人而導(dǎo)致的高投入但產(chǎn)出難以保障的問題；同時，它和網(wǎng)絡(luò)空間測繪乃至資產(chǎn)安全管理之間的重要區(qū)別在于，網(wǎng)絡(luò)空間測繪或者說資產(chǎn)測繪是實現(xiàn)資產(chǎn)管理的一種手段，而資產(chǎn)管理則是一個需要企業(yè)長期建設(shè)的過程，它可借助網(wǎng)絡(luò)空間資產(chǎn)測繪在內(nèi)的技術(shù)，解決資產(chǎn)風(fēng)險全生命周期的閉環(huán)管理。

而攻擊面管理則是以保護組織數(shù)字資產(chǎn)安全為出發(fā)點，聚焦在攻擊者視角去審視網(wǎng)絡(luò)空間內(nèi)不同形態(tài)種類的資產(chǎn)所組成的攻擊暴露面，同時特別強調(diào)“可見性”、“可運營”，這意味著資產(chǎn)的全面性可度量、風(fēng)險可度量、響應(yīng)處置可度量。

最后，資產(chǎn)與風(fēng)險的“持續(xù)可見性、優(yōu)先級和效率”是攻擊面管理中的三個核心價值?！百Y產(chǎn)安全管理是企業(yè)網(wǎng)絡(luò)安全建設(shè)或者高水平運營的必經(jīng)之路，但它并不是‘一蹴而就’的過程，而攻擊面管理既可以看做是資產(chǎn)管理中的‘子集’，也可以理解為是以工具的視角來做資產(chǎn)的管理，它更加的聚焦，也更加的容易落地，同時也能夠快速看到效果，因此在目前攻防極度不對稱，且企業(yè)精力和資源有限的背景下，攻擊面管理的優(yōu)先級更高，也更加的緊迫，可以極速的彌補企業(yè)在網(wǎng)絡(luò)安全防護當(dāng)中的一些短板?！秉S國忠說。

通過三個維度的解讀，可以看到攻擊面管理是攻防實戰(zhàn)和對抗下的一種主動防御的思想與理念，是站在潛在攻擊者的角度來不斷審視與管理資產(chǎn)和薄弱環(huán)節(jié)的持續(xù)過程，同時它也是一種集成的技術(shù)與能力、流程的組合，聚焦攻擊者視角，致力于在攻擊發(fā)生前發(fā)現(xiàn)和修復(fù)暴露面，封堵可能被利用的攻擊路徑，因此可以這么說，攻擊面管理是解決當(dāng)下企業(yè)在攻防實戰(zhàn)中處在“被動”局面的破局之道。

攻擊面管理的實踐與創(chuàng)新

接著要追問的是，攻擊面管理究竟能幫助企業(yè)在日常的攻防實戰(zhàn)中解決哪些痛點和難題呢？黃國忠表示，過去幾年魔方安全在和客戶的具體合作實踐中，針對外部攻擊面管理（EASM）和網(wǎng)絡(luò)資產(chǎn)攻擊面管理CAASM不同的挑戰(zhàn)，也沉淀和梳理出了攻擊面管理的幾大應(yīng)用場景，針對外部攻擊面管理（EASM）方面，主要包括以下的應(yīng)用場景：

一是，影子資產(chǎn)、云資產(chǎn)、數(shù)字化資產(chǎn)“難掌控”，在該場景下企業(yè)往往會面臨影子資產(chǎn)被監(jiān)管通報，常常處于非常被動的局面；此外，不同云業(yè)務(wù)之間的異構(gòu)環(huán)境下，也面臨著信息數(shù)據(jù)更新難等難題，而借助外部攻擊面管理（EASM），則可以實現(xiàn)影子資產(chǎn)監(jiān)測的常態(tài)化、自動化，大幅降低未知資產(chǎn)或未知風(fēng)險被通報的風(fēng)險。

二是，數(shù)據(jù)泄露風(fēng)險“不知情”，目前很多企業(yè)的網(wǎng)盤、文庫渠道多；敏感信息泄露也常被通報；再加上數(shù)據(jù)噪聲多，專人分析成本大，而通過外部攻擊面管理（EASM），則可以實現(xiàn)數(shù)字泄露的主動檢測、實時預(yù)警，讓企業(yè)不再“被動”。

三是，監(jiān)管常態(tài)化、漏洞事件頻發(fā)的場景下，借助外部攻擊面管理（EASM），不僅能夠幫助企業(yè)“防微杜漸”，主動、及時響應(yīng)上級監(jiān)管單位要求；同時在面對高危漏洞爆發(fā)的環(huán)境下，也能夠基于留存資產(chǎn)記錄，可第一時間定位、精準預(yù)警，準確響應(yīng)。

四是，分支機構(gòu)、下屬單位“管理難”的場景下，目前很多企業(yè)的分支機構(gòu)安全資源匱乏，同時針對暴露面的工作仍需要手工整理，由此造成工作量極大的增加，而外部攻擊面管理（EASM）的帶來的價值，主要則是體現(xiàn)在企業(yè)可通過一個平臺完成組織風(fēng)險的有效管理，避免重復(fù)建設(shè)，實現(xiàn)“降本增效”。

而在網(wǎng)絡(luò)資產(chǎn)攻擊面管理CAASM領(lǐng)域，魔方安全也提出了“階梯化建設(shè)”的思路，即首當(dāng)其沖的是要解決網(wǎng)絡(luò)資產(chǎn)的“可見性”，這就需要企業(yè)持續(xù)梳理資產(chǎn)基礎(chǔ)數(shù)據(jù)的完整性；資產(chǎn)管理屬性的完整性，由此才能實現(xiàn)有效觀測和有效管控；而在日常的工作中，則需要采取“平戰(zhàn)一體化”的思路，其中在攻擊面可視化管理方面，主要是聚焦于解決最有價值的漏洞問題；而資產(chǎn)安全運營治理方面，則需要“常態(tài)化、體系化、指標化”的實現(xiàn)運營和治理。

基于此，網(wǎng)絡(luò)資產(chǎn)攻擊面管理CAASM方面，其能夠幫助企業(yè)化解以下的難題，包括資產(chǎn)信息“碎片化”、缺乏業(yè)務(wù)視角的難題；實現(xiàn)企業(yè)資產(chǎn)梳理、日常漏洞的快速響應(yīng)；安全管理覆蓋面的增加；最大化的賦能安全運營，在企業(yè)現(xiàn)有安全產(chǎn)品和治理體系中，作為“底座”提供有力支撐，富化數(shù)據(jù)，并在攻防演練活動中輔助決策。

“安全運營平臺是現(xiàn)在很多企業(yè)亟待搭建的平臺，但是往往在實踐中會遭遇以下的難題，包括資產(chǎn)摸不透；事件太多無處入手，最關(guān)鍵的是很難高效處置發(fā)生的問題。而魔方安全攻擊面管理解決方案，最為核心的能力，就是可以幫助企業(yè)解決資產(chǎn)數(shù)據(jù)完整、全面、實時和動態(tài)的問題，這也是我們把它稱之為能夠幫助企業(yè)構(gòu)建安全防護能力‘底座’的重要原因?！秉S國忠強調(diào)說。

攻防實戰(zhàn)中化被動為主動

回頭來看，魔方安全之所以有如此的底氣和信心，關(guān)鍵就在于其在這個領(lǐng)域沉淀了多年的能力，不僅實踐出了一套面向企業(yè)攻擊面治理的方法論，同時還以SaaS化的創(chuàng)新模式，打造出了魔方外部攻擊面管理系統(tǒng)EASM-SaaS平臺，從這個角度來看，魔方安全可以說是國內(nèi)攻擊面管理ASM領(lǐng)域的先行者和遠見者。

據(jù)了解，魔方安全成立于2015年10月，核心成員來自于Cubesec安全攻防團隊；從2016年起，魔方安全就在國內(nèi)率先推出攻擊者視角的“互聯(lián)網(wǎng)安全監(jiān)控系統(tǒng)”，并以SaaS化形態(tài)先后服務(wù)于金融、運營商、交通、教育等行業(yè)客戶及大型企業(yè)。

該系統(tǒng)自上線以來，就持續(xù)為企業(yè)用戶提供互聯(lián)網(wǎng)資產(chǎn)監(jiān)測、安全風(fēng)險檢測、1Day漏洞預(yù)警和響應(yīng)，以及常態(tài)化安全運營管理，全面覆蓋企業(yè)互聯(lián)網(wǎng)IT資產(chǎn)和數(shù)字化資產(chǎn)，同時也支撐了眾多企業(yè)和機構(gòu)參與了歷年重大活動安全保障、國家級網(wǎng)絡(luò)安全攻防演練活動，以及近年來高危漏洞爆發(fā)時的應(yīng)急響應(yīng)。以平臺化、自動化的優(yōu)勢，和全面的監(jiān)測覆蓋能力、豐富的安全運營與攻擊面治理經(jīng)驗，為企業(yè)構(gòu)建出了面向互聯(lián)網(wǎng)攻擊面治理的“全景視圖”。

除此之外，魔方安全在2020年還推出了網(wǎng)絡(luò)空間資產(chǎn)測繪系統(tǒng)3.0版本，該系統(tǒng)能夠基于以資產(chǎn)為核心的安全運營模型，以資產(chǎn)測繪為起點，結(jié)合評估監(jiān)測、預(yù)警響應(yīng)和智能決策，實現(xiàn)對資產(chǎn)的持續(xù)安全運營，解決網(wǎng)絡(luò)空間有什么、是什么、有什么風(fēng)險、哪些業(yè)務(wù)和責(zé)任人有關(guān)，風(fēng)險解決的優(yōu)先級等問題，并可實現(xiàn)整體資產(chǎn)和脆弱性態(tài)勢感知。（內(nèi)容參考：《揭開資產(chǎn)深海的隱秘角落，魔方安全的重構(gòu)創(chuàng)新》）

2021年，魔方安全業(yè)內(nèi)首發(fā)攻擊面可視化管理解決方案(VASM)，在網(wǎng)絡(luò)攻防對抗場景中幫助作戰(zhàn)指揮中心快速預(yù)判與提前布防，保護關(guān)鍵資產(chǎn)和核心業(yè)務(wù)。

對此，黃國忠坦言：“我們最早的系統(tǒng)叫以攻為守的情報分析系統(tǒng)，起步也是從互聯(lián)網(wǎng)資產(chǎn)（特別是邊緣和未知資產(chǎn)）發(fā)現(xiàn)、敏感信息泄露檢測與POC漏洞驗證開始的，需求源于一些頭部客戶無論怎么做漏掃、滲透測試還是眾測依然常被未知資產(chǎn)的漏洞困擾的痛點，為了客戶容易理解，產(chǎn)品后來改叫互聯(lián)網(wǎng)資產(chǎn)風(fēng)險監(jiān)控系統(tǒng)，可以說在這個領(lǐng)域魔方安全已經(jīng)摸索和實踐了長達5-6年的時間，走的方向和技術(shù)路線的選擇，都是具有前瞻性的，現(xiàn)在隨著外部攻擊面管理EASM被更多的企業(yè)所接受，我們打造的魔方外部攻擊面管理系統(tǒng)EASM-SaaS平臺，既是正當(dāng)其時，更是順勢而為?！?/p>

具體來看，魔方外部攻擊面管理系統(tǒng)EASM-SaaS平臺的定位，是以攻擊者視角自動化對企業(yè)互聯(lián)網(wǎng)資產(chǎn)進行發(fā)現(xiàn)與測繪，持續(xù)風(fēng)險監(jiān)控，結(jié)合多維安全情報，專家顧問團隊1對1支持，能夠幫助企業(yè)輸出高價值情報與服務(wù)，讓企業(yè)在攻防實戰(zhàn)中能夠真正的化被動為主動，其平臺關(guān)鍵能力可以歸結(jié)為三個方面：

第一，在暴露面梳理方面，可通過暴露面測繪，實現(xiàn)智能分析。魔方外部攻擊面管理系統(tǒng)EASM-SaaS平臺能夠以攻擊者視角自動化對企業(yè)的互聯(lián)網(wǎng)資產(chǎn)進行全面梳理與監(jiān)測，同時可基于主域名進行模糊發(fā)現(xiàn)，同時支持指定目標范圍的定向監(jiān)測，實現(xiàn)“常態(tài)化”、“實戰(zhàn)化”的7*24小時監(jiān)控。

第二，在資產(chǎn)數(shù)字化方面，可實現(xiàn)“新型資產(chǎn)，統(tǒng)一納管”。隨著越來越多企業(yè)業(yè)務(wù)的數(shù)字化，必然導(dǎo)致資產(chǎn)形態(tài)的多樣化，如：代碼片段、文庫文檔、網(wǎng)盤、暗網(wǎng)，以及公眾號小程序等，而魔方外部攻擊面管理系統(tǒng)EASM-SaaS平臺能夠基于用戶提供的關(guān)鍵字，進行全網(wǎng)采集，統(tǒng)一納管。

第三，在掛圖作戰(zhàn)方面，能夠幫助企業(yè)融入網(wǎng)絡(luò)上下文，實現(xiàn)“攻擊面的可視化管理”。魔方攻擊面管理系統(tǒng)能夠通過采集網(wǎng)絡(luò)設(shè)備的路由信息和NAT映射規(guī)則，進行網(wǎng)絡(luò)仿真及智能計算，并融合網(wǎng)絡(luò)上下文信息、資產(chǎn)和脆弱性三要素，應(yīng)用知識圖譜及圖數(shù)據(jù)庫技術(shù)，完成資產(chǎn)的可視化、訪問關(guān)系的可視化、從而實現(xiàn)攻擊面的可視化。

值得一提的是，除了打造出了SaaS化的平臺能力，組建了一支專業(yè)的SaaS運營團隊之外，魔方安全也結(jié)合具體的行業(yè)實踐經(jīng)驗，先后發(fā)布了《基金行業(yè)攻擊面管理白皮書》以及《2023中國金融行業(yè)攻擊面管理白皮書》等，可以說為金融乃至更多的行業(yè)提供了借鑒和參考的新價值。

總的來說，作為國內(nèi)攻擊面管理ASM領(lǐng)域的先行者和遠見者，魔方安全過去七年來始終專注于這一領(lǐng)域的創(chuàng)新，由此表現(xiàn)出來的戰(zhàn)略定力和持續(xù)的投入是難能可貴的。更為關(guān)鍵的是，魔方安全在國內(nèi)攻擊面管理ASM領(lǐng)域的一系列探索與實踐，以及由此沉淀出的SaaS化平臺解決方案，方法論乃至專業(yè)的運營團隊等“全?；蹦芰?，無疑可以幫助更多的企業(yè)在攻防對抗中能夠更好地實現(xiàn)“清晰地看見、更好地管理”，同時也能夠為持續(xù)守護百行千業(yè)的數(shù)字化資產(chǎn)奠定至關(guān)重要的基礎(chǔ)。