攻擊面管理技術(shù)應(yīng)用指南 2024

任何組織和個(gè)人不得以任何形式復(fù)制或傳遞本報(bào)告的全部或部分內(nèi)容，不得將本報(bào)告內(nèi)容作為訴訟、仲裁、傳媒所引用之證明或依據(jù)，不得用于營(yíng)利或用于未經(jīng)允許的其他用途。任何經(jīng)授權(quán)使用本報(bào)告的相關(guān)商業(yè)行為都將違反《中華人民共和國(guó)著作權(quán)法》和其他法律法規(guī)以及有關(guān)國(guó)際公約的規(guī)定。未經(jīng)授權(quán)或違法使用本報(bào)告內(nèi)容者應(yīng)承擔(dān)其行為引起的一本報(bào)告僅供本公司的客戶使用。本公司不會(huì)因接收人收到本報(bào)告而視其為本公司的當(dāng)然客戶。任何非本公司發(fā)布調(diào)查資料收集范圍等的限制，本報(bào)告中的數(shù)據(jù)僅服務(wù)于當(dāng)前報(bào)告。本公司以勤勉的態(tài)度、專業(yè)的研究方法，使用合法合規(guī)的信息，獨(dú)立、客觀地出具本報(bào)告，但不保證數(shù)據(jù)的準(zhǔn)確性和完整性，本公司不對(duì)本報(bào)告的數(shù)據(jù)和觀點(diǎn)承擔(dān)任何法律責(zé)任。同時(shí)，本公司不保證本報(bào)告中的觀點(diǎn)或陳述不會(huì)發(fā)生任何變更。在不同時(shí)期，本公司可發(fā)出與本報(bào)告所載資料、在任何情況下，本報(bào)告中的信息或所表述的意見(jiàn)并不構(gòu)成對(duì)任何人的行為建議，或需求?？蛻魬?yīng)考慮本報(bào)告中的任何意見(jiàn)是否符合其特定狀況，若有必要應(yīng)尋求專家意見(jiàn)。任何出現(xiàn)在本報(bào)告中的包括但不限于評(píng)論、預(yù)測(cè)、圖表、指標(biāo)、指標(biāo)、理論、陳述均為市場(chǎng)和客戶提供基本參考，您須對(duì)您自主決定的行為負(fù)責(zé)。本公司不對(duì)因本報(bào)告資料全部或部分內(nèi)容產(chǎn)生的，或因依賴本報(bào)告而引致的任何損失承擔(dān)任何責(zé)任，不對(duì)任何因本報(bào)告目錄第一章攻擊面管理背景概述 7 7 第二章攻擊面管理能力框架 第三章攻擊面管理應(yīng)用場(chǎng)景分析 第四章攻擊面管理應(yīng)用實(shí)施方法 4.3攻擊面管理實(shí)施思路與方法 4.4攻擊面管理應(yīng)用挑戰(zhàn)與建議 第五章人工智能攻擊面應(yīng)對(duì)初探 第六章攻擊面管理成功案例分析 案例一：某城商行統(tǒng)一安全管理平臺(tái)運(yùn)營(yíng)項(xiàng)目（綠盟科技提供） 案例二：某新能源汽車控股集團(tuán)攻擊面管理案例（魔方安全提供） 案例三：某科技集團(tuán)網(wǎng)絡(luò)空間風(fēng)險(xiǎn)暴露面治理實(shí)踐案例（亞信安全提 第七章國(guó)內(nèi)外攻擊面管理技術(shù)研究 7.3國(guó)內(nèi)外攻擊面管理技術(shù)差距分析 7.4國(guó)內(nèi)攻擊面管理未來(lái)發(fā)展趨勢(shì) 第八章攻擊面管理廠商推薦 隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展和全球網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，網(wǎng)絡(luò)安全防御手段面對(duì)不斷演變的網(wǎng)絡(luò)威脅，越來(lái)越無(wú)法滿足企業(yè)和組織的安全需求。攻擊面管理（ASM）應(yīng)運(yùn)而生一種新興的安全理念，它通過(guò)持續(xù)監(jiān)控和分析企業(yè)網(wǎng)絡(luò)資產(chǎn)和暴露面，識(shí)別潛在的安全風(fēng)險(xiǎn)，并采取相應(yīng)的措施進(jìn)行緩近年來(lái)，攻擊面管理在國(guó)內(nèi)外市場(chǎng)都得到了快速紛將攻擊面管理列為重要的安全趨勢(shì)，并對(duì)其發(fā)展前景給予了高度評(píng)價(jià)。在國(guó)內(nèi)，隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等一系列法律法規(guī)的出臺(tái)，以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例的實(shí)施，企業(yè)和組織對(duì)網(wǎng)絡(luò)安全的重視程度不斷提高，受到了廣大讀者的歡迎和好評(píng)。今年，安全牛延續(xù)去年的工作，再次推出《攻擊面管理技術(shù)應(yīng)用指南2024版》。本報(bào)本報(bào)告將重點(diǎn)關(guān)注攻擊面管理的概念發(fā)展、技術(shù)應(yīng)用，深入分析國(guó)內(nèi)市框架和關(guān)鍵技術(shù)，并對(duì)國(guó)內(nèi)外市場(chǎng)發(fā)展趨勢(shì)進(jìn)行研究。此外，本報(bào)告還將新增一章對(duì)AI攻擊面進(jìn)行探討，分析AI技術(shù).攻擊面管理需要管理和技術(shù)并重。攻擊面管理不僅是技術(shù)，更需要管理支撐，制定相應(yīng)的管理標(biāo)準(zhǔn)和規(guī)范，推.適用于較高成熟度階段的企業(yè)實(shí)踐。實(shí)施攻擊面管理需要企業(yè)具備一定的基礎(chǔ)設(shè)施與技術(shù)能力，與基礎(chǔ)設(shè)施深.國(guó)內(nèi)市場(chǎng)的初級(jí)發(fā)展與資產(chǎn)數(shù)據(jù)挑戰(zhàn)。當(dāng)前國(guó)內(nèi)攻擊面管理仍處于發(fā)展早期階段。核心難點(diǎn)在于企業(yè)普遍面臨資產(chǎn)數(shù)據(jù)質(zhì)量參差不齊、數(shù)據(jù)冗余與缺失的問(wèn)題，亟需加強(qiáng)數(shù)據(jù)治理與質(zhì)量管控，數(shù)據(jù)質(zhì)量直接影響了攻擊風(fēng)險(xiǎn)的發(fā)現(xiàn).平臺(tái)化與融合方向。攻擊面管理平臺(tái)正從單點(diǎn)工具轉(zhuǎn)向與其他安全技術(shù)有機(jī)融合。一方面，CBAS正逐步整合為統(tǒng)一平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)共享與功能互補(bǔ)；另一方面，與其他安全平臺(tái)的循.關(guān)注重點(diǎn)從外部擴(kuò)展至內(nèi)部。國(guó)內(nèi)用戶正從關(guān)注外部攻擊面（EASM）轉(zhuǎn)向內(nèi)部攻擊面（CAASM）。用戶意識(shí)到內(nèi)網(wǎng)資產(chǎn)通常比外網(wǎng)資產(chǎn)更加敏感，在此趨勢(shì)下，將外部與內(nèi)部攻擊面管理有機(jī)融合，為企業(yè)提供更全面的資產(chǎn)視圖.資產(chǎn)數(shù)據(jù)質(zhì)量的核心地位與治理需求。企業(yè)已積累大量資產(chǎn)數(shù)據(jù)，但數(shù)據(jù)質(zhì)量參差不齊是當(dāng)前痛點(diǎn)。企業(yè)期望.從資產(chǎn)到風(fēng)險(xiǎn)的價(jià)值轉(zhuǎn)移。攻擊面管理的價(jià)值正從傳統(tǒng)的資產(chǎn)管理拓展到風(fēng)險(xiǎn)管理層面。用戶不僅期望通過(guò)攻.開(kāi)始關(guān)注全鏈路威脅展示與溯源。用戶不再滿足于對(duì)孤立風(fēng)險(xiǎn)點(diǎn)的識(shí)別，而是希望通過(guò)跨設(shè)備、跨系統(tǒng)的數(shù)據(jù).AI技術(shù)應(yīng)用初步嘗試，成效有限。盡管廠商積極探索利用人工智能（AI）技術(shù)實(shí)現(xiàn)自動(dòng)資產(chǎn)發(fā)現(xiàn)、漏洞識(shí)別與風(fēng)險(xiǎn)評(píng)估，然而當(dāng)前成果仍然有限。技術(shù)應(yīng)用仍處于初級(jí)階段，有待進(jìn)一步優(yōu)化算法模型、提升數(shù)據(jù)訓(xùn)練質(zhì)量與增強(qiáng)應(yīng).行業(yè)定制與深耕趨勢(shì)。國(guó)內(nèi)攻擊面管理正在走向行業(yè)化應(yīng)用，針對(duì)不同行業(yè)的需求與業(yè)務(wù)場(chǎng)景提供差異化方案。.安全驗(yàn)證需求崛起。目前大多數(shù)用戶已經(jīng)完成基礎(chǔ)安全建設(shè)階段，進(jìn)入攻防演練等驗(yàn)證階段，需要利用攻擊面第一章攻擊面管理背景概述供應(yīng)鏈攻擊、APT攻擊等新型網(wǎng)絡(luò)威脅層出不窮，其復(fù)雜性和破壞力不斷增強(qiáng)。此外，隨著人工智能技術(shù)的快速發(fā)展和廣泛應(yīng)用，AI攻擊面也逐漸成為網(wǎng)絡(luò)安全的新焦點(diǎn)。AI技為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，各國(guó)政府和行業(yè)組織紛紛出臺(tái)了相關(guān)的安全合規(guī)要求和標(biāo)準(zhǔn)。例如，美國(guó)國(guó)家標(biāo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等。這些政策法規(guī)和標(biāo)準(zhǔn)不僅對(duì)企業(yè)和組織的安全管理提出了更高的要求，也促進(jìn)了攻擊攻擊面管理作為一種主動(dòng)防御策略，通過(guò)持續(xù)監(jiān)控與分析網(wǎng)絡(luò)資產(chǎn)及其暴露面，可以及時(shí)發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)，并迅速采取緩解與應(yīng)對(duì)措施，不僅能有效降低安全事件的發(fā)生概率與影響范圍，更可全面保障業(yè)務(wù)連續(xù)性與數(shù)據(jù)安全性。因此，77?勒索軟件攻擊持續(xù)高發(fā)。勒索軟件攻擊在全球范圍內(nèi)持續(xù)高發(fā)，攻擊目標(biāo)也更加廣泛，包括政府、金融、醫(yī)療、教育等關(guān)鍵領(lǐng)域。攻擊者通常采用加密數(shù)據(jù)、破壞系統(tǒng)等手段，勒索高額贖金，給受害者帶來(lái)巨大的經(jīng)濟(jì)損失和?漏洞利用攻擊仍是主流。攻擊者利用各種漏洞和弱點(diǎn)，例如零日漏洞、供應(yīng)鏈漏洞、社會(huì)工程學(xué)等，對(duì)目標(biāo)系統(tǒng)2020年美國(guó)聯(lián)邦政府?dāng)?shù)據(jù)泄露事件，導(dǎo)致全球包括美國(guó)各級(jí)政府部門、北約、英國(guó)政府、歐洲議會(huì)、微軟等至?針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊日益增多。關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家安全和社會(huì)穩(wěn)定的重要支撐，攻擊者針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊日益增多，例如能源、交通、醫(yī)療等領(lǐng)域。這些攻擊可能導(dǎo)致關(guān)鍵服務(wù)的癱瘓和社會(huì)秩序的?APT攻擊持續(xù)活躍。APT攻2022年俄烏危機(jī)期間，烏克蘭十多個(gè)政府網(wǎng)站遭到網(wǎng)絡(luò)攻擊近年來(lái)，國(guó)內(nèi)網(wǎng)絡(luò)攻擊手段也層出不窮，攻擊目標(biāo)廣泛，攻擊方式多樣化且日趨高級(jí)，對(duì)我國(guó)各行各業(yè)的企業(yè)和組織88教育等多個(gè)行業(yè)。攻擊者通常采用加密數(shù)據(jù)、破壞系統(tǒng)等手段，勒索高額贖金，給受害者帶來(lái)巨大的經(jīng)濟(jì)損失和業(yè)務(wù)中斷。攻擊者不再僅僅滿足于加密數(shù)據(jù)勒索贖金，而是更傾向于攻擊關(guān)鍵信息基礎(chǔ)設(shè)施、大型企業(yè)等高價(jià)值?APT攻擊持續(xù)活躍，趨于長(zhǎng)期化和隱蔽化。APT攻擊通常由國(guó)家或組織支持，目標(biāo)是竊取敏感數(shù)據(jù)、破礎(chǔ)設(shè)施或進(jìn)行長(zhǎng)期潛伏和滲透。APT攻擊手段復(fù)雜、技術(shù)高超，對(duì)安全防護(hù)體系構(gòu)成了嚴(yán)峻挑戰(zhàn)。攻擊者潛更長(zhǎng)，攻擊手段更加隱蔽，攻擊目標(biāo)更加精準(zhǔn)，對(duì)安全防護(hù)?內(nèi)部人員威脅不容忽視。內(nèi)部人員泄露數(shù)據(jù)、破壞系統(tǒng)的事件時(shí)有發(fā)生，企業(yè)應(yīng)加強(qiáng)內(nèi)部人員的安全管理和安全?供應(yīng)鏈攻擊成為新興威脅。攻擊者利用供應(yīng)鏈中的薄弱環(huán)節(jié)，例如軟件漏洞、第三方服務(wù)、人員疏忽等，對(duì)目標(biāo)企業(yè)進(jìn)行滲透和攻擊。供應(yīng)鏈攻擊的隱蔽性和破壞性極強(qiáng)，一旦成功，將會(huì)對(duì)整個(gè)供應(yīng)鏈造成嚴(yán)重的安全風(fēng)險(xiǎn)和數(shù)據(jù)泄露事件頻發(fā)。近年來(lái)，國(guó)內(nèi)數(shù)據(jù)泄露事件頻發(fā)，例如2023年，某高校因3萬(wàn)余條師生個(gè)人信息數(shù)據(jù)泄露被罰根據(jù)安全牛2024年企業(yè)用戶調(diào)研結(jié)果顯示，用戶對(duì)外部高級(jí)攻擊的擔(dān)憂程度最高（80%其次是內(nèi)部人員安全風(fēng)險(xiǎn)（42.86%）和供應(yīng)鏈攻擊風(fēng)險(xiǎn)（40%）。用戶擔(dān)心的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要原因中，系統(tǒng)漏洞占比最高（68.57%其次99安全牛認(rèn)為，未來(lái)網(wǎng)絡(luò)攻擊主要有以下趨勢(shì)：攻擊面將持續(xù)擴(kuò)大，攻擊鏈條將向左移動(dòng)，攻擊將更具針對(duì)性和事件驅(qū)?攻擊鏈條將向左移動(dòng)。攻擊者將更多地利用攻擊鏈左側(cè)的戰(zhàn)術(shù)，例如社工、釣魚(yú)等，以獲取初始訪問(wèn)權(quán)限。利用AI技術(shù)，攻擊者可以更輕松地獲取個(gè)人信息、偽造?攻擊將更具針對(duì)性和事件驅(qū)動(dòng)性。攻擊者將聚焦更具針對(duì)性和事件驅(qū)動(dòng)性的攻擊機(jī)遇，例如大型體育賽事、地緣?AI將被更廣泛地用于攻擊。從生成式分析到自動(dòng)化攻擊，AI將被攻擊者用于攻擊的各個(gè)階段。攻擊者可以利用?網(wǎng)絡(luò)攻擊將更加復(fù)雜和難以預(yù)測(cè)。隨著攻擊技術(shù)和工具的不斷發(fā)展，網(wǎng)絡(luò)攻擊將更加復(fù)雜和難以預(yù)測(cè)。攻擊者將隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)峻和攻擊面的不斷擴(kuò)大，各國(guó)政府和行業(yè)組織都加大了對(duì)網(wǎng)絡(luò)安全的監(jiān)管力度，出臺(tái)了一系列安全合規(guī)要求和標(biāo)準(zhǔn)，強(qiáng)調(diào)了攻擊面管理的重要性，要求企業(yè)和組織應(yīng)識(shí)別和評(píng)估其所有攻擊面，并采取相應(yīng)的措施進(jìn)行保護(hù)和監(jiān)控。攻擊面管理已經(jīng)成為網(wǎng)絡(luò)安全的重要組成部分，是企業(yè)和組織保障網(wǎng)絡(luò)安全、數(shù)據(jù)安全和業(yè)務(wù)安全的重在國(guó)際范圍內(nèi)，盡管“攻擊面管理”這一概念并未在多數(shù)政策、法規(guī)和標(biāo)準(zhǔn)中以獨(dú)立名詞的形式明確提出，但許多國(guó)外的網(wǎng)絡(luò)安全法規(guī)、標(biāo)準(zhǔn)和指導(dǎo)原則已對(duì)與攻擊面管理密切相關(guān)的實(shí)踐（如資產(chǎn)識(shí)別、脆弱性管理、持續(xù)監(jiān)控、風(fēng)險(xiǎn)評(píng)估與處置等）提出了要求。這些政策和標(biāo)準(zhǔn)為組織構(gòu)建和完善攻擊面管理體系提供了監(jiān)管和合規(guī)層面的依據(jù)。以下是一些主?美國(guó)（U.S.）相關(guān)法規(guī)、政策與框架愿性框架，為識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)安全能力提供指導(dǎo)。其中資管理流程進(jìn)行標(biāo)準(zhǔn)化。SP800-53中對(duì)持續(xù)監(jiān)控、資產(chǎn)配置管理、脆弱性評(píng)估的要求可輔助建立系統(tǒng)化的攻擊面√美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）相關(guān)指令。CISA發(fā)布的綁定√行政命令（EO14028）“提升國(guó)家網(wǎng)絡(luò)安全”。強(qiáng)調(diào)軟件√通用數(shù)據(jù)保護(hù)條例（GDPR）。盡管GDPR重點(diǎn)關(guān)注個(gè)人數(shù)據(jù)保護(hù)，但其對(duì)數(shù)據(jù)處理安全性的要求鼓洞管理、持續(xù)監(jiān)控及風(fēng)險(xiǎn)評(píng)估均有明確要求。尤其是ISO/IEC27002中細(xì)化了安全控制措施，√英國(guó)“網(wǎng)絡(luò)安全基礎(chǔ)認(rèn)證(CyberEss√CIS控制（CISControls）。由國(guó)際非營(yíng)利組織CenterforInternetSecurity發(fā)布的安全控制指南在最新版本中強(qiáng)√MITREATT&CK框架?！坦?yīng)鏈安全標(biāo)準(zhǔn)與法規(guī)（如美國(guó)EO14028中對(duì)軟件供應(yīng)鏈安全的強(qiáng)調(diào)）。要求組織在供應(yīng)鏈層面做到資產(chǎn)和組領(lǐng)性文件，要求樹(shù)立正確的網(wǎng)絡(luò)安全觀，堅(jiān)持積極防御、有效應(yīng)對(duì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力，切實(shí)維?網(wǎng)絡(luò)安全相關(guān)法律?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律推動(dòng)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控的重視，要求企業(yè)不僅要保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，還要保護(hù)個(gè)人信息和數(shù)據(jù)安全，減少因資產(chǎn)暴露面過(guò)大而帶來(lái)的安全風(fēng)險(xiǎn)。如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止?fàn)I者應(yīng)及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。如《中華人民共和國(guó)數(shù)據(jù)安全法》要求數(shù)據(jù)處理者采取必要措施保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露、篡改和破壞。如《中華人民共和國(guó)個(gè)人信息保護(hù)法》?《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。該條例于2021年9月生效，要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采取必要措施基礎(chǔ)設(shè)施的安全保護(hù)提出了明確要求，包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置六個(gè)方面，提出應(yīng)提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊能力。如針對(duì)發(fā)生的網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)的網(wǎng)絡(luò)安全威脅，提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制，落實(shí)相關(guān)措施，提高主動(dòng)發(fā)現(xiàn)攻擊能力。以應(yīng)對(duì)攻擊受惡意攻擊所造成的資源損害，能夠及時(shí)發(fā)現(xiàn)安全漏洞、發(fā)現(xiàn)、監(jiān)測(cè)攻擊行為和處置安全事件。節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊工業(yè)和信息化部、公安部等主管部門根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民保障數(shù)據(jù)安全進(jìn)行了明確的要求，如第三十四條，行業(yè)監(jiān)管部門及其委托的數(shù)據(jù)安全評(píng)估機(jī)構(gòu)工作人員對(duì)在履行），展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，重點(diǎn)評(píng)估以下內(nèi)容六）發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法?2024年10月29日，工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》，要求建全數(shù)據(jù)安全事件應(yīng)急組織體系和工作機(jī)制，提高數(shù)據(jù)安全事件綜合應(yīng)對(duì)能力，確保及時(shí)有效地控制、減輕和消除√GB/T30284《信息安全技術(shù)漏洞管理要求》：√GB/T29246《信息安全技術(shù)信息安全能力成熟度模型》：鼓勵(lì)√GB/T20988《信息安全技術(shù)網(wǎng)絡(luò)安全應(yīng)急處置（1）增強(qiáng)企業(yè)的風(fēng)險(xiǎn)可見(jiàn)性。隨著數(shù)字化轉(zhuǎn)型的深入，企業(yè)的數(shù)字資產(chǎn)分布變得更加廣泛和復(fù)雜，包括內(nèi)部網(wǎng)絡(luò)、云服務(wù)、移動(dòng)設(shè)備等。攻擊面管理平臺(tái)能夠全面梳理這些資產(chǎn)，幫助企業(yè)清晰了解自身的風(fēng)險(xiǎn)狀況，及時(shí)發(fā)現(xiàn)潛在的安全（2）滿足合規(guī)要求。在嚴(yán)格的法規(guī)環(huán)境下，企業(yè)需要確保其網(wǎng)絡(luò)安全措施符合相關(guān)法律法規(guī)。攻擊面管理平臺(tái)能夠（4）應(yīng)對(duì)數(shù)字化轉(zhuǎn)型帶來(lái)的挑戰(zhàn)。數(shù)字化轉(zhuǎn)型導(dǎo)致IT架構(gòu)重塑，大多數(shù)組織的（5）能力融合降本提效。將攻擊面管理需要的各類能力整合到一個(gè)平臺(tái)上，提升速度和準(zhǔn)確性，減少頻繁切換安全（6）提升安全響應(yīng)速度。攻擊面管理平臺(tái)能夠迅速發(fā)出預(yù)警，并提供詳細(xì)的攻擊路徑和相關(guān)信息，協(xié)助企業(yè)能夠快（7）優(yōu)化安全資源配置。通過(guò)對(duì)攻擊面的評(píng)估和分析，企業(yè)可以明確安全工作的重點(diǎn)和優(yōu)先級(jí)，將有限的安全資源第二章攻擊面管理能力框架新一代攻擊面管理防護(hù)理念強(qiáng)調(diào)持續(xù)監(jiān)控、主動(dòng)防御、風(fēng)險(xiǎn)導(dǎo)向和智能化。攻擊面管理能夠幫助企業(yè)提升資產(chǎn)管理效率與安全可見(jiàn)性、風(fēng)險(xiǎn)管理與安全控制、合規(guī)性保障與安全運(yùn)營(yíng)效率。企業(yè)應(yīng)明確攻擊面管理目標(biāo)，構(gòu)建人員、流程和技術(shù)三方面的能力框架，并掌握新一代攻擊面管理關(guān)鍵技術(shù)，如自動(dòng)化工具和平臺(tái)、AI驅(qū)動(dòng)的資產(chǎn)發(fā)現(xiàn)和漏洞識(shí)別、攻擊面2.1攻擊面管理發(fā)展歷程攻擊面管理的發(fā)展歷程體現(xiàn)了網(wǎng)絡(luò)安全防護(hù)理念的不斷演進(jìn)過(guò)程，包括從被動(dòng)響應(yīng)到主動(dòng)防御，從靜態(tài)分析到動(dòng)態(tài)分析，從孤立的安全產(chǎn)品到全面的安全解決方案。未來(lái)，攻擊面管理將繼續(xù)朝著更加智能化、自動(dòng)化和一體化的方向發(fā)展，早期網(wǎng)絡(luò)安全防護(hù)以被動(dòng)響應(yīng)為主，安全人員主要事件，并進(jìn)行事件響應(yīng)。安全防護(hù)的重點(diǎn)是識(shí)別和響應(yīng)已知的攻擊，對(duì)未知威脅的防護(hù)能力不足。例如，早期的防火墻主隨著IT環(huán)境的日益復(fù)雜，企業(yè)開(kāi)始重視資產(chǎn)的識(shí)別和管理，并使用漏洞掃描、配置檢查等工具來(lái)發(fā)現(xiàn)和評(píng)估資產(chǎn)的安全風(fēng)險(xiǎn)。安全防護(hù)的重點(diǎn)是識(shí)別和管理資產(chǎn)，對(duì)攻擊路徑和攻擊面的分析還不夠深入。例如，企業(yè)開(kāi)始使用漏洞掃描器企業(yè)開(kāi)始從攻擊者的視角來(lái)審視自身的安全防御體系，并使用攻擊面管理工具來(lái)識(shí)別和評(píng)估暴露面風(fēng)險(xiǎn)。安全防護(hù)的重點(diǎn)是識(shí)別和管理暴露面風(fēng)險(xiǎn)，對(duì)內(nèi)部攻擊面和動(dòng)態(tài)攻擊面的關(guān)注還不夠。例如，企業(yè)開(kāi)始使用攻擊面管理平臺(tái)來(lái)識(shí)別和企業(yè)開(kāi)始將攻擊面管理與實(shí)戰(zhàn)攻防相結(jié)合，使用入侵和攻擊模擬（BAS）等技術(shù)來(lái)驗(yàn)證安全防御體系的有效性，并進(jìn)行持續(xù)改進(jìn)。安全防護(hù)的重點(diǎn)是主動(dòng)地識(shí)別和管理2.2攻擊面管理概念的改變通過(guò)持續(xù)識(shí)別發(fā)現(xiàn)企業(yè)的攻擊面，并對(duì)整體攻擊風(fēng)險(xiǎn)進(jìn)行收斂和驗(yàn)證，實(shí)現(xiàn)有效控制攻擊風(fēng)險(xiǎn)的管理方法。攻擊面是指從攻擊者的視角開(kāi)展網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理，類型包括外部攻擊面管理（EASM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS能力包括資產(chǎn)識(shí)別、攻擊面識(shí)別、攻擊面分析、收斂與驗(yàn)證和持續(xù)監(jiān)2023年的攻擊面管理研究報(bào)告中，用戶則對(duì)攻擊面的概念理解并不充分，還存在很多問(wèn)題與困惑；大部分廠商的攻經(jīng)過(guò)一年多的實(shí)踐，企業(yè)用戶對(duì)攻擊面的理解更加清晰，已經(jīng)能夠準(zhǔn)確地了解攻擊面主動(dòng)防御的概念，其應(yīng)用場(chǎng)景也開(kāi)始貼合結(jié)合實(shí)戰(zhàn)需求而應(yīng)用落地。根據(jù)2024年安全牛用戶調(diào)研顯示，目前74.28%的用戶表示比較或非常了解攻擊面隨著用戶需求和理解的不斷深入，攻擊面管理的概念和內(nèi)涵在不斷豐富與演變，更加適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全威脅和技術(shù)?從關(guān)注外部攻擊面到關(guān)注內(nèi)部攻擊面。用戶?從資產(chǎn)梳理轉(zhuǎn)向資產(chǎn)治理優(yōu)化。用戶的資產(chǎn)數(shù)據(jù)已經(jīng)基本建立，用戶更加關(guān)注資產(chǎn)的質(zhì)量，例如資產(chǎn)的數(shù)據(jù)的資產(chǎn)重復(fù)、屬性等數(shù)據(jù)缺失、數(shù)據(jù)沖突等，并希望利用健全的一張圖作為基礎(chǔ)，實(shí)現(xiàn)攻擊鏈路的可視化。根據(jù)安全牛調(diào)研數(shù)據(jù)，77.14%的用戶希望攻擊面可以實(shí)現(xiàn)資產(chǎn)關(guān)聯(lián)分類，自動(dòng)歸屬，重要性標(biāo)簽，并資產(chǎn)全景圖。并且?從單點(diǎn)資產(chǎn)管理到全鏈路風(fēng)險(xiǎn)防護(hù)。用戶更加關(guān)注全鏈路風(fēng)險(xiǎn)防護(hù)，更加關(guān)注攻擊者可能利用的攻擊路徑和攻擊目標(biāo)，進(jìn)行跨設(shè)備的數(shù)據(jù)關(guān)聯(lián)分析，識(shí)別完整的攻擊鏈路。根據(jù)安全牛?從合規(guī)檢查到有效性驗(yàn)證。隨著用戶安全建設(shè)能力的提高，用戶從合規(guī)檢查轉(zhuǎn)向安全有效性驗(yàn)證，并且更關(guān)注檢?持續(xù)監(jiān)控。攻擊面管理需要持續(xù)監(jiān)控攻擊面的變化，例如新增資產(chǎn)、變更資產(chǎn)、退役資產(chǎn)、新的漏洞、新的攻擊隨著用戶對(duì)攻擊面管理的深入理解和應(yīng)用場(chǎng)景的不斷增加，其需求也在不斷增多。原有的攻擊面管理目標(biāo)正轉(zhuǎn)化為以是這些數(shù)據(jù)普遍問(wèn)題存在數(shù)據(jù)重復(fù)、缺失、沖突等問(wèn)題，需要對(duì)不同資產(chǎn)設(shè)備進(jìn)行對(duì)接、融合和核對(duì)，實(shí)現(xiàn)資產(chǎn)?驗(yàn)證實(shí)戰(zhàn)化。攻擊面管理要更加貼近實(shí)戰(zhàn)，能夠幫助用?自動(dòng)化和智能化。攻擊面管理需要自動(dòng)化和智能化的工具來(lái)提高效率和效果，例如自動(dòng)化資產(chǎn)發(fā)現(xiàn)、自動(dòng)化漏洞?產(chǎn)品服務(wù)化。攻擊面管理功能要能提供相應(yīng)的產(chǎn)品服務(wù)和專家服務(wù)的形式提供，用戶可以借助專家能力，以及便2.3攻擊面管理的能力框架攻擊面管理目標(biāo)從之前主要針對(duì)IT資產(chǎn)和互聯(lián)網(wǎng)資產(chǎn)識(shí)別，轉(zhuǎn)變?yōu)檎w攻擊面的持續(xù)可視化，對(duì)攻擊面風(fēng)險(xiǎn)開(kāi)展?！蚬裘婀芾沓晒Φ年P(guān)鍵因素：?資產(chǎn)數(shù)據(jù)和關(guān)聯(lián)要全和準(zhǔn)。攻擊面管理的首要任務(wù)是全面、準(zhǔn)確地識(shí)別和管理企業(yè)的所有資產(chǎn)，需要攻擊面管理系統(tǒng)具備強(qiáng)大的資產(chǎn)發(fā)現(xiàn)能力，并準(zhǔn)確識(shí)別資產(chǎn)的屬性信息，同時(shí)，攻擊面管理系統(tǒng)還需要能夠識(shí)別資產(chǎn)之間的?攻擊面需要“管理+技術(shù)”。攻擊面管理不僅僅是技術(shù)問(wèn)題，也需?攻擊面需要安全與運(yùn)維協(xié)同。攻擊面管理需要安全團(tuán)隊(duì)和IT運(yùn)維團(tuán)隊(duì)的協(xié)同配合，才能有效地進(jìn)行資產(chǎn)管理、?◎????◎??◎???◎?企業(yè)需要有一定的基礎(chǔ)設(shè)施基礎(chǔ)。攻擊面管理的實(shí)施需要企業(yè)具備一定的基礎(chǔ)設(shè)施基礎(chǔ)，攻擊面管理系統(tǒng)需要能互聯(lián)網(wǎng)資產(chǎn)識(shí)別更全面。攻擊面管理應(yīng)能夠識(shí)別企業(yè)所有面向互聯(lián)網(wǎng)的資產(chǎn)，包括組織架構(gòu)、域名、IP地址、子域名、SSL證書(shū)、Web應(yīng)用程序、API資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)更清晰。攻擊面管理應(yīng)能夠?qū)①Y產(chǎn)與業(yè)務(wù)系統(tǒng)進(jìn)行關(guān)聯(lián)，例如識(shí)別某個(gè)Web應(yīng)用程序?qū)儆谀膫€(gè)全面覆蓋各種攻擊向量。攻擊面管理應(yīng)能夠識(shí)別所有可能的攻擊向量，包括漏洞、配置缺陷、弱口令、身份和訪攻擊面路徑圖。攻擊面管理應(yīng)能夠繪制攻擊面路徑圖，清晰地展示攻擊者可能利用的攻擊路徑，并評(píng)估攻擊成功風(fēng)險(xiǎn)可視化。攻擊面管理應(yīng)能夠?qū)︼L(fēng)險(xiǎn)進(jìn)行可視化展示，例如通過(guò)攻擊路徑圖、風(fēng)險(xiǎn)熱力圖等方式展示風(fēng)險(xiǎn)，以?收斂攻擊面。攻擊面管理應(yīng)能夠采取措施降低風(fēng)險(xiǎn)暴露，例如漏洞修復(fù)、安全加固、訪問(wèn)控制等，并能夠驗(yàn)證安◎攻擊面管理能力之五“持續(xù)監(jiān)控”的特點(diǎn)：?持續(xù)驗(yàn)證。攻擊面管理應(yīng)能夠持續(xù)驗(yàn)證安?自動(dòng)化。攻擊面管理應(yīng)能夠自動(dòng)化執(zhí)行攻擊面收斂為了支撐新的攻擊面管理能力框架，攻擊面管理的關(guān)鍵技術(shù)涵蓋了資產(chǎn)識(shí)別、漏洞掃描、風(fēng)險(xiǎn)評(píng)估、持續(xù)威脅暴露管?被動(dòng)掃描技術(shù)。通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)流量（例如ARP請(qǐng)求、DNS查詢等來(lái)識(shí)別網(wǎng)絡(luò)中的活動(dòng)主機(jī)和開(kāi)放端口，并識(shí)別主機(jī)的操作系統(tǒng)、服務(wù)類型等信息。例如，使用tcpdump工具監(jiān)聽(tīng)網(wǎng)絡(luò)流量，可以分析流量中的主機(jī)信息?網(wǎng)絡(luò)空間測(cè)繪技術(shù)。通過(guò)對(duì)互聯(lián)網(wǎng)上的資產(chǎn)進(jìn)行掃描和探測(cè)，例如IP地址、域名、網(wǎng)站等，來(lái)識(shí)別企業(yè)的外部資產(chǎn)和攻擊面。例如，使用Shodan搜索引擎搜索企業(yè)的IP地址和域名，可以發(fā)現(xiàn)企業(yè)暴露在互聯(lián)網(wǎng)上的資產(chǎn)?威脅情報(bào)技術(shù)。通過(guò)收集和分析各種威脅情報(bào)，例如漏洞信息、攻擊事件、惡意軟件等，來(lái)識(shí)別與企業(yè)資產(chǎn)相關(guān)的威脅信息。例如，訂閱威脅情報(bào)平臺(tái)的漏洞信息，可以及時(shí)了解最新的漏洞信息，并識(shí)別企業(yè)資產(chǎn)中受影響的?融合。采用數(shù)據(jù)融合技術(shù)，將不同來(lái)源的資產(chǎn)數(shù)據(jù)進(jìn)行融合，例如根據(jù)資產(chǎn)的唯一標(biāo)識(shí)符進(jìn)行融合，并解決數(shù)據(jù)?清洗。對(duì)采集到的數(shù)據(jù)進(jìn)行清洗，例如去除重復(fù)數(shù)據(jù)、糾正錯(cuò)誤數(shù)據(jù)等，例如知其安的攻擊面管理平臺(tái)，支持對(duì)?漏洞掃描。通過(guò)漏洞掃描工具對(duì)資產(chǎn)進(jìn)行掃描，發(fā)現(xiàn)資產(chǎn)中存在的安全漏洞。例如，使用漏洞掃描器對(duì)服務(wù)器進(jìn)?配置檢查。通過(guò)配置檢查工具對(duì)資產(chǎn)進(jìn)行檢查，發(fā)現(xiàn)資產(chǎn)中存在的配置缺陷，例如，網(wǎng)絡(luò)設(shè)備中存在的弱口令、?敏感信息識(shí)別。通過(guò)敏感信息識(shí)別工具對(duì)資產(chǎn)進(jìn)行掃描，發(fā)現(xiàn)資產(chǎn)中存在的敏感信息，例如機(jī)密文件、源代碼、?數(shù)據(jù)泄漏檢測(cè)。通過(guò)數(shù)據(jù)泄漏檢測(cè)工具對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，關(guān)注文件的上傳、下載、郵件發(fā)送等，發(fā)現(xiàn)數(shù)據(jù)泄?暗網(wǎng)監(jiān)控。通過(guò)暗網(wǎng)監(jiān)控工具對(duì)暗網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)是否有企業(yè)敏感信息泄露到暗網(wǎng)。例如，使用暗網(wǎng)監(jiān)控工具?定量風(fēng)險(xiǎn)評(píng)估。使用數(shù)學(xué)模型對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，例如計(jì)算風(fēng)險(xiǎn)發(fā)生的概率和損失。例如，使用CVSS評(píng)分模?基于風(fēng)險(xiǎn)的優(yōu)先級(jí)排序。對(duì)威脅暴露進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)漏洞的CVSS評(píng)分、漏洞的利用難度、漏洞的實(shí)際業(yè)?多維度的安全驗(yàn)證。使用多維度的安全驗(yàn)證，例如漏洞掃描、配置檢查、滲透測(cè)試、入侵和攻擊模擬等，以驗(yàn)證安全控制措施的有效性。例如模擬各種類型的攻擊，例如勒索軟件攻擊、APT攻擊、DD?自動(dòng)化的安全響應(yīng)。開(kāi)展自動(dòng)化的安全響應(yīng)，例如自動(dòng)下發(fā)漏洞修復(fù)指令、自動(dòng)加固安全配置等，以提高安全響?持續(xù)的改進(jìn)。根據(jù)新的威脅和漏洞情報(bào)，持?基于圖論的攻擊路徑分析。將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和資產(chǎn)之間的連接關(guān)系表示為圖，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行自動(dòng)發(fā)現(xiàn)和建模，并結(jié)合漏洞信息、威脅情報(bào)等信息，分析攻擊者可能利用的攻擊路徑，并評(píng)估攻擊成功的可能性。例如，使用攻擊路徑分析工具可以分析攻擊者從互聯(lián)網(wǎng)到企業(yè)內(nèi)網(wǎng)關(guān)健服務(wù)器的攻擊路徑，并識(shí)別攻擊路徑上的未打補(bǔ)丁?基于攻擊鏈的攻擊路徑分析。根據(jù)攻擊鏈模型，分析攻擊者可能采取的攻擊步驟，并識(shí)別每個(gè)步驟可能利用的漏?攻擊路徑可視化。將攻擊路徑分析的結(jié)果以圖形化的方式展示出來(lái)，例如攻擊路徑圖、攻擊樹(shù)等，以便于用戶理解和分析。例如，使用攻擊路徑圖可以清晰地展示攻擊者可能利用的攻擊路徑、攻擊路徑上的薄弱環(huán)節(jié)，以及攻?模擬攻擊。模擬各種類型的攻擊，例如模擬攻擊者利用社會(huì)工程學(xué)手段獲取初始訪問(wèn)權(quán)限、模擬攻擊者在內(nèi)網(wǎng)進(jìn)?安全評(píng)估。對(duì)企業(yè)的整體安全狀況進(jìn)行評(píng)估，并提供改進(jìn)建議。例如，根據(jù)模擬攻擊的結(jié)果，評(píng)估企業(yè)安全防御第三章攻擊面管理應(yīng)用場(chǎng)景分析攻擊面管理的應(yīng)用場(chǎng)景非常廣泛，不同行業(yè)和規(guī)模的用戶對(duì)攻擊面管理的需求存在差異，攻擊面管理產(chǎn)品和服務(wù)需要針對(duì)用戶的實(shí)際需求進(jìn)行交付，才能更好地滿足用戶的需求，幫助用戶提升安全防護(hù)能力，接下來(lái)我們將從不同的行業(yè)用金融行業(yè)經(jīng)常遭受網(wǎng)絡(luò)釣魚(yú)攻擊造成用戶信息泄露，遭受因系統(tǒng)漏洞攻擊而造成銀行系統(tǒng)中斷，遭受勒索軟件攻擊而造成◆攻擊面管理場(chǎng)景：◆攻擊面管理目標(biāo)：政府行業(yè)是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，其安全關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定。政府行業(yè)常擁有大量的關(guān)鍵信息基礎(chǔ)設(shè)施，例如政府網(wǎng)站、政務(wù)系統(tǒng)等。存儲(chǔ)和處理大量的敏感政府?dāng)?shù)據(jù)，例如公民個(gè)人信息、政府機(jī)密文件等。面◆攻擊面管理場(chǎng)景：◆攻擊面管理目標(biāo)：能源行業(yè)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全關(guān)系到國(guó)家能源安全和經(jīng)濟(jì)發(fā)展。能源行業(yè)擁有大量的關(guān)鍵信息基礎(chǔ)設(shè)施，例如電力系統(tǒng)、石油管道等。并且工業(yè)控制系統(tǒng)（ICS）和運(yùn)維技術(shù)（OT）環(huán)境復(fù)雜，安全防護(hù)難度大。?！艄裘婀芾韴?chǎng)景：◆攻擊面管理目標(biāo)：醫(yī)療行業(yè)涉及大量的敏感醫(yī)療數(shù)據(jù)，例如患者個(gè)人信息、病歷等，其安全和隱私保護(hù)至關(guān)重要。并且醫(yī)療設(shè)備和系統(tǒng)◆應(yīng)用攻擊面管理的場(chǎng)景：◆攻擊面管理目標(biāo)：大型企業(yè)的資產(chǎn)數(shù)量眾多，類型多樣，包括傳統(tǒng)IT資產(chǎn)、云資產(chǎn)、物聯(lián)網(wǎng)設(shè)備、OT設(shè)備等，并且網(wǎng)絡(luò)環(huán)境復(fù)雜，包◆攻擊面管理場(chǎng)景：?全面識(shí)別和管理企業(yè)的攻擊面，包括所有類型的資產(chǎn)和網(wǎng)絡(luò)環(huán)境?對(duì)攻擊面進(jìn)行精細(xì)化的風(fēng)險(xiǎn)評(píng)估，并根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行優(yōu)先級(jí)排序?動(dòng)化地執(zhí)行攻擊面收斂操作，例如自動(dòng)化漏洞修復(fù)、自動(dòng)化安全配置加固等◆攻擊面管理應(yīng)用建設(shè)◎第一階段：攻擊面可視化◆應(yīng)用攻擊面管理的場(chǎng)景：◆攻擊面管理目標(biāo)：?建立統(tǒng)一的攻擊面視圖，全面◆關(guān)鍵點(diǎn)：◎第二階段：攻擊面風(fēng)險(xiǎn)管理◆應(yīng)用攻擊面管理的場(chǎng)景：◆攻擊面管理目標(biāo)：◆關(guān)鍵點(diǎn)：◎第三階段：攻擊面持續(xù)監(jiān)控與優(yōu)化◆應(yīng)用攻擊面管理的場(chǎng)景：◆攻擊面管理目標(biāo)：◆關(guān)鍵點(diǎn)：中型企業(yè)的資產(chǎn)數(shù)量適中，類型多樣，一般包括傳統(tǒng)IT資產(chǎn)、云資產(chǎn)等，但是網(wǎng)絡(luò)環(huán)境較為復(fù)雜，包括物理網(wǎng)絡(luò)、安全人員需要兼顧多種安全工作。由于安全防護(hù)能力相對(duì)薄弱，缺乏專業(yè)的安全管理工具和平臺(tái)，安全人員缺乏專業(yè)的安全知識(shí)和技能，中型企業(yè)容易成為攻擊者的目標(biāo)?？赡茉馐芾账鬈浖?、釣魚(yú)郵件等攻擊。并難以對(duì)攻擊面進(jìn)行全面、有效◆應(yīng)用場(chǎng)景：◆攻擊面管理目標(biāo)：◆關(guān)鍵點(diǎn)：小型企業(yè)的資產(chǎn)數(shù)量較少，類型相對(duì)單一，主要包括傳統(tǒng)IT資產(chǎn)和一些基礎(chǔ)的云服務(wù)。安全防護(hù)能力薄弱，通常只◆應(yīng)用場(chǎng)景：◆攻擊面管理目標(biāo)：◆關(guān)鍵點(diǎn)：第四章攻擊面管理應(yīng)用實(shí)施方法4.1攻擊面管理實(shí)施原則在構(gòu)建攻擊面管理體系的過(guò)程中，企業(yè)需要遵循一些關(guān)鍵原則，才能確保攻擊面管理體系的有效性和可持續(xù)性。以下?風(fēng)險(xiǎn)導(dǎo)向原則。攻擊面管理應(yīng)以風(fēng)險(xiǎn)管理為核心，識(shí)別、評(píng)估和控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。應(yīng)將有限的資源集中到高風(fēng)?主動(dòng)防御原則。攻擊面管理應(yīng)強(qiáng)調(diào)主動(dòng)發(fā)現(xiàn)和防御，例如通過(guò)模擬攻擊、漏洞驗(yàn)證、威脅情報(bào)等手段來(lái)識(shí)別和降?適應(yīng)性原則。應(yīng)根據(jù)企業(yè)的具體情況進(jìn)行?智能化原則。應(yīng)積極探索人工智能（AI）技術(shù)在攻擊面管理中的應(yīng)用，例如自動(dòng)化資產(chǎn)發(fā)現(xiàn)、智能化風(fēng)險(xiǎn)評(píng)估、?4.2攻擊面管理實(shí)施目標(biāo)?針對(duì)高風(fēng)險(xiǎn)資產(chǎn)和漏洞，采取措施進(jìn)行緩解和處置，例如漏洞修復(fù)?加強(qiáng)跨部門的溝通和協(xié)作，例如安全團(tuán)隊(duì)、I?將攻擊面管理與其他安全技術(shù)和平臺(tái)進(jìn)行集成，例如與漏洞管理、威脅情報(bào)、安全運(yùn)營(yíng)中心（S?持續(xù)監(jiān)控攻擊面的變化，例如新增資產(chǎn)、變更資產(chǎn)、退役資產(chǎn)、?對(duì)風(fēng)險(xiǎn)進(jìn)行分析和優(yōu)先級(jí)排序，例如識(shí)別高風(fēng)險(xiǎn)資產(chǎn)?對(duì)風(fēng)險(xiǎn)進(jìn)行可視化展示，例如通過(guò)攻擊路徑圖、?對(duì)安全事件進(jìn)行響應(yīng)和處置，例如安全事件的?對(duì)安全事件進(jìn)行溯源和分析，例如識(shí)別攻擊?構(gòu)建全面、持續(xù)、有效、主動(dòng)、協(xié)同、自動(dòng)化、智能化4.3攻擊面管理實(shí)施思路與方法構(gòu)建一個(gè)完善的攻擊面管理平臺(tái)架構(gòu)，可以幫助企業(yè)有效地實(shí)施攻擊面管理，降低安全風(fēng)險(xiǎn)，提升安全防護(hù)能力。以◎主動(dòng)發(fā)現(xiàn)：配置掃描的IP地址范圍、端口范圍、協(xié)議等?！虮粍?dòng)發(fā)現(xiàn)：配置網(wǎng)絡(luò)流量鏡像，將網(wǎng)絡(luò)設(shè)備的流量鏡像到攻擊面管理平臺(tái)。?例如，可以將核心交換機(jī)的流量鏡像到攻擊面管理平臺(tái)，以?集成現(xiàn)有安全產(chǎn)品數(shù)據(jù)：集成現(xiàn)有安全產(chǎn)品數(shù)據(jù)，融合處理形成資產(chǎn)清單?針對(duì)資產(chǎn)清單實(shí)現(xiàn)資產(chǎn)之間、資產(chǎn)與業(yè)務(wù)的◆關(guān)鍵點(diǎn)：?資產(chǎn)發(fā)現(xiàn)的全面性和準(zhǔn)確性：應(yīng)盡可能地發(fā)現(xiàn)所有?資產(chǎn)數(shù)據(jù)的融合和清洗：對(duì)收集的資產(chǎn)數(shù)據(jù)進(jìn)行融?資產(chǎn)分類和標(biāo)記的合理性：根據(jù)企業(yè)的實(shí)際情況和安全需求，對(duì)資產(chǎn)進(jìn)行合理的分類和標(biāo)記，以便于后續(xù)的風(fēng)險(xiǎn)?資產(chǎn)管理的自動(dòng)化和智能化：盡可能地自動(dòng)化資產(chǎn)管理流程，例如自動(dòng)化資產(chǎn)發(fā)現(xiàn)、自動(dòng)化資產(chǎn)分類、自動(dòng)化資攻擊面識(shí)別是指識(shí)別所有可能被攻擊者利用的攻擊向量，例如漏洞、配置缺陷、弱口令、身份和訪問(wèn)管理缺陷等。攻◎配置檢查：對(duì)資產(chǎn)進(jìn)行配置檢查，發(fā)現(xiàn)資產(chǎn)中存在的配置缺陷，例如弱口令、未授權(quán)訪問(wèn)等。?對(duì)配置檢查結(jié)果進(jìn)行分析和評(píng)?例如，可以使用漏洞掃描器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置檢查，發(fā)?對(duì)數(shù)字風(fēng)險(xiǎn)識(shí)別結(jié)果進(jìn)行分析和評(píng)估，?例如，使用數(shù)據(jù)泄露監(jiān)測(cè)平臺(tái)監(jiān)控暗網(wǎng)◎第三方風(fēng)險(xiǎn)識(shí)別：通過(guò)收集和分析第三方的安全信息，識(shí)別和評(píng)估第三方風(fēng)險(xiǎn)，例如供應(yīng)鏈攻擊、合作伙伴安全?對(duì)第三方風(fēng)險(xiǎn)識(shí)別結(jié)果進(jìn)行分析和評(píng)估，?例如，對(duì)供應(yīng)商進(jìn)行安全評(píng)估，了解◆關(guān)鍵點(diǎn)：?識(shí)別方法的全面性和有效性：攻擊面識(shí)別應(yīng)采用多種方法，例如漏洞掃描、配置檢查、威脅情報(bào)分析等，并確保?識(shí)別結(jié)果的準(zhǔn)確性和及時(shí)性：攻擊面識(shí)別應(yīng)盡可能準(zhǔn)確識(shí)攻擊面風(fēng)險(xiǎn)分析是指對(duì)攻擊面進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別高風(fēng)險(xiǎn)資產(chǎn)和漏洞，并進(jìn)行優(yōu)先級(jí)排序。風(fēng)險(xiǎn)分析是攻擊面管理的◎風(fēng)險(xiǎn)評(píng)估：對(duì)資產(chǎn)和漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，例如根據(jù)資產(chǎn)的重要性、漏洞的嚴(yán)重程度、威脅情報(bào)等因素進(jìn)行評(píng)估，?例如，可以使用風(fēng)險(xiǎn)評(píng)估模型對(duì)服務(wù)器和漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估，例如根據(jù)CVSS評(píng)分模型，評(píng)估服務(wù)器中存在的漏◎風(fēng)險(xiǎn)優(yōu)先級(jí)排序：根據(jù)風(fēng)險(xiǎn)評(píng)分、資產(chǎn)的重要性、業(yè)務(wù)影響等因素，對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序，以便于企業(yè)進(jìn)行風(fēng)?配置風(fēng)險(xiǎn)優(yōu)先級(jí)排序規(guī)則，例如根據(jù)風(fēng)?例如，將風(fēng)險(xiǎn)評(píng)分較高的漏洞優(yōu)先進(jìn)?例如，使用攻擊路徑圖展示攻擊者可能利用的攻擊路徑，使◆關(guān)鍵點(diǎn)：?風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和全面性：應(yīng)盡可能準(zhǔn)確評(píng)估風(fēng)險(xiǎn)，并考慮各種因素，例如資產(chǎn)的重要性、漏洞的嚴(yán)重程度、?風(fēng)險(xiǎn)分析的科學(xué)性和有效性：應(yīng)采用科學(xué)的風(fēng)險(xiǎn)分析方法，例如定量分析、定性分析等，并能夠有效地識(shí)別高風(fēng)?風(fēng)險(xiǎn)可視化的直觀性和易用性：風(fēng)險(xiǎn)可視化應(yīng)易于理解◆功能：◆關(guān)鍵點(diǎn)：?暴露面發(fā)現(xiàn)的全面性和準(zhǔn)確性：應(yīng)盡可能地發(fā)現(xiàn)所有暴露?風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和及時(shí)性：應(yīng)盡?安全加固的有效性和及時(shí)性：應(yīng)采取有效的措施對(duì)暴露?監(jiān)控的實(shí)時(shí)性和全面性：應(yīng)實(shí)時(shí)監(jiān)控暴露面的變化，并攻擊面驗(yàn)證應(yīng)驗(yàn)證企業(yè)安全防御體系的有效性，例如通過(guò)模擬攻擊、滲透測(cè)試等方式，發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中存在的安全漏◆功能：?支持對(duì)攻擊面驗(yàn)證結(jié)果進(jìn)行分析和評(píng)估◆關(guān)鍵點(diǎn)：?驗(yàn)證方法的科學(xué)性和有效性：應(yīng)采用科學(xué)的驗(yàn)證方法，例如模擬攻擊、滲透測(cè)試、漏洞掃描等，并能夠有效地評(píng)?驗(yàn)證結(jié)果的準(zhǔn)確性和全面性：應(yīng)盡可能準(zhǔn)確評(píng)估安全?驗(yàn)證流程的自動(dòng)化和智能化：盡可能地自動(dòng)化驗(yàn)監(jiān)控建設(shè)應(yīng)實(shí)時(shí)監(jiān)控企業(yè)的攻擊面信息，例如資產(chǎn)的變化情況、漏洞的變化情況、網(wǎng)絡(luò)流量的異常情況等，并及時(shí)發(fā)?實(shí)時(shí)采集和分析企業(yè)的攻擊面?支持自定義監(jiān)控指標(biāo)和告警規(guī)則，例如可以根據(jù)企業(yè)的實(shí)際?提供監(jiān)控報(bào)表和趨勢(shì)分析，例如可以查看資產(chǎn)◆關(guān)鍵點(diǎn)：?監(jiān)控的全面性和實(shí)時(shí)性：應(yīng)盡可?監(jiān)控報(bào)表的直觀性和易用性：監(jiān)控報(bào)表應(yīng)易于理解和攻擊態(tài)勢(shì)感知應(yīng)實(shí)時(shí)感知企業(yè)的攻擊面態(tài)勢(shì)，例如當(dāng)前面臨的威脅、攻擊者的活動(dòng)軌跡、攻擊的影響范圍等，并提供?實(shí)時(shí)采集和分析企業(yè)的攻擊面信息，例如資產(chǎn)?關(guān)聯(lián)分析不同來(lái)源的數(shù)據(jù)，例如將漏洞信息與資產(chǎn)信息進(jìn)行?提供態(tài)勢(shì)分析報(bào)告和可視化展示，例◆關(guān)鍵點(diǎn)：?態(tài)勢(shì)感知的準(zhǔn)確性和實(shí)時(shí)性：應(yīng)盡可能?態(tài)勢(shì)分析的科學(xué)性和有效性：應(yīng)采用科學(xué)的態(tài)勢(shì)分析方法，例如攻擊鏈分析、威脅情報(bào)分析等，并能夠有效地識(shí)?態(tài)勢(shì)展示的直觀性和易用性：態(tài)勢(shì)展示應(yīng)易于理解和4.4攻擊面管理應(yīng)用挑戰(zhàn)與建議組織在實(shí)施攻擊面管理時(shí)常面臨多方面挑戰(zhàn)，包括對(duì)底層資產(chǎn)數(shù)據(jù)的準(zhǔn)確收集與持續(xù)更新難題、不同安全工具與平臺(tái)之間數(shù)據(jù)孤島與整合困難、無(wú)法準(zhǔn)確全面地識(shí)別攻擊面，以及攻擊面風(fēng)險(xiǎn)評(píng)價(jià)不準(zhǔn)確等。針對(duì)這些問(wèn)題，安全牛根據(jù)調(diào)研?資產(chǎn)風(fēng)險(xiǎn)運(yùn)營(yíng)vsSOC：資產(chǎn)風(fēng)險(xiǎn)運(yùn)營(yíng)是通過(guò)檢查來(lái)提前發(fā)現(xiàn)潛在的安全隱患，并及時(shí)采取措施進(jìn)行管理。而?數(shù)據(jù)標(biāo)準(zhǔn)化：建立統(tǒng)一的資產(chǎn)數(shù)據(jù)標(biāo)準(zhǔn)，對(duì)不同來(lái)源的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，例如統(tǒng)一IP地址的格式、MAC地?數(shù)據(jù)融合：采用數(shù)據(jù)融合技術(shù)，將不同來(lái)源的資產(chǎn)數(shù)據(jù)進(jìn)行融合，例如根據(jù)資產(chǎn)的唯一標(biāo)識(shí)符進(jìn)行融合，并解決?數(shù)據(jù)質(zhì)量控制：對(duì)資產(chǎn)數(shù)據(jù)進(jìn)行質(zhì)量控制，例如安全牛建議：造成的原因主要是攻擊面的復(fù)雜性和動(dòng)態(tài)性，以及用戶對(duì)攻擊面缺乏了解等因素，導(dǎo)致攻擊面識(shí)別的準(zhǔn)?加強(qiáng)安全意識(shí)培訓(xùn)：加強(qiáng)對(duì)員工的安安全牛建議，造成的原因主要是風(fēng)險(xiǎn)評(píng)估的因素眾多、數(shù)據(jù)來(lái)源分散、分析方法復(fù)雜等因素，以及用戶缺乏風(fēng)險(xiǎn)評(píng)估?建立科學(xué)的風(fēng)險(xiǎn)評(píng)估模型：根據(jù)企業(yè)的實(shí)際情況和安全需求，建立科學(xué)的風(fēng)險(xiǎn)評(píng)估模型，并選擇合適的風(fēng)險(xiǎn)評(píng)估?采用威脅情報(bào)：采用威脅情報(bào)平臺(tái)，例如威脅情報(bào)平臺(tái)、安全運(yùn)營(yíng)中心（SOC）等，獲取最新的威脅情報(bào)，并用可以提供自動(dòng)化發(fā)現(xiàn)和識(shí)別資產(chǎn)、自動(dòng)化風(fēng)險(xiǎn)評(píng)估和驗(yàn)證、智能化風(fēng)險(xiǎn)處置建議、自動(dòng)化工單流轉(zhuǎn)和協(xié)作和可視第五章人工智能攻擊面應(yīng)對(duì)初探發(fā)起更復(fù)雜的攻擊，也可能自身存在安全漏洞和風(fēng)險(xiǎn)。人工智能技術(shù)的?預(yù)訓(xùn)練模型污染：攻擊者在預(yù)訓(xùn)練模型中注入惡意數(shù)據(jù)或代碼，導(dǎo)致模型在使用過(guò)程中出現(xiàn)錯(cuò)誤或偏差，甚至被?依賴庫(kù)投毒：攻擊者在AI模型依賴的庫(kù)中注入惡意代碼，導(dǎo)致模型在調(diào)用庫(kù)時(shí)執(zhí)行惡意代碼。例如，攻擊者通例如，攻擊者可以向一個(gè)垃圾郵件過(guò)濾模型的訓(xùn)練數(shù)據(jù)中注入大量的正常郵件，導(dǎo)致模型將垃圾郵件識(shí)別為正常?對(duì)抗樣本攻擊：攻擊者通過(guò)對(duì)輸入數(shù)據(jù)進(jìn)行微小的修改，生成對(duì)抗樣本，導(dǎo)致模型對(duì)對(duì)抗樣本的識(shí)別出現(xiàn)錯(cuò)誤。攻擊者可以通過(guò)API訪問(wèn)一個(gè)AI模型，并收集模型的輸入和輸出數(shù)據(jù)，然后利用這些數(shù)據(jù)訓(xùn)練一個(gè)與目標(biāo)模型?數(shù)據(jù)污染：攻擊者篡改或破壞AI系統(tǒng)的訓(xùn)練數(shù)據(jù)或推理數(shù)據(jù)，導(dǎo)致模型的準(zhǔn)確性和可靠性下降，甚至出現(xiàn)錯(cuò)誤?提示詞注入：攻擊者向AI應(yīng)用的輸入框中注入惡意提示詞，導(dǎo)致應(yīng)用執(zhí)行惡意操作或泄露敏感信息。例如，攻?操作建議：選擇合適的對(duì)抗樣本生成技術(shù)：根據(jù)模型的類型和應(yīng)用場(chǎng)景，選擇合適的對(duì)抗樣本生成技術(shù)，例如?測(cè)試模型：使用生成的對(duì)抗樣本對(duì)模型進(jìn)行測(cè)?分析測(cè)試結(jié)果：分析測(cè)試結(jié)果，識(shí)別模型的薄弱環(huán)節(jié)，并采取相應(yīng)的措施進(jìn)行改進(jìn)，例如增加訓(xùn)練數(shù)據(jù)、改進(jìn)模例如，針對(duì)圖像識(shí)別模型，可以使用FGSM方法生成別為長(zhǎng)臂猿。通過(guò)測(cè)試模型在對(duì)抗樣本攻擊下的準(zhǔn)確率，可以評(píng)估模型的魯棒性，并針對(duì)性地進(jìn)行改進(jìn)，例如使用對(duì)抗訓(xùn)?操作建議：最小化模型暴露：僅將必要的模型功能暴露給用戶，例如通過(guò)API接口提供模型訪問(wèn)，而不是直接暴例如，對(duì)于一個(gè)在線翻譯模型，可以通過(guò)API接的用戶和權(quán)限。同時(shí)，可以對(duì)模型的代碼進(jìn)行混淆，例如使用代碼混淆工具對(duì)代碼進(jìn)行重命名、替換、插入等操作，增加?操作建議：制定審計(jì)計(jì)劃：制定詳細(xì)的模型安全審?選擇審計(jì)工具：選擇合適的模型安全審?分析審計(jì)結(jié)果：分析審計(jì)結(jié)果，識(shí)別模型例如，對(duì)一個(gè)推薦系統(tǒng)模型進(jìn)行安全審計(jì)，可以使用靜態(tài)代碼分析工具掃描模型代碼，發(fā)現(xiàn)代碼中存在的安全漏洞，例如SQL注入漏洞、跨站腳本攻擊漏洞等。同時(shí)，可以使用動(dòng)態(tài)測(cè)試工具模擬用戶行為，測(cè)試模?操作建議：身份驗(yàn)證：對(duì)用戶進(jìn)例如，對(duì)于AI模型的訓(xùn)練數(shù)據(jù)，可以設(shè)置訪問(wèn)權(quán)限，僅允許數(shù)據(jù)科學(xué)家和模型訓(xùn)練工程師訪問(wèn)數(shù)據(jù)。同時(shí)，可以對(duì)?操作建議：識(shí)別敏感數(shù)據(jù)：識(shí)?選擇脫敏方法：根據(jù)數(shù)據(jù)的類型和應(yīng)用場(chǎng)景，選?驗(yàn)證：對(duì)脫敏后的數(shù)據(jù)進(jìn)行驗(yàn)證例如，對(duì)于包含用戶姓名、地址、電話號(hào)碼等個(gè)人信息的訓(xùn)練數(shù)據(jù)，可以使用假名化技術(shù)對(duì)敏感信息進(jìn)行替換，例如?操作建議：制定審計(jì)計(jì)劃：制定詳細(xì)的代碼安全審?選擇審計(jì)工具：選擇合適的代碼安全審?分析審計(jì)結(jié)果：分析審計(jì)結(jié)果，識(shí)別代碼例如，對(duì)一個(gè)AI驅(qū)動(dòng)的聊天機(jī)器人應(yīng)用進(jìn)行代碼安全審計(jì)，可以使用靜態(tài)代碼分析工具掃描應(yīng)用代碼，發(fā)現(xiàn)代碼中存在的安全漏洞，例如跨站腳本攻擊漏洞、SQL注入漏洞等。同時(shí)，可以使用動(dòng)態(tài)測(cè)試工具模擬用戶行為，測(cè)試應(yīng)用是否?操作建議：選擇合適的漏洞掃描工具：根據(jù)應(yīng)用的類型和技術(shù)架構(gòu)，選擇合適的漏洞掃描工具，例如Web漏洞?配置掃描規(guī)則：根據(jù)應(yīng)用的安全需求?分析掃描結(jié)果：分析掃描結(jié)果，識(shí)別應(yīng)用在的安全漏洞，例如跨站腳本攻擊漏洞、SQL注入漏洞等。同時(shí)，可以對(duì)應(yīng)用的A?操作建議：制定測(cè)試計(jì)劃：制定詳細(xì)的安全測(cè)?選擇測(cè)試方法：根據(jù)應(yīng)用的安全需求，選擇合適的安全?分析測(cè)試結(jié)果：分析測(cè)試結(jié)果，識(shí)別應(yīng)用例如，對(duì)一個(gè)AI驅(qū)動(dòng)的自動(dòng)駕駛系統(tǒng)進(jìn)行安全測(cè)試，可以進(jìn)行滲透測(cè)試，模擬攻擊者對(duì)系統(tǒng)進(jìn)行攻擊，例如嘗試控制車輛的方向盤、剎車等，以發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。同時(shí)，可以進(jìn)行模糊測(cè)試，向系統(tǒng)發(fā)送大量的隨機(jī)數(shù)據(jù)，測(cè)試?yán)纾瑢I模型訓(xùn)練服務(wù)器與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，可以使用VLAN技術(shù)將服務(wù)器劃分到一個(gè)獨(dú)立的網(wǎng)絡(luò)區(qū)域，并通過(guò)防火墻限制對(duì)該區(qū)域的訪問(wèn)權(quán)限。同時(shí)，可以部署入侵檢測(cè)系統(tǒng)，監(jiān)控服務(wù)器的網(wǎng)絡(luò)流量，并及時(shí)發(fā)現(xiàn)異常情況，例如?操作建議：關(guān)閉不必要的端口和服務(wù)例如，對(duì)AI模型訓(xùn)練服務(wù)器進(jìn)行攻擊面收斂，可以關(guān)閉服務(wù)器上不必要的端口，例如Telnet、FTP等。同時(shí)，可以?監(jiān)控安全事件：監(jiān)控服務(wù)器上的安全事件第六章攻擊面管理成功案例分析該銀行為落實(shí)有關(guān)安全規(guī)劃建設(shè)目標(biāo)，進(jìn)一步滿足監(jiān)管相關(guān)要求，提升資產(chǎn)安全管理水平，完善安全策略有效性驗(yàn)證工作機(jī)制，增強(qiáng)互聯(lián)網(wǎng)安全監(jiān)測(cè)及處置質(zhì)效。擬開(kāi)展信息安全管理體系建設(shè)，建立統(tǒng)一安全管理中心，并開(kāi)展持續(xù)安全風(fēng)?資產(chǎn)管控難：缺乏互聯(lián)網(wǎng)資產(chǎn)暴露發(fā)現(xiàn)和管理手段，風(fēng)險(xiǎn)視角下現(xiàn)有科技資產(chǎn)的安全底賬覆蓋面不全，不能快速?漏洞管理復(fù)雜：沒(méi)有建立實(shí)時(shí)漏洞信息獲取和響應(yīng)機(jī)制，熱點(diǎn)漏洞與現(xiàn)有資產(chǎn)難以快速進(jìn)行關(guān)聯(lián)，未建立漏洞處?安全風(fēng)險(xiǎn)分散：不同工具和服務(wù)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)、問(wèn)題等分布在不同平臺(tái)，無(wú)法做到統(tǒng)一管理，導(dǎo)致安全風(fēng)險(xiǎn)難?知家底：建設(shè)內(nèi)外網(wǎng)IT資產(chǎn)、新媒體應(yīng)用服務(wù)、數(shù)字資產(chǎn)等多維度多數(shù)據(jù)來(lái)源的資產(chǎn)數(shù)據(jù)采集能力，建設(shè)安全?常態(tài)化：建立持續(xù)的威脅評(píng)估手段，結(jié)合情報(bào)和資產(chǎn)指紋對(duì)企業(yè)敏感服務(wù)、仿冒投毒、數(shù)據(jù)泄露、安全漏洞、配?重閉環(huán)：打通統(tǒng)一安全管理平臺(tái)與工單平臺(tái)的流程對(duì)接，形成處置流程，并且對(duì)處置結(jié)果與持續(xù)監(jiān)測(cè)/復(fù)測(cè)結(jié)果?構(gòu)建統(tǒng)一的安全管理平臺(tái)，整?在運(yùn)維管理區(qū)部署統(tǒng)一安全管理平臺(tái)，接入已有的漏洞掃描設(shè)備、被動(dòng)流量設(shè)備，接入互聯(lián)網(wǎng)攻擊面服務(wù)數(shù)據(jù)，接入行內(nèi)已有的第三方CMDB、OA數(shù)據(jù)、終端管控平臺(tái)數(shù)據(jù)，以及云控制器和SIME管理平臺(tái)等，建立?通過(guò)適配器實(shí)現(xiàn)對(duì)本地多種數(shù)據(jù)來(lái)源的輕量化識(shí)別和有效利用，通過(guò)搭建反向代理，可以安全地獲取云端SaaS服務(wù)數(shù)據(jù)；優(yōu)化現(xiàn)有風(fēng)險(xiǎn)管理流程，開(kāi)展風(fēng)險(xiǎn)生命周期統(tǒng)一管理運(yùn)營(yíng)，實(shí)現(xiàn)風(fēng)險(xiǎn)問(wèn)題流轉(zhuǎn)、轉(zhuǎn)派、驗(yàn)證，以及不?統(tǒng)一的安全管理平臺(tái)：該項(xiàng)目中通過(guò)平臺(tái)整合了行內(nèi)多種安全數(shù)據(jù)和工具，并補(bǔ)充了安全策略有效性驗(yàn)證環(huán)節(jié)工?攻擊面管理方法論：從攻擊者的視角來(lái)審視和管理企業(yè)的安全風(fēng)險(xiǎn)，指導(dǎo)安全運(yùn)營(yíng)人員聚焦關(guān)鍵風(fēng)險(xiǎn)，及時(shí)處置?安全運(yùn)營(yíng)機(jī)制：優(yōu)化行內(nèi)現(xiàn)有風(fēng)險(xiǎn)管理流程，建立了依托統(tǒng)一安全管理平臺(tái)的安全風(fēng)險(xiǎn)運(yùn)營(yíng)機(jī)制，實(shí)現(xiàn)了對(duì)安全?與現(xiàn)有安全產(chǎn)品的集成：將統(tǒng)一安全管理平臺(tái)與現(xiàn)有的安全產(chǎn)品進(jìn)行集成，例如漏洞掃描設(shè)備、CMDB、終端管?攻擊視角管理方法提升風(fēng)險(xiǎn)管理水平：通過(guò)匯總CMDB、終端平臺(tái)、互聯(lián)網(wǎng)測(cè)繪平臺(tái)、漏洞掃描工?策略有效驗(yàn)證提升安全防護(hù)能力：實(shí)現(xiàn)了多種維度實(shí)時(shí)風(fēng)險(xiǎn)發(fā)現(xiàn)的安全能力，快速響應(yīng)并處置潛結(jié)合業(yè)務(wù)現(xiàn)狀，配置合理的策略，形成風(fēng)險(xiǎn)優(yōu)先級(jí)修復(fù)的最優(yōu)解，以最低的修復(fù)成本，達(dá)到最優(yōu)的安全效果；對(duì)安全修復(fù)工作進(jìn)行有效性驗(yàn)證，確保修復(fù)工作達(dá)到預(yù)期；實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)泄露風(fēng)險(xiǎn)的監(jiān)控能力，提供關(guān)停和下架■安全牛評(píng)價(jià)：金融行業(yè)作為數(shù)字化轉(zhuǎn)型的先鋒，其IT架構(gòu)日趨復(fù)雜，混合云、移動(dòng)應(yīng)用、開(kāi)放API等新技術(shù)應(yīng)用廣泛，導(dǎo)致資產(chǎn)類型激增、邊界日益模糊，安全管理難度加大。同時(shí)，金融行業(yè)對(duì)數(shù)據(jù)安全和合規(guī)性要求極高，面臨的網(wǎng)絡(luò)攻擊也更加復(fù)雜和有針對(duì)性，任何安全漏洞和風(fēng)險(xiǎn)都可能導(dǎo)致嚴(yán)重的損失，例如資金損失、客戶信該方案的關(guān)鍵能力在于整合多種安全數(shù)據(jù)和工具，構(gòu)建統(tǒng)一的安全管理平臺(tái)，并采用攻擊面管理的思路，從攻擊者的方案的優(yōu)勢(shì)在于其針對(duì)性、創(chuàng)新性和可落地性。針對(duì)金融行業(yè)的需求和痛點(diǎn)，實(shí)現(xiàn)了對(duì)多維度資產(chǎn)的全面覆蓋、持續(xù)監(jiān)控和閉環(huán)管理，并從攻擊者的視角來(lái)審視和管理企業(yè)的安全風(fēng)該案例為其他金融機(jī)構(gòu)提供了參考經(jīng)驗(yàn)，特別是對(duì)于面臨類似挑戰(zhàn)的城商行和其他中小型金融機(jī)構(gòu)，具有一定借鑒意某新能源汽車控股集團(tuán)是全球汽車品牌組合價(jià)值排名前十的企業(yè)之一，致力于成為具有全球競(jìng)爭(zhēng)力和影響力的智能電?用戶信息和車聯(lián)網(wǎng)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)高：新能源汽車行業(yè)擁有大量的用戶信息和車聯(lián)網(wǎng)敏感數(shù)據(jù)，這些數(shù)據(jù)極易?影子資產(chǎn)缺乏納管能力：業(yè)務(wù)快速發(fā)展和擴(kuò)張導(dǎo)致影子資產(chǎn)數(shù)量激增，安全團(tuán)隊(duì)難以全面掌握和管理這些資產(chǎn)，?業(yè)務(wù)資產(chǎn)上線變更頻繁，缺乏有效監(jiān)測(cè)手段：頻繁的業(yè)務(wù)上線和變更導(dǎo)致互聯(lián)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)暴露面不斷變化，安全?新業(yè)態(tài)數(shù)字資產(chǎn)缺乏統(tǒng)一監(jiān)控和管理手段：小程序、API等新業(yè)態(tài)數(shù)字資產(chǎn)的興起，使得資產(chǎn)的數(shù)字化特征更加?安全漏洞情報(bào)預(yù)警能力不足：難以將漏洞情報(bào)與資產(chǎn)信息有效關(guān)聯(lián)，無(wú)法快速定位受影響資產(chǎn)，導(dǎo)致漏洞修復(fù)效?下屬機(jī)構(gòu)的風(fēng)險(xiǎn)難以綜合掌控：下屬機(jī)構(gòu)眾多，安全管理水平參差不齊，集團(tuán)難以全面掌控其安全風(fēng)險(xiǎn)，存在安?資產(chǎn)碎片化嚴(yán)重，安全運(yùn)營(yíng)缺乏統(tǒng)一平臺(tái)：多種安全工具和運(yùn)維工具并存，導(dǎo)致資產(chǎn)數(shù)據(jù)碎片化嚴(yán)重，安全運(yùn)營(yíng)?主動(dòng)資產(chǎn)發(fā)現(xiàn)和模糊關(guān)聯(lián)：平臺(tái)利用主動(dòng)掃描和模糊關(guān)聯(lián)技術(shù)，全面識(shí)別集團(tuán)及其子公司的互聯(lián)網(wǎng)資產(chǎn)，并進(jìn)行?影子資產(chǎn)監(jiān)測(cè)：通過(guò)關(guān)鍵字特征和關(guān)鍵圖案識(shí)別，平臺(tái)能夠?數(shù)據(jù)下架服務(wù)：魔方安全針對(duì)真實(shí)的敏感泄露事件提供數(shù)據(jù)下架服務(wù)，實(shí)現(xiàn)敏感信息泄露事件全生命周期的閉環(huán)?漏洞通報(bào)預(yù)警：通過(guò)微信群等?全網(wǎng)資產(chǎn)安全運(yùn)營(yíng)中心：平臺(tái)作為全網(wǎng)資產(chǎn)安全運(yùn)營(yíng)中心，通過(guò)掃描探針、流量探針和資產(chǎn)適配器，快速對(duì)接第?資產(chǎn)數(shù)據(jù)匯總和提純：平臺(tái)利用關(guān)聯(lián)清洗算法，實(shí)現(xiàn)全網(wǎng)資產(chǎn)信息的匯總和提純，并打通業(yè)務(wù)屬性與管理屬性，?資產(chǎn)標(biāo)簽化管理：平臺(tái)自動(dòng)對(duì)資產(chǎn)來(lái)源進(jìn)行標(biāo)簽化管理，有效對(duì)比分析第三方產(chǎn)品部署覆蓋度情況，洞察安全管?全面的資產(chǎn)發(fā)現(xiàn)能力：CSM平臺(tái)能夠發(fā)現(xiàn)各種類型的資產(chǎn)，包括傳統(tǒng)IT資產(chǎn)、影子資產(chǎn)和新業(yè)態(tài)數(shù)字資產(chǎn)，有?可視化的安全態(tài)勢(shì)感知：平臺(tái)提供直觀的可視化界面，幫助安全團(tuán)隊(duì)快速了解資產(chǎn)安全態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)安風(fēng)險(xiǎn)控制，有助于企業(yè)自動(dòng)發(fā)現(xiàn)全部的網(wǎng)絡(luò)IT資產(chǎn)，梳理暴露面，形成完整、及時(shí)更新的資產(chǎn)數(shù)據(jù)庫(kù)；網(wǎng)絡(luò)空間資?業(yè)務(wù)特征指紋，識(shí)別資產(chǎn)濫用行為，強(qiáng)化公司規(guī)范和要求?全網(wǎng)范圍排查影子資產(chǎn)，讓企業(yè)對(duì)■安全牛評(píng)價(jià)：新能源汽車行業(yè)作為新興產(chǎn)業(yè)，其業(yè)務(wù)模式和IT架構(gòu)都處于快速發(fā)展和變化之中，安全防護(hù)體系建設(shè)通常滯后于業(yè)務(wù)發(fā)展，面臨著數(shù)據(jù)泄露、供應(yīng)鏈攻擊、勒索軟件攻擊等多種安全威脅。同時(shí)，新能源汽車行業(yè)涉及大量的敏感數(shù)據(jù)，例如用戶信息、車聯(lián)網(wǎng)數(shù)據(jù)等，一旦發(fā)生數(shù)據(jù)泄露事件，將會(huì)對(duì)企業(yè)造成巨大的全運(yùn)營(yíng)，實(shí)現(xiàn)對(duì)攻擊面的持續(xù)監(jiān)控和及時(shí)響應(yīng)。方案的優(yōu)勢(shì)在于針對(duì)新能源汽車行業(yè)的特殊需求和痛點(diǎn)，實(shí)現(xiàn)了對(duì)多維度資產(chǎn)的全面覆蓋、持續(xù)監(jiān)控和閉環(huán)管理，覆蓋了EASM和CAASM兩種場(chǎng) 某科技集團(tuán)企業(yè)是一家綜合解決方案服務(wù)提供商，涉及軟件開(kāi)發(fā)、系統(tǒng)運(yùn)維和系統(tǒng)集成等領(lǐng)域，擁有30余家全資控股公司。該集團(tuán)主要為金融、運(yùn)營(yíng)商和政府客戶提供綜合解決方案，具有一定行業(yè)影響力。近期接監(jiān)管單位通知，其備案網(wǎng)站被篡改為不良網(wǎng)站，且公共存儲(chǔ)空間中存在大量敏感信息。該事件引起了內(nèi)部高層的高度關(guān)注，迫切需要采取措施以?敏感數(shù)據(jù)保護(hù)：公共存儲(chǔ)空間中敏感信息的泄?合規(guī)性問(wèn)題：金融和政府客戶對(duì)數(shù)據(jù)安全有嚴(yán)格要求?數(shù)據(jù)安全工作未落實(shí)：集團(tuán)早已推行數(shù)據(jù)安全管理，但是見(jiàn)效慢，如何快速讓數(shù)據(jù)安全見(jiàn)效利用亞信安全星?！ね獠抗裘婀芾砥脚_(tái)，每月針對(duì)其自身互聯(lián)網(wǎng)資產(chǎn)及數(shù)據(jù)泄露情況進(jìn)行持續(xù)探測(cè)。?暴露面梳理：基于亞信安全外部攻擊面管理服務(wù)，對(duì)主機(jī)類資產(chǎn)、web類資產(chǎn)、公眾號(hào)、小程序等暴?針對(duì)于互聯(lián)網(wǎng)暴露資產(chǎn)發(fā)現(xiàn)：未授權(quán)訪問(wèn)、測(cè)試資產(chǎn)暴露、弱口令、釣魚(yú)仿冒、影子資產(chǎn)等大量資產(chǎn)風(fēng)險(xiǎn)?針對(duì)于數(shù)據(jù)泄露情況，在網(wǎng)盤、文庫(kù)、代碼托管平臺(tái)發(fā)現(xiàn)大量項(xiàng)目信息?數(shù)據(jù)閉環(huán)治理：針對(duì)于異常數(shù)據(jù)，提供數(shù)據(jù)下架服務(wù)，完成數(shù)據(jù)閉環(huán)治理?降本增效，高效高質(zhì)：降低人工成本，通過(guò)自動(dòng)化能力，摸清家底，發(fā)現(xiàn)風(fēng)險(xiǎn)，持續(xù)提升運(yùn)營(yíng)效率■安全牛評(píng)價(jià)：亞信安全的外部攻擊面管理解決方案通過(guò)自動(dòng)化風(fēng)險(xiǎn)評(píng)估和專家驗(yàn)證相結(jié)合的方式，不僅能夠幫助企業(yè)識(shí)別和管理互 降低人工成本，提高資產(chǎn)摸排及滲透測(cè)試效率。該案例為其他科技服務(wù)企業(yè)提供了參考經(jīng)驗(yàn)，特別是對(duì)于面臨類似挑戰(zhàn)的險(xiǎn)較高。隨著數(shù)字化轉(zhuǎn)型的深入，該金融公司面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。尤其是在近年來(lái)，外部攻擊面不斷擴(kuò)大，高?影子資產(chǎn)管理難:由于機(jī)構(gòu)眾多，歷史遺留問(wèn)題突出，存在大量未納入管理的“影子資產(chǎn)”，難以全面掌握資產(chǎn)?合規(guī)壓力大:金融行業(yè)監(jiān)管嚴(yán)格，需要滿足各種安全合規(guī)要求，例如“兩高一弱”、勒索軟件防護(hù)等，但由于缺?人員安全意識(shí)薄弱:員工安全意識(shí)不足，容易遭受釣魚(yú)攻擊等社會(huì)工程學(xué)攻擊，尤其是在當(dāng)前地緣政治風(fēng)險(xiǎn)加劇?供應(yīng)商安全風(fēng)險(xiǎn)管理難:對(duì)供應(yīng)商的安全評(píng)估和管理不足，難以有效識(shí)別和控制供應(yīng)鏈安全風(fēng)險(xiǎn)，容易遭受來(lái)自◎項(xiàng)目目標(biāo):?建立全面的外部攻擊面管理體系，?項(xiàng)目需求:?項(xiàng)目實(shí)施內(nèi)容:?聯(lián)合ASBAS評(píng)估組織整體防護(hù)能力、防釣魚(yú)意識(shí)水平聯(lián)動(dòng)攻鑒系統(tǒng)，評(píng)估邊界安全設(shè)備的防護(hù)能力，并對(duì)泄露?監(jiān)控供應(yīng)商風(fēng)險(xiǎn)情報(bào)，即時(shí)預(yù)警供應(yīng)商風(fēng)險(xiǎn)通過(guò)覓影平臺(tái)評(píng)估供應(yīng)商風(fēng)險(xiǎn)評(píng)分，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告，用于供應(yīng)商?信息泄露多渠道監(jiān)控，提供下架閉環(huán)服務(wù)針對(duì)泄露在公開(kāi)文庫(kù)、網(wǎng)盤、代碼倉(cāng)庫(kù)的文件/文件夾，提供從平臺(tái)下安全團(tuán)隊(duì)通過(guò)內(nèi)置“兩高一弱、弱口令、勒索專項(xiàng)”合規(guī)模板，可以快速掃描，快速確定影響面并生成專業(yè)報(bào)告。也安全團(tuán)隊(duì)根據(jù)覓影平臺(tái)提供的泄露郵箱下發(fā)釣魚(yú)郵件，評(píng)估泄露郵箱的人員安全意識(shí)水平，針對(duì)性開(kāi)展防釣魚(yú)培訓(xùn)及歐盟的《網(wǎng)絡(luò)彈性法案》要求供應(yīng)商主動(dòng)披露漏洞，但僅要求供應(yīng)商向監(jiān)管單位披露漏洞需要在24小時(shí)內(nèi)，但是要■安全牛評(píng)價(jià)：業(yè)在安全防護(hù)方面面臨巨大壓力。尤其是在“影子資產(chǎn)”管理、安全合規(guī)檢查、人員安全意識(shí)提升、邊界安全防護(hù)能力評(píng)估和供應(yīng)商安全風(fēng)險(xiǎn)控制等方面，傳統(tǒng)安全手段和工具難以有效應(yīng)對(duì)，亟需有效的解決方案來(lái)解決這些痛點(diǎn)。方案的優(yōu)勢(shì)助金融機(jī)構(gòu)有效提升安全防護(hù)能力和安全運(yùn)營(yíng)效率，具有較強(qiáng)的創(chuàng)新性和先進(jìn)性。該案例對(duì)其他行業(yè)，特別是同樣面臨嚴(yán)第七章國(guó)內(nèi)外攻擊面管理技術(shù)研究國(guó)外技術(shù)發(fā)展較為成熟，產(chǎn)品功能完善，部分產(chǎn)品已融入AI技術(shù)并支持云原生環(huán)境。國(guó)內(nèi)技術(shù)發(fā)展較晚，但近年來(lái)發(fā)展迅速，市場(chǎng)規(guī)模不斷擴(kuò)大，產(chǎn)品不斷涌現(xiàn)，并與云安全、零信任架構(gòu)等技術(shù)融合發(fā)展。國(guó)內(nèi)企業(yè)在攻擊面管理產(chǎn)品應(yīng)7.1國(guó)外攻擊面管理技術(shù)現(xiàn)狀近年來(lái)，隨著云計(jì)算、移動(dòng)辦公、物聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用，企業(yè)攻擊面迅速擴(kuò)張，傳統(tǒng)的邊界安全防御手段已不足以應(yīng)對(duì)日益復(fù)雜的安全挑戰(zhàn)。國(guó)外攻擊面管理技術(shù)在這一背景下不斷發(fā)展演進(jìn)，以應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。主要過(guò)去，攻擊面管理主要關(guān)注外部攻擊面，即面向互聯(lián)網(wǎng)的資產(chǎn)和服務(wù)。例如，外部攻擊面管理（EASM）工具主要用于發(fā)現(xiàn)未知的外部資產(chǎn)、評(píng)估其風(fēng)險(xiǎn)敞口并提供修復(fù)建議。然而，隨著企業(yè)IT架構(gòu)日益復(fù)雜，內(nèi)部攻擊面的安全問(wèn)題也日益凸顯。因此，攻擊面管理正從外部轉(zhuǎn)向全面，擴(kuò)展到內(nèi)部攻擊面、云攻擊面、物聯(lián)網(wǎng)攻擊面等，涵蓋了企業(yè)所有的數(shù)字評(píng)估和威脅情報(bào)功能來(lái)識(shí)別和評(píng)估風(fēng)險(xiǎn)。Tenable的Nessus和SecurityC早期的攻擊面管理主要依賴于靜態(tài)分析，例如漏洞掃描、配置檢查等，例如定期對(duì)服務(wù)器進(jìn)行漏洞掃描，檢查系統(tǒng)配置是否符合安全基線等。由于高級(jí)持續(xù)性威脅（APT）攻擊的增多，攻擊技術(shù)和手法不斷更新，靜態(tài)分析方法難以發(fā)現(xiàn)動(dòng)例如攻擊路徑分析、入侵和攻擊模擬等，以便更全面地識(shí)別和評(píng)估風(fēng)險(xiǎn)，例如模擬攻擊者對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊，并分析攻例如，Randori的攻擊面管理平臺(tái)可以模擬攻擊者的行為，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊模擬，并評(píng)估攻擊成功的可能性，從傳統(tǒng)的攻擊面管理通常是一個(gè)靜態(tài)的過(guò)程，而持續(xù)威脅暴露管理（CTEM）則強(qiáng)調(diào)持續(xù)監(jiān)控和管理攻擊面，CTEM是一個(gè)循環(huán)的過(guò)程，包括五個(gè)階段：范圍界定、發(fā)現(xiàn)、優(yōu)先級(jí)排序、驗(yàn)證和行動(dòng)，CTEM的目標(biāo)是幫助組織持續(xù)改進(jìn)其安全早期的攻擊面管理是孤立的，與其他安全產(chǎn)品和流程缺乏聯(lián)動(dòng)，例如攻擊面管理平臺(tái)與SOC、SIEM等平臺(tái)之間的數(shù)7.2國(guó)內(nèi)攻擊面管理技術(shù)現(xiàn)狀攻擊面管理正在經(jīng)歷從外部到內(nèi)外兼顧、從單點(diǎn)產(chǎn)品到平臺(tái)化解決方案、從通用場(chǎng)景到行業(yè)深耕的轉(zhuǎn)變。同時(shí)，網(wǎng)絡(luò)資產(chǎn)管理更加重視數(shù)據(jù)治理和準(zhǔn)確性，外部攻擊面管理也更加注重?cái)?shù)據(jù)的準(zhǔn)確性和漏洞發(fā)現(xiàn)能力。此外，攻擊面管理的驅(qū)動(dòng)力也從合規(guī)驅(qū)動(dòng)轉(zhuǎn)向驗(yàn)證驅(qū)動(dòng)，更加注重安全體系的有效性驗(yàn)證。最終，攻擊面管理的核心理念正在從以資產(chǎn)為中心轉(zhuǎn)早期的攻擊面管理主要關(guān)注外部攻擊面，即暴露在互聯(lián)網(wǎng)上的資產(chǎn)和漏洞。由于越來(lái)越多的攻擊者利用內(nèi)網(wǎng)漏洞和弱點(diǎn)進(jìn)行攻擊，用戶意識(shí)到內(nèi)網(wǎng)資產(chǎn)通常比外網(wǎng)資產(chǎn)更加敏感，一旦被攻擊，造成的損失更加嚴(yán)重。攻擊面管理從關(guān)注互聯(lián)例如，綠盟提供的CTEM解決方案，融合內(nèi)外部數(shù)據(jù)對(duì)整體攻擊面進(jìn)行統(tǒng)一管理，亞信安全和知道創(chuàng)宇計(jì)劃未來(lái)將攻擊模擬等其他安全產(chǎn)品進(jìn)行集成，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的全面管理，未來(lái)還將提供實(shí)時(shí)監(jiān)測(cè)和預(yù)警功能，幫助用戶進(jìn)行持續(xù)的安為用戶提供一站式的攻擊面管理解決方案。知其安網(wǎng)絡(luò)攻擊面管理平臺(tái)將融合后的資產(chǎn)數(shù)據(jù)輸出給其他安全平臺(tái)進(jìn)行安全網(wǎng)絡(luò)資產(chǎn)管理CAASM的資產(chǎn)可以通過(guò)各種設(shè)備獲取到較多的數(shù)據(jù)，但是數(shù)據(jù)存在數(shù)據(jù)缺失、資大部分廠商的產(chǎn)品都可以實(shí)現(xiàn)全面地發(fā)現(xiàn)企業(yè)未知的影子資產(chǎn)、泄露數(shù)據(jù)等。主要差異化現(xiàn)在表現(xiàn)為外部資產(chǎn)的準(zhǔn)確例如，亞信安全采用重復(fù)核對(duì)，保證互聯(lián)網(wǎng)資產(chǎn)數(shù)據(jù)的準(zhǔn)確性；綠盟和亞信提供幾小時(shí)內(nèi)的快速下架服務(wù)，方便用戶攻擊面風(fēng)險(xiǎn)運(yùn)營(yíng)是指以攻擊者視角，持續(xù)識(shí)別、評(píng)估和管理企業(yè)網(wǎng)絡(luò)暴露面的風(fēng)險(xiǎn)，并通過(guò)有效手段降低安全風(fēng)險(xiǎn)，提升安全防護(hù)水平。主要驅(qū)動(dòng)是安全威脅態(tài)勢(shì)的嚴(yán)峻性、網(wǎng)絡(luò)暴露面的不斷擴(kuò)大、合規(guī)壓力的增加等。攻擊面風(fēng)險(xiǎn)運(yùn)營(yíng)平臺(tái)通過(guò)融合EASM、CAASM，并集成其他多種安全產(chǎn)品，例如漏洞掃描器、威脅情報(bào)平臺(tái)、攻擊模擬工具、安全運(yùn)營(yíng)中心并與其他安全技術(shù)進(jìn)行更深度的融合。為客戶提供持續(xù)的泛資產(chǎn)識(shí)別、威脅評(píng)估和有效性驗(yàn)證、可落地的威脅管理機(jī)制、全局視角的運(yùn)營(yíng)度量和安全態(tài)勢(shì)的攻擊早期的企業(yè)主要是開(kāi)展合規(guī)建設(shè)，攻擊面管理產(chǎn)品主要是面對(duì)滿足合規(guī)要求的資產(chǎn)梳理和合規(guī)檢查。隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度提升，攻擊演練頻繁，攻擊手段和攻擊目標(biāo)不斷變化，企業(yè)的安全需要轉(zhuǎn)變?yōu)橐詫?shí)戰(zhàn)對(duì)抗為目標(biāo)，更加注隨著全球供應(yīng)鏈的復(fù)雜性增加，廠商開(kāi)始重視廠商供應(yīng)鏈的安全性和穩(wěn)定性，有助于確保供應(yīng)鏈的透明度和安全性，同時(shí)提高供應(yīng)鏈的韌性和響應(yīng)能力，以應(yīng)對(duì)潛在的供應(yīng)鏈打擊。目前主要應(yīng)例如，知道創(chuàng)宇通過(guò)利用情報(bào)監(jiān)控技術(shù)，對(duì)廠商供應(yīng)鏈進(jìn)行實(shí)時(shí)監(jiān)控，以預(yù)防和應(yīng)對(duì)供應(yīng)鏈中的安全威脅。矢安科技7.3國(guó)內(nèi)外攻擊面管理技術(shù)差距分析國(guó)內(nèi)攻擊面管理技術(shù)與國(guó)外相比，在產(chǎn)品成熟度、功能完善性和智能化程度方面存在一定差距。國(guó)內(nèi)廠商的產(chǎn)品在自動(dòng)化、智能化、攻擊路徑分析和入侵模擬等方面還有待提升。建議國(guó)內(nèi)用戶選擇攻擊面管理產(chǎn)品時(shí)，優(yōu)先考慮功能完善、Randori等，其攻擊面管理產(chǎn)品功能完善，能夠提供全面的攻擊面管理能力。國(guó)內(nèi)廠商的攻擊面管理產(chǎn)品在功能和性能方（2）產(chǎn)品功能完善度：相比國(guó)外，國(guó)內(nèi)攻擊面管理產(chǎn)品功能相對(duì)單一，部分產(chǎn)品的功能還不夠完善。例如，國(guó)外廠商的攻擊面管理產(chǎn)品大多能夠提供更精確的攻擊路徑分析和入侵模擬功能，例如，Randori的攻擊面管理平臺(tái)可以模擬攻擊者的行為，對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊模擬，并評(píng)估攻擊成功的可能性，從而識(shí)別高風(fēng)險(xiǎn)資產(chǎn)和漏洞。而國(guó)內(nèi)廠商的攻擊面管（3）智能化程度：國(guó)外攻擊面管理產(chǎn)品在AI技術(shù)深度還有待提升。例如，CrowdStrike的7.4國(guó)內(nèi)攻擊面管理未來(lái)發(fā)展趨勢(shì)安全牛預(yù)測(cè)，未來(lái)的攻擊面管理將更加自動(dòng)化、智能化、云原生化，并與企業(yè)的安全運(yùn)營(yíng)和業(yè)務(wù)風(fēng)險(xiǎn)管理流程更緊密自動(dòng)化和人工智能(AI)的深入應(yīng)用。隨著AI人工智能技術(shù)和自動(dòng)化技術(shù)的發(fā)展，自動(dòng)化和人工智能應(yīng)用將在自動(dòng)化基于風(fēng)險(xiǎn)的攻擊面管理。攻擊面管理將從單純的資產(chǎn)發(fā)現(xiàn)和枚舉，轉(zhuǎn)變?yōu)榛陲L(fēng)險(xiǎn)的管理，更加關(guān)注對(duì)業(yè)務(wù)造成實(shí)際影響的風(fēng)險(xiǎn)。攻擊面管理工具將提供更精細(xì)的風(fēng)險(xiǎn)量化功能，幫助企業(yè)評(píng)估不同攻擊路徑的風(fēng)險(xiǎn)等級(jí)，并制定相應(yīng)的緩解主動(dòng)式攻擊面管理。攻擊面管理工具將提供攻擊全路徑模擬功能，幫助安全團(tuán)隊(duì)識(shí)別潛在供應(yīng)商安全受到關(guān)注。隨著全球供應(yīng)鏈的復(fù)雜性增加，供應(yīng)鏈攻擊日益增多，給企業(yè)帶來(lái)巨大風(fēng)，未來(lái)供應(yīng)鏈安全將云原生攻擊面管理興起。隨著云計(jì)算的普及，云原生攻擊面管理技術(shù)應(yīng)運(yùn)而生，將更好地支持云原生環(huán)境，例如，提第八章攻擊面管理廠商推薦選擇合適的攻擊面管理產(chǎn)品需要考慮市場(chǎng)表現(xiàn)、產(chǎn)品技術(shù)能力、技術(shù)創(chuàng)新能力、運(yùn)營(yíng)管理能力和服務(wù)與支持能力等關(guān)鍵指標(biāo)。本報(bào)告推薦了十家具有代表性的廠商，并詳細(xì)介紹了它們的產(chǎn)品特點(diǎn)、優(yōu)勢(shì)和推薦理由，為企業(yè)選擇合適的解決報(bào)告從品牌影響力、市場(chǎng)表現(xiàn)、產(chǎn)品技術(shù)能力、產(chǎn)品創(chuàng)新能力、管理與服務(wù)五大能力維度，對(duì)當(dāng)前國(guó)內(nèi)新一代攻擊面北京華順信安信息技術(shù)有限公司（以下簡(jiǎn)稱“華順信安”）成立于2015年，北京華順信安科技有限公司是一家以網(wǎng)◆典型產(chǎn)品介紹?明見(jiàn)·FORadar，互聯(lián)網(wǎng)資產(chǎn)攻疑似資產(chǎn)、威脅資產(chǎn)、資產(chǎn)漏洞、數(shù)據(jù)泄露等問(wèn)題，挖掘客戶暴露在互聯(lián)網(wǎng)側(cè)的未知資產(chǎn)，以攻擊者視角洞悉資?FOBrain，網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺(tái)，以攻擊者視角聚焦企業(yè)網(wǎng)絡(luò)空間資產(chǎn)，幫助客戶全面掌握資產(chǎn)動(dòng)態(tài)、洞察資產(chǎn)風(fēng)險(xiǎn)，以攻促防，從攻防實(shí)戰(zhàn)的角度審視安全防御體系，梳理企業(yè)的攻擊面，構(gòu)建實(shí)戰(zhàn)化、一體化的攻擊面◆推薦理由◆適合場(chǎng)景北京華云安信息技術(shù)有限公司（以下簡(jiǎn)稱“華云安”）成立于2019年，致力于構(gòu)建人工智能驅(qū)動(dòng)的下一代網(wǎng)絡(luò)安全防御體系，構(gòu)建面向未來(lái)的智能化防御整體解決方案。自成立以來(lái)，陸續(xù)發(fā)布了靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)（Ai.Vul）、靈刃·智能滲透與攻擊模擬系統(tǒng)（Ai.Bot）、及靈知·互聯(lián)網(wǎng)情報(bào)監(jiān)測(cè)預(yù)警中心（Ai.Radar）等核心產(chǎn)品；2023年，公司繼續(xù)深化安全驗(yàn)證產(chǎn)品與服務(wù)體系，構(gòu)建了包括攻擊面管