2021年7月，全球權威IT研究顧問機構Gartner發布了《2021安全運營技術成熟度曲線》（《Hype Cycle for Security Operations, 2021》），將攻擊面管理（Attack Surface Management, ASM）相關技術定義為新興技術。早在2018年Gartner就已經提出攻擊面的概念，并將攻擊面納為整體網絡安全風險管理計劃的一部分。

從最初提出概念到當下的重要新興技術，攻擊面管理已經經歷三年多的概念演進。但是到目前為止，攻擊面并無統一定義，業內一般認為，攻擊面（Attack Surface）也稱為攻擊表面、外部攻擊面（External Attack Surface）或數字攻擊面（Digital Attack Surface），是所有網絡資產中外部可利用性的總和。

從過去的實踐來看，企業網絡資產安全的攻擊面可以簡單理解為可被利用的漏洞總和，更準確的說法是「未經授權即能訪問和利用企業資產的所有可能入口的總和」，包括未經授權的可訪問的硬件、軟件和云等IT系統，同樣也包括人、業務流程等。隨著信息化、云化的發展，以及不斷深入的數字化進程，企業網絡攻擊面管理已是新一代網絡安全防御體系的必然選擇。

攻擊面管理的核心是攻擊者視角

隨著國家級攻防演練活動的深入，在攻防博弈中，攻擊面往往成為攻守易勢的關鍵。在Gartner報告中，網絡資產攻擊面管理 （Cyber Assets Attack Surface Management, CAASM）用于解決持續資產可見性和漏洞問題。外部攻擊面管理 （External Attack Surface Management, EASM）是從外部攻擊者視角對組織的攻擊面進行持續發現、清點、分類、優先級排序和監控的整個過程。無論是CAASM還是EASM，當下的攻擊面管理已經不僅僅關注已知的資產漏洞，也包括未知資產（隱匿資產、老化資產、影子資產）、泄漏數據、流氓資產（釣魚、仿冒網站）和供應商（包括開源組件等）資產等。

攻擊面管理（ASM）是一種從攻擊者的角度對企業網絡攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法，其最大特性就是以外部視角來審視企業網絡資產可能存在的攻擊面及脆弱性，重點關注邊界處存在可被利用的攻擊可能性，強調整個企業資產可能存在的脆弱性，而不僅僅是已知資產和已知漏洞。通過外部攻擊者視角來審視資產安全性的方式，安全團隊更易于發現資產存在可能被攻擊的弱點，從而根據資產的重要性和風險的優先級對資產進行修復。通過攻擊面管理的持續監控能力，可以持續發現資產漏洞和潛在風險。

由于ASM的獨特視角而體現出的系統風險的管控能力，已經越來越受到安全團隊的重視。尤其是近年來，隨著越來越多的勒索軟件 (Ransomware ) 和供應鏈攻擊（Supply Chain Attack, SCA）的出現，傳統的資產漏洞管理方式難以起到真正的作用，而更加全面的攻擊面管理已經成為新一代的資產漏洞完整應對方案，所以 Gartner 等分析機構都建議將ASM作為安全團隊的網絡安全防御體系的優先事項。

攻擊面管理不僅僅關注已知資產

網絡資產漏洞管理是已經成為企業安全管理的核心內容。傳統的資產漏洞安全管理通過對網絡資產進行清點、分析、監視等相應的安全行動，保證企業網絡資產的安全。然而，目前主流的資產漏洞管理方法普遍針對已知資產進行管理，管理的范圍和內容是相對明確的。

事實上，一般企業的網絡資產不僅有已知資產，還包括未知資產、流氓資產和供應商資產，它們組成了完整的企業網絡資產，相互聯系作用、共同影響和決定企業的資產安全性。

因此，傳統的資產漏洞管理方式局限性在于對于未知資產、流氓資產和供應商資產缺少系統有效的監控和管理，難以避免上述資產對企業整體網絡安全性造成的影響，也就無法形成對企業資產的全面保護。根據歷年的攻防演習的成果來看，真正造成影響的網絡攻擊，恰恰是由上述資產造成的。ASM的提出與發展正是對當前情況的思考和探索，解決的核心痛點就是對未知風險管制，尤其是未知攻擊面的全面發現、實時監視與及時預警。

舉例來說，在未知資產中，影子資產是備受關注的一項內容。根據Gartner分析師Simon Mingay定義，影子資產包括“在正式IT組織的正式控制之外對IT解決方案進行收購、開發或運營的資產”。影子資產危險在于未知和不可預見的威脅。近年來，影子資產已經被視為主要的安全風險，越來越多的安全團隊對影子資產的重視程度不斷提高，消除這些未知資產對于降低威脅甚至更加重要。傳統的滲透測試和紅隊測試雖然可以洞察攻擊者的角度，但偵察和攻擊通常是在受控環境中或針對IT環境的特定方面發起，所以大多數環境的變化和擴展性使漏洞不易被注意，而當漏洞和漏洞利用被披露時，安全團隊必須比攻擊者行動得更快，而這只有持續繪制攻擊面才有可能被實現。所以，企業借助ASM可以快速關閉影子IT資產、未知和孤立的應用程序、暴露的數據庫和API，以及其他潛在的入口，以緩解出現的任何威脅。

攻擊面管理更關注持續監控的能力

一般來說，常規的漏洞評估方法主要通過檢測、分析、預警、處置這樣的方法對資產漏洞進行安全管理。ASM更強調在此之后的持續監控，從而形成了完整資產漏洞安全管理閉環。華云安認為，ASM持續監控的本質，是對具有風險的攻擊面進行特別關注，持續跟蹤，并對數據進行分析對比，從而保證企業資產的長期安全可靠。

由于現實中的網絡攻擊往往是連續的、持久的、體系化的，所以少量的漏洞封堵無法從根本上規避企業資產的網絡風險，況且漏洞并不是全部的攻擊面：

1）漏洞直接作用的攻擊面，漏洞直接作用的攻擊面往往是傳統管理方法的重點，通過補丁更新、版本升級等方式修改系統漏洞；

2）與漏洞相關的攻擊面，由于漏洞作用的攻擊面通常不止漏洞本身，往往與漏洞相關攻擊面也會受到牽連，因此對漏洞相關面的持續監控是ASM的主要監控內容；

3）與攻擊面相關的資產，受漏洞影響的攻擊面相關資產，往往是黑客攻擊的主要目標，需要通過持續跟蹤實現對資產的安全保護。

ASM通過強調持續跟蹤，實現資產安全的閉環管理，為企業提供了更加有力的安全保障。

結語

綜上撰述，攻擊面管理將安全思維從被動防御重新調整為主動攻擊，這使安全團隊能夠更好地確定攻擊面的優先級，從而進一步有效地提高企業安全防御能力。

攻擊面管理作為網絡安全未來發展的重要方向之一，越來越受到安全團隊的重視。攻擊面管理的核心內容是以外部視角對企業的資產進行風險管控，從而實現對攻擊面的全面管理，降低企業在各類活動中的受到攻擊的幾率。

因為“難攻”，所以部署后必然“易守”。