2022网络安全运营技术峰会召开，赛迪顾问发布《中国攻击面管理市场白皮书》

云栖网：5月6日，主题为“数字时代，安全从攻击面管理开始”的2022网络安全运营技术峰会（简称SecOps 2022）以云峰会形式召开。会议主要围绕数字时代安全运营技术趋势、攻击面管理研究与实践等热点议题展开讨论。在会议中，咨询机构赛迪顾问发布了《中国攻击面管理市场白皮书》（以下简称白皮书），同时多位关注攻击面管理的嘉宾也就此话题进行了分享。

据介绍，《中国攻击面管理市场白皮书》是国内网络安全领域首份就攻击面管理方向发布的白皮书。内容方面，白皮书剖析了中国攻击面管理技术发展现状，分享了攻击面管理领域的创新技术和典型应用场景，并对攻击面管理未来发展趋势进行预测。

白皮书指出，攻击面管理（ASM）是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容。

攻击面管理，最早由国际知名咨询机构Gartner于2018年首次提出。在2021年7月，Gartner将攻击面管理相关技术定义为网络安全运营技术中的新兴技术。Gartner认为攻击面管理由网络资产攻击面管理（CAASM）、外部攻击面管理（EASM）以及数字风险保护（DRPS）三部分组成。赛迪顾问本次发布的白皮书基于应用场景的维度，将攻击面管理分为外部视角的攻击面管理和内部视角的攻击面管理，数字风险保护依据其外延与内核归属为外部视角的攻击面管理。

其中，外部视角的攻击面管理主要关注外部资产，使用一系列来源和方法来扫描全球的互联网,寻找其面向外部的资产暴露面，并且对这种资产暴露面进行可视化。而内部视角的攻击面管理关注企业数字化资产，发现功能主要通过与现有工具的API集成来工作，依赖于其他已部署的技术作为上下文，并富化从这些技术中提取的数据，以提供组织资产库存的整体视图。

二者区别与联系

在白皮书中，赛迪顾问将攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景三层。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

攻击面管理的框架体系

并且，在白皮书中建立了攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

此外，白皮书对于攻击面管理的未来市场和技术的发展趋势进行了预测。白皮书指出，在未来一段时间内，攻击面管理将从传统场景扩展到新兴技术领域，将与业务风险管理融为一体；供应链和第三方风险管理将成为攻击面管理的重要组成部分；自动化、智能化技术在攻击面管理产品中得到广泛应用。

另外在会议中，北京赛博英杰科技有限公司创始人兼董事长谭晓生、北京华云安信息技术有限公司创始人兼CEO沈传宝、PCSA安全能力者联盟首席专家郭峰、北京零零信安科技有限公司创始人兼CEO王宇等也针对攻击面管理展开讨论。

以下是他们观点的精选部分，供读者参考：

北京赛博英杰科技有限公司创始人兼董事长谭晓生：近十年来网络安全思想、技术、产品、服务形态也处于快速发展中，中国网络安全正在经历从重建设到建设与运营并重的转变，在《2022年数说安全网络安全全景图新增产品类别》中，偏运营属性的产品占据绝大多数，其中就包括攻击面管理（ASM）、安全运营MDR/MSS、安全访问服务边缘（SASE）等。在数字化加速转型的今天，网络安全运营是提高网络安全防御能力的必然之选。

中国信息协会信息安全专业委员会攻防与应急工作部秘书长、北京华云安信息技术有限公司创始人兼CEO沈传宝：随着数字技术的发展和数字安全方案的演进，「对抗型防御」一定是下一代安全防御体系的演进方向。攻击面管理既是「对抗型防御」防御理念落地实践，也是网络安全运营技术的发展趋势。

数字时代需要数字安全，华云安提出以攻击者视角构建涵盖数字资产管理、自动化测试、优先级评估、情报预警、快速处置五个步骤的完整攻击者视角的攻击面管理闭环。华云安攻击面管理重新定义了数字化时代的资产管理、漏洞管理、情报协同和响应处置。我们认为，攻击面管理是数字安全的基础能力，也就是安全运营的基石。

PCSA安全能力者联盟首席专家郭峰：体系化对抗和系统性风险已经是数字安全时代的新背景，安全从合规走向实战过程中，最重要的一关就是体系合成和运转，不再依靠人工、手工临时应对，需要具备敏捷、迭代、弹性、可扩展、一体化的管理和技术IT 信息化支撑平台。因此，数字化组织需要构建有效落地的网络安全一体化防御体系，实现数字化组织“看管监控”一体化的安全中枢。关于安全中枢的持续打造，需要在实现“资产清晰化、风险动态化、能力生态化”的基础上，满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全监管一体化。

北京零零信安科技有限公司创始人兼CEO王宇：近年网络攻击呈现组织化、团队化、立体化趋势。网络攻击早已从漏洞、口令等技术手段逐渐演变成基于组织机构数字暴露面的通用漏洞、事件型0day、移动端应用/APK攻击、API攻击、文档和文件泄露、企业敏感信息泄露、勒索软件攻击、电子凭证攻击、供应链攻击、社工库攻击等为一体的综合型攻击工程。

在此背景下，堆叠的刚性防御体系不足以保护企业内部安全，外部攻击面管理（EASM）也因此应运而生。外部攻击面管理（EASM）提倡以攻击者视角，正面对抗实战型立体攻击。未来EASM会向两个方向演进：渗透测试即服务，以及扩展威胁情报。