当前位置：首页 > news >正文

【安全运营】关于攻击面管理相关概念的梳理（一）

news 来源：原创 2025/7/5 8:30:35

- 一、ASM 介绍
- - ASM 是“Attack Surface Management”（攻击面管理）的缩写【框架视角，广义概念】
  - - 1. 介绍
    - 2. 兴起的原因
    - 3. 工作流程
    - - 3.1 资产发现
      - 3.2 分类和优先级排序
      - 3.3 修复
      - 3.4 监控
- 二、EASM 介绍
- - EASM 是 "External Attack Surface Management"（外部攻击面管理）的缩写
  - EASM 的主要功能和优势包括：
- 三、CAASM 介绍
- - CAASM 是 "Cyber Asset Attack Surface Management"（网络资产攻击面管理）的缩写
  - 主要功能包括：
- 四、三者的区别
- 五、一些产品

一、ASM 介绍

ASM 是“Attack Surface Management”（攻击面管理）的缩写【框架视角，广义概念】

1. 介绍

攻击面管理 (Attack Surface Management, ASM) 可以持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击媒介。
ASM 可以识别目标，并根据其暴露给恶意攻击者的可能性来评估风险，获得攻击者的视角，进行动态的主动防御，这是 ASM 发展的意义。
ASM 所采用的方法和资源大多与黑客相同，并且许多 ASM 任务和技术都是由熟悉网络犯罪分子行为并擅长模仿其行为的“道德黑客”所设计和执行的。
外部攻击面管理 (EASM) 是一种相对较新的 ASM 技术，有时可以与 ASM 互换使用，主要关注组织的外部或面向互联网的 IT 资产（有时称为组织的数字攻击面）中出现的漏洞和风险。
ASM 还可以解决组织的物理和社会工程攻击面中的漏洞，例如恶意内部人员或最终用户在网络钓鱼诈骗方面接受的培训不足。

2. 兴起的原因

新漏洞和攻击媒介的快速发展：传统的资产发现、风险评估和漏洞管理流程是在企业网络较为稳定和集中时开发的，现已无法跟上当今网络中新漏洞和攻击媒介的发展速度。如渗透测试可以测试已知资产中的可疑漏洞，但却无法帮助安全团队识别每天新出现的网络风险和漏洞。
ASM 实时性强：ASM 可以实时显示新出现的漏洞和攻击媒介。ASM 的持续工作流程和黑客视角则让安全团队和安全运营中心 (SOC) 能够在面对不断扩大和不断变化的攻击面时建立主动的安全态势。
ASM 多维度利用信息：可以利用传统风险评估和漏洞管理工具与流程中的信息，在分析和确定漏洞优先级时提供更详细的背景。
ASM 集成技术：ASM 可以与威胁检测和响应技术相集成，包括安全信息和事件管理 (SIEM)、终端检测与响应 (EDR) 或扩展检测和响应 (XDR)，在整个企业范围内进一步缓解威胁并加快威胁响应速度。

3. 工作流程

ASM 由四个核心流程组成：资产发现、分类和优先级排序、修复以及监控。ASM 尽量自动化执行流程，目标是确保安全团队始终拥有漏洞资产的完整且最新的清单，并更快地应对给组织带来最大风险的漏洞和威胁。

3.1 资产发现

资产发现可自动持续扫描并识别面向互联网的硬件、软件和云资产，这些资产可能会被黑客或网络犯罪分子用作攻击组织的切入点。
已知资产：所有 IT 基础架构和资源，包括路由器、服务器、公司发行或私有的设备（PC、笔记本电脑、移动设备）、IoT 设备、用户目录、本地和云端部署的应用程序、网站和专有数据库。
未知资产：在 IT 或安全团队不知情的情况下使用网络资源且“不在库”的资产。影子 IT，即在没有官方管理批准或监督的情况下部署在网络上的硬件或软件，是最常见的一种未知资产。下载到用户计算机的免费字体、通过组织网络使用的个人网站或云应用程序，以及用于访问企业信息的非托管个人移动设备等都属于影子 IT。孤立 IT，即尚未正确停用的不再使用的旧软件、网站和设备，是另一种常见的未知资产。
第三方或供应商资产：纳入组织 IT 基础架构或数字供应链但非组织所有的资产。这包括软件即服务 (SaaS) 应用程序、API、公有云或组织网站中使用的第三方服务。
附属资产：属于组织子公司网络的任何已知、未知或第三方资产。合并或收购后，这些资产可能不会立即引起上级组织的 IT 和安全团队的注意。
恶意或流氓资产：威胁行为者为目标公司创建或从中窃取的资产。这可能包括冒充公司品牌的网络钓鱼网站，或者数据泄露后在暗网上共享的被盗敏感数据。

3.2 分类和优先级排序

一旦识别出资产，就会对其进行分类和漏洞分析，并按“可攻击性”进行优先级排序，可攻击性本质上是衡量黑客对它们发起攻击的可能性的客观指标。
资产按照身份、IP 地址、所有权以及与 IT 基础架构中其他资产的关系入库。根据出现漏洞的可能性、原因（例如，配置错误、编码错误、缺少补丁）以及黑客可能通过这些漏洞发起的攻击类型（例如，窃取敏感数据，传播勒索软件或其他恶意软件），对它们进行分析。
按照优先级修复漏洞，确定优先级是一项风险评估工作。通常情况下，会根据以下方面对每个漏洞进行安全评级或风险评分：
- 分类和分析期间收集的信息；
- 来自威胁情报源（专有和开源）、安全评级服务、暗网和其他来源的数据，涉及黑客对漏洞的可见性、漏洞利用难易程度以及漏洞的利用方式等；
- 组织自身的漏洞管理和安全风险评估活动的结果。其中包含“红队测试”这类活动，它本质上是从黑客的角度进行渗透测试（通常由内部或第三方道德黑客执行）。红队成员不会测试已知或可疑的漏洞，而是测试黑客可能利用的所有资产。

3.3 修复

通常按优先级顺序修复漏洞。
安全控制措施：例如，应用软件或操作系统补丁，调试应用程序代码，实施增强的数据加密。
控制以前未知的资产：为以前不受管理的 IT 设置安全标准，安全地淘汰孤立 IT，消除流氓资产，将子公司资产集成到组织的网络安全战略、策略和工作流程中。
跨资产措施：修复还包括实施更广泛的跨资产措施来修复漏洞，例如实施最小特权访问策略或多因子认证 (MFA)。

3.4 监控

由于每次部署新资产或以新方式部署现有资产时，组织中攻击面的安全风险都会发生变化，因此要持续监视和扫描在库的网络资产和网络本身以发现漏洞。
持续监控使 ASM 能够实时检测和评估新的漏洞和攻击媒介，并提醒安全团队注意需要立即关注的任何新漏洞。

二、EASM 介绍

EASM 是 “External Attack Surface Management”（外部攻击面管理）的缩写

它专注于管理和减少组织从互联网上可见的、可能被攻击者利用的数字资产和接口。EASM 解决方案旨在帮助安全团队识别其网络边界之外的安全问题，这些问题可能是由于第三方服务、旧系统、未授权的影子 IT（Shadow IT，即未经正式批准就在公司内部使用的硬件或软件）、或者配置错误所导致。

EASM 的主要功能和优势包括：

自动化的资产发现：持续扫描互联网以查找属于组织的所有公开暴露的资产，无论这些资产是否在企业的直接控制之下。
外部视角的风险评估：提供一个攻击者的视角来评估企业对外暴露的服务、端口、应用程序和其他可能构成风险的因素。
威胁情报集成：结合最新的威胁情报信息，帮助企业了解哪些外部暴露最有可能被当前活跃的威胁行为体所利用。
优先级排序与修复指导：根据潜在影响和被利用的可能性对发现的问题进行优先级排序，并为修复工作提供建议。
合规性支持：确保企业的公开配置符合相关的法规和标准要求，降低因违规而面临的法律风险。
第三方风险管理：监控和评估合作伙伴、供应商等第三方的网络安全状态，防止通过他们引入的间接风险。

EASM 工具和服务对于希望保持对其数字足迹全面掌控的企业至关重要，尤其是在云采用增加和远程工作趋势下，越来越多的资产和服务暴露于公共网络中。通过使用 EASM，组织可以更主动地保护自己免受源自外部的网络攻击。

三、CAASM 介绍

CAASM 是 “Cyber Asset Attack Surface Management”（网络资产攻击面管理）的缩写

它是一种旨在帮助组织识别、评估和减少其数字资产暴露在网络攻击下的风险的安全实践。CAASM 平台通常整合来自多种安全工具的数据，提供一个集中的视图来管理和监控组织的攻击面。

主要功能包括：

资产发现：自动发现并记录所有与网络相连的设备和系统，无论是内部部署还是云环境。
持续监控：实时或近实时地跟踪变化，确保对新出现的风险快速响应。
漏洞管理：识别已知漏洞，并优先处理那些最可能被利用的漏洞。
合规性检查：确保配置符合行业标准和法规要求。
第三方风险管理：评估供应链和其他外部合作伙伴带来的潜在威胁。
报告和分析：生成详细的报表，帮助企业理解其安全态势，并为决策提供依据。

通过这些功能，CAASM 解决方案有助于企业更有效地管理和降低其网络安全风险，同时提高运营效率。随着网络威胁的不断演变，CAASM 成为了现代信息安全策略中不可或缺的一部分。

四、三者的区别

ASM、EASM 和 CAASM 都是专注于管理和减少组织攻击面的安全实践，但它们的关注点和作用范围有所不同。以下是三者的区别：

类别	ASM	EASM	CAASM
定义	攻击面管理	外部攻击面管理	网络资产攻击面管理
侧重点	内部+外部资产	仅外部资产	所有网络资产
范围	全面安全策略	互联网暴露面	内部/云端资产(互联网暴露面)
功能	发现/监控资产	自动化发现/监控资产	资产管理，漏洞管理，合规性检查
	漏洞管理+补丁管理+配置管理	结合威胁情报能力	集成多种安全工具，强调对网络资产的持续可见性和控制力

五、一些产品

魔方外部攻击面管理系统 EASM (SaaS) | 攻击面精细化运营
魔方网络资产攻击面管理系统 CAASM
华云安公司–灵洞

by 久违

目录