光明網訊（記者 李政葳）在5月6日舉行的“2022網絡安全運營技術峰會”上，國內權威咨詢機構賽迪顧問發布了《中國攻擊面管理市場白皮書》（以下簡稱白皮書）。據介紹，這是我國網絡安全領域首份就攻擊面管理方向發布的白皮書。

　　白皮書詳細剖析了中國攻擊面管理技術發展現狀，分享了攻擊面管理領域的創新技術和典型應用場景，并對攻擊面管理未來發展趨勢進行預測。白皮書旨在以數字化轉型為背景，探討攻擊面管理在新一代網絡安全防御體系中的能動作用。

　　攻擊面管理的本土化洞察

　　白皮書指出，攻擊面管理（ASM）是一種從攻擊者視角對企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業所有資產可被利用的攻擊可能性，而這里的所有資產包含已知資產、未知資產、數字品牌、泄露數據等等一系列可存在被利用的風險的資產內容。

　　攻擊面管理，最早由國際知名咨詢機構Gartner于2018年首次提出。在2021年7月，Gartner將攻擊面管理相關技術定義為網絡安全運營技術中的新興技術。Gartner認為攻擊面管理由網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）以及數字風險保護（DRPS）三部分組成。賽迪顧問本次發布的白皮書基于應用場景的維度，將攻擊面管理分為外部視角的攻擊面管理和內部視角的攻擊面管理，數字風險保護依據其外延與內核歸屬為外部視角的攻擊面管理。

　　其中，外部視角的攻擊面管理主要關注外部資產，使用一系列來源和方法來掃描全球的互聯網，尋找其面向外部的資產暴露面，并且對這種資產暴露面進行可視化。而內部視角的攻擊面管理關注企業數字化資產，發現功能主要通過與現有工具的API集成來工作，依賴于其他已部署的技術作為上下文，并富化從這些技術中提取的數據，以提供組織資產庫存的整體視圖。

　　闡釋體系搭建與成熟度模型

　　在白皮書中，賽迪顧問將攻擊面管理框架體系自下向上分別為基礎技術、安全能力和應用場景三層。基礎技術為支撐攻擊面管理的技術能力集合，多種技術組合形成攻擊面管理的能力體系，根據不同的業務場景需求采用不同的能力組合，形成不同的應用場景下的攻擊面管理解決方案，為用戶提供有針對性的攻擊面閉環管理能力。

　　此外，在白皮書中建立了攻擊面管理的成熟度模型，主要是工具階段的被動防御、平臺階段的主動防御、流程化階段的對抗防御、先知階段的優先防御四個層級；提出了暴露面獲取、脆弱點發現、攻擊面挖掘、情報獲取能力等攻擊面管理要具備的12個能力域，從檢測發現、分析研判、情報預警、響應運營的閉環管控過程分解了響應的能力子項，從子能力的具備和完善情況來評價攻擊面管理的有效性。

　　透視場景應用與趨勢預測

　　隨著數字化轉型進程的不斷加深，攻擊面管理的應用場景也將不斷涌現。在本次發布的白皮書中，選取了3個典型引用場景，即行業垂直監管場景中的攻擊面管理、物聯網場景中的泛終端攻擊面管理、網絡安全保險中的攻擊面管理，旨在提升用戶對于攻擊面管理技術的使用體驗，并由核心應用場景向更多應用場景拓展。

　　最后，白皮書對于攻擊面管理的未來市場和技術的發展趨勢進行了預測。白皮書指出，在未來一段時間內，攻擊面管理將從傳統場景擴展到新興技術領域，將與業務風險管理融為一體；供應鏈和第三方風險管理將成為攻擊面管理的重要組成部分；自動化、智能化技術在攻擊面管理產品中得到廣泛應用。