5 代表企业

5.1 MANDIANT

作为老牌网络安全企业之一，Mandiant 积累了多年的安全运营与威胁事件分析能力。Google Cloud收购Mandiant后，为其带来了强大的数据处理、人工智能等新的能力支持。加之原本就优秀的威胁情报数据收集能力，Mandiant 将威胁监测、事件分析、安全验证、自动化防御、攻击面管理等多个能力集成在归一化XDR平台“Mandiant Advantage”上，用户可以获得更加闭环高效的使用效果。 

其中的攻击面管理ASM兼具资产全面、信息深度、情报关联等特点。例如其全面、深度的资产信息详情，除了具备深度且直观的可视化页面，还包含了资产设备对应的软件应用、配置信息以及其他多种属性。如此一来，安全运营人员在对资产进行识别、分类、打标签等操作时，准确度和效率都更高。

在Mandiant的优势能力威胁情报方面，支持从实时更新的威胁情报（Issues）中一键筛选关联至潜在受影响的资产，呈现时也是按照攻击威胁的严重级别进行优先排序展示的，这在安全人员第一时间需要进行攻击面收敛或事件响应时，非常高效。

总的来说，Mandiant的攻击面管理，依靠资产信息的深度、威胁情报的关联以及归一化平台的快速响应闭环，充分体现出了一家老牌安全公司的综合安全能力。

5.2 SEVCO SECURITY

Sevco Security（以下简称Sevco）成立于2020年，总部位于美国。核心产品Sevco资产管理平台，可通过集成现有资产管理平台的资产清单，将多源资产管理软件的数据融合，建立更全面的资产库，以识别企业网络中的风险资产，进而实时跟踪资产库中的资产状态变化情况。

Sevco可通过资产的交叉查询，检索到企业内的安全防护盲点。（如上图示意图所示）不仅方便资产管理员进行查漏补缺，而且这些资产安全团队需要优先关注的对象，可以有效的收敛企业的攻击暴露面。

此外，Sevco还会动态地对机构资产的属性变化进行监控，通过对每个报告的资产状态与之前报告的状态进行比较，实时标记资产变化情况，检测资产的变化主要包括两方面：资产库存变更和资产属性变更。资产库存变更包括：新增或删除资产、历史过时资产的监控；资产属性变更包括：IP、主机名、MAC地址的监控。

Sevco可以在资产管理页面查看资产的状态，通过对多方数据源的聚合分析，最后给出资产的最近活跃状态。此外，Sevco可以通过不同源提供的资产快照，分析资产的安全属性，比如最近一次打补丁的时间、是否安装EDR等信息；通过UI上展示的颜色深度表示上一次活跃的时间，颜色越深时间越久。

还有其他功能上的创新点，本报告就不一一列举了，文末的参考资料中有相关链接，读者可自行查阅。总之，继2019年 Axonius夺冠之后，再次有安全资产管理（攻击面管理）企业入选RSAC 创新沙盒的十强，说明这个领域无论是在用户需求侧、厂商供给侧，还是在投资机构眼中，都是一个持续受到关注的热点领域。

5.3 魔方安全

深圳市魔方安全科技有限公司（简称魔方安全）由CubeSec网络安全攻防团队于2015年10月创立，专注于网络空间资产安全相关的技术研究和产品研发，包括：攻击面管理（ASM）、网络空间资产测绘（CAM）、漏洞管理（VM）、安全攻防服务等。

魔方安全于2015年成立当年就推出了攻击者视角的“外部攻击面管理平台”并以SaaS化形态服务于金融、运营商、交通、教育等行业用户及大型企业。2020年，魔方安全提出“资产测绘为起点、脆弱性管理为落脚点，安全运营为目标”的资产安全管理三阶论，并发布《资产安全管理解决方案》和“数字资产风险监控SaaS服务”，结合安全服务，为政企单位客户提供内外网资产安全与漏洞运营整体解决方案。

据调研，魔方安全的外部攻击面管理EASM、攻击面可视化管理解决方案(VASM) 符合本报告中对攻击面管理关键能力的主要描述，具备数字资产可视化、资产脆弱性关联等特点。魔方采用的主动扫描探测+被动流量发现+资产适配器等技术，很大程度上还解决了IP化资产的探测覆盖率和完整性这一业内难题，同时，“SaaS平台+安全代运营”的交付方式，是金融行业用户的场景优良实践。

进一步以“可视化”这一能力点来说，魔方会采集现网中所有三层网络设备的路由信息和ACL访问规则，通过网络仿真及智能计算、融合网络上下文信息、资产和脆弱性三要素，应用知识图谱及原生分布式图数据库，完成访问关系和攻击路径的可视化，进行自动化蔓延推理式的攻击路径演算，从而实现攻击面的可视化管理。

将用户从庞杂的表单数据中解脱出来，所见即为重点，可视化辅助决策，是安全运营的高阶形态。 

再以SaaS平台+安全代运营的交付方式为例，这对金融行业客户来说——访谈中90%甲方表示人手不足——是解决安全资源有限的最佳实践。“平台产品+数据+甲乙方团队共同治理”或许是当前“攻击面管理”在中国市场落地生根，厂商与客户获得共赢最优雅的解法。

6 未来展望

6.1 攻击面管理作为行业共识，将成为安全运营必选项

在本次调研中，多家金融机构安全负责人都提到，除了各级实网攻防演练外，近两年的日常安全运营中都发现境外IP对境内金融机构的扫描明显增多，虽然没有产生真实的攻击，但是有明显的扫描动作。加之最近几次较为恶劣的数字资产泄露事件的驱动，攻击暴露面收敛已成为金融行业的普遍共识。团队的安全运营工作，有条件的将以专项收敛推进，条件暂不成熟的，也会以“商业秘密保护”等方式，与审计、合规、法务等部门联合推进，攻击面管理将成为安全运营的必选项。

6.2 金融行业攻击面管理将向“大集中”靠拢

近几年由于业务发展需要以及新冠疫情带来的客观影响，很多金融机构的下属事业部、业务部都有强烈意愿自行开展新的线上业务，导致新申请域名、业务平台等数字资产“野蛮”发展，此类烟囱式的发展方式，既带来资源浪费，也带来越来越多的潜在攻击暴露面。因此，越来越多的金融机构已经开始采用“大IT模式”，将分支机构的业务及配套资产统一接口、统一上线、统一管理。虽然对业务的灵活程度会有一定影响，但集中到运维团队、安全团队手里后，攻击面管理的ROI可以得到显著提升。

6.3 攻击面管理方案的交付将以“平台+服务”结合为主要方式

目前行业内攻击面管理项目普遍以平台的产品形式进行交付，我们在调研过程中发现资源有限依旧是行业同性难题，访谈中90%甲方表示人手不足。“平台产品+数据+甲乙方团队共同治理”或许是当前“攻击面管理”在中国市场落地生根，厂商与客户获得共赢最优雅的解法。

未来一段时间，攻击面管理的落地方案将由标准化平台产品负责大部分常见的数字资产，再结合人的服务解决业务差异性，从而覆盖更为完整的攻击暴露面。这里的“服务”部分，将多由相对初创阶段的外部团队负责，“服务”积累下来的资产指纹和收敛经验，会逐渐固化到攻击面管理产品中，在用户与厂商的共同成长中，攻击面管理的成效也会越来越显著。

6.4 对攻击暴露面的实时可观测性准确度会越来越高

虽然缺少合规细则，人工服务也不可避免，但攻击面管理的实时可观测性、准确度会越来越高。伴随传统技术栈的升级，容器化、DevOps（CI/CD）、微服务等云原生技术的应用，数据的获取、分析、处置，都会有很大改善。安全团队相比以前可以实现更全面的数据采集，这就为攻击面管理中“可观测性”的提供了更为有利的技术基础与数据基础，再辅以安全有效性验证的不断正向反馈，可见、可管、可控的准确度会越来越高。

参考资料：

https://www.mandiant.com/advantage/attack-surface-management
https://www.dwcon.cn/post/1633
https://www.cubesec.cn/
https://www.sevcosecurity.com/wp-content/uploads/2022/06/Sevco_TB-AssetCorrelationEngine.pdf
https://www.sevcosecurity.com/wp-content/uploads/2022/06/sevco_asset_intelligence_platform_datasheet_01.2.pdf

点击下载原文PDF文档
2022中国金融行业攻击面管理白皮书.pdf

参考阅读
创业者的选择之道
2022年数字安全大事记
应用安全测试与分析能力指南
应用检测与响应ADR能力白皮书
《持续应用安全(CAS)白皮书》全文发布
数世咨询：工业互联网安全(OT)市场指南