数世咨询：攻击面收敛能力指南（上）

攻防

11月前

前言

　　继以色列安全初创公司 Axonius作为一家专门从事网络安全资产管理的安全企业夺得2019年RSAC创新沙盒的冠军后，老生常谈的“网络空间测绘”、“资产管理”等概念重新走进安全从业者的视野并逐渐火热起来，Gartner 于2021、2022连续两年在Hype Cycle for Security Operations中收录CAASM（网络资产攻击面管理）后，“攻击面管理”时代正式到来。

　　国内的安全供应商也是如此，无论较早成立的以“资产测绘”或“资产管理”为主要技术路线的企业，还是近两年如雨后春笋般新成立的定位“攻击面管理“的初创团队，都在积极向攻击面管理ASM这个赛道靠拢。

　　然而与西方不同的是，近年来国内安全市场在这一领域的驱动力仍主要来自于逐渐常态化的实战化攻防演练。

　　这就导致了一方面我们的攻击面管理基础较为薄弱，从机房的老旧设备到云端的新业务，潜在的攻击暴露面始终存在，另一方面我们针对这些攻击暴露面的动作仍然是周期性、运动式的。

　　这就决定了国内“攻击面管理”产品与解决方案在落地时，单纯的“管理”并不能完全满足需求，还需要重点关注“收敛”这一动作。

　　但与此同时国内的CSO岗位制度尚未健全，安全团队话语权普遍较弱，“收敛”往往会涉及到网络、运维、研发甚至业务等兄弟部门的沟通协作，技术外的成本一直很高，因此如何借助实战化攻防演练这一绝好机会，对攻击面进行集中式专项“收敛”成为突出的现实需求。

　　基于上述现状，数世咨询认为业内缺少一篇中立客观的横向调研报告，以“攻击面收敛”为视角，对国内该细分市场做出梳理与论述。鉴于此，我们对国内具备“攻击面收敛”相关能力的安全企业开展了为期数月的调研工作，并在保护隐私不泄露任何调研原始数据的基础上，将调研成果整理成为各位读者看到的《攻击面收敛能力指南》。

　　报告结合国内现状，首先对攻击面收敛进行了定义及描述，之后对国内该赛道的市场规模进行了统计与概述，并针对主要能力企业画具了“攻击面收敛能力点阵图”，在关键能力部分，报告从CAASM、EASM视角分别进行了简述，并针对国内需求，重点描述了三个专项收敛能力，最后报告收录了该领域具有代表性的案例最佳实践，供各位读者参考。

　　鉴于时间紧迫，调研对象样本有限，报告中难免有遗漏、偏颇之处，请各位读者不吝指正。

关键发现

● 国内“攻击面管理”产品与解决方案在落地时，单纯的“管理”并不能完全满足需求，还需要重点关注“收敛”这一动作。

● 攻击暴露面指潜在攻击者对行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合，称为该用户机构的攻击暴露面。

● 攻击面收敛指行业用户针对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认、管理，并协调内、外第三方对攻击面进行持续收敛的解决方案。

● 据此次调研，2022年国内攻击面收敛市场收入约为6.24亿元，同比增长127.23%。高增长率来源于近几年国家与地方各级攻防演练的直接推动，以及用户侧对攻击面收敛概念的普遍认可。

● 按照60%增长率的谨慎乐观估计，攻击面收敛这一领域2023年市场规模可达9亿元，2024年市场收入可达到15亿元。

● 对于潜在攻击者来说，攻击暴露面并不严格以CAASM和EASM作为区分，任何可被利用的外部信息、内部资产、脆弱性，都是最终用户应当关注覆盖的。

● 目前国内常见的三个攻击面专项收敛能力主要有：漏洞风险资产快速定位与下线、外部信息攻击面收敛、办公网资产整体收敛等。

● 攻击面收敛方案的交付将以“平台+服务”结合为主要方式，同时作为行业共识，攻击面收敛将成为安全运营必选项。

● 攻击面收敛将从“安全事件驱动”向“风险量化驱动”转变。

1　攻击面收敛定义及描述

攻击暴露面

　　本报告中的攻击暴露面指潜在攻击者对行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合，称为该用户机构的攻击暴露面。

网络空间资产

　　本报告中的资产指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、APP、API、源代码等。概括来说，只要是可操作的对象，不管是实体还是属性，都可以称之为“网络空间资产”。

攻击面收敛

　　如无特别说明，本报告中的“攻击面收敛”特指行业用户针对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认、管理，并协调内、外第三方对攻击面进行持续收敛的解决方案。

2　攻击面收敛市场情况

　　本次调研广泛征集能力企业参与，截至报告发布，共回收调研表30余家（以企业简称首字母排序）：

　　360 数字安全、安博通、埃文科技、边界无限、白山云、长亭科技、长扬科技、烽台科技、观安信息、灰度科技、华顺信安、华云安、零零信安、绿盟科技、魔方安全、奇安信、矢安科技、盛邦安全、上海碳泽、天防安全、天懋信息、探真科技、微步在线、未岚科技、未来智安、雾帜智能、亿格云、云科安信、星阑科技、执掌易等。

能力点阵图

　　本次能力指南点阵图仍然以市场执行力、应用创新力分别为横、纵坐标轴，对企业进行展示。鉴于攻击面管理/收敛涉及行业、场景、技术实现方式多且杂，上述参与调研的企业并未全部在点阵图中展示：

攻击面收敛能力点阵图

　　除点阵图中企业外，另有一些非典型攻击面管理/收敛赛道的企业，如烽台科技、长扬科技、天防安全、天懋信息等，具备典型的行业属性；又如亿格云、白山云、执掌易等利用零信任等新的理念或技术同样实现了“攻击面收敛”目的；部分未列入点阵图的能力企业，在后文中会另有叙述。

市场概况

　　根据此次调研，2022年国内攻击面收敛市场收入约为6.24亿元，同比增长127.23%。高增长率来源于近几年国家与地方各级攻防演练的直接推动，以及用户侧对攻击面收敛概念的普遍认可。

　　结合各家被调研企业对2023年用户预算的了解及整个市场预期，我们预计增长率会有较明显的回调，但相比其他细分领域，仍属高位。按照60%增长率的谨慎乐观估计，攻击面收敛这一领域2023年市场规模可达9亿元，2024年市场收入可达到15亿元。

统计口径说明：

　　这里要格外说明的是，鉴于几乎所有行业所有场景下的安全工作，首先都会涉及到攻击面的发现、管理与收敛，因此若单纯以产品功能或解决方案模块等为市场统计依据，会重复纳入相当多其他安全领域的收入。因此本报告采用相对狭义的统计口径，仅以最终用户安全团队明确的攻击面收敛需求驱动的项目立项或采购为依据，将相关收入纳入统计。诸如传统的漏洞扫描、漏洞补丁管理产品，以及工业互联网、物联网等行业的相关营收，均并未计入此次调研数据。特此说明。

　　在2022年底，数世咨询发布的《中国数字安全能力图谱》中，攻击面收敛属于“基础与通用技术“领域。

2022年度《中国数字安全能力图谱》

2022年度数字安全成熟度阶梯（基础与通用技术）

　　在“数字安全成熟度阶梯”中，攻击面收敛位于“热力区”，处于“融合创新”的“新兴市场“阶段。

3　攻击面收敛主要场景

攻击面资产纳管

　　对于传统网络协议环境，集团总部对各地分子公司、营业网点等分支机构的资产进行全面排查，将分支机构的潜在攻击暴露面资产纳入管辖范围，掌握集团整体攻击暴露面情况；分支机构也可以自行采购或建设攻击面收敛解决方案开展自查，然后将收敛后的资产信息上报给集团总部或监管机构，从而掌握主动权。

　　对于视频专网、工业互联网、以及IoT设备网络等专网环境，安全团队借助攻击面收敛能力对测试设备（影子资产）与更新换代后的老旧设备（僵尸资产）等进行纳管或下线处置。鉴于其行业场景特殊性，本报告将报名参与本调研的该领域能力企业在此单独列出，供有此类场景需求的用户参考：

　　• 烽台科技 —— 工业互联网攻击面收敛解决方案
　　• 长扬科技 —— 工控网络攻击面管理解决方案
　　• 天防安全 —— 视频网络攻击面管理解决方案
　　• 天懋信息 —— 特种行业专网攻击面管理解决方案

实网攻防演练

　　国家级、地市级、行业级实网攻防演练活动逐步趋于常态化。演练开始前，防守队对自身潜在的攻击暴露面进行提前发现和收敛；演练开始后，防守队快速定位失陷资产、精准下线失陷资产，第一时间做出收敛响应。

数据泄露溯源取证

　　安全应急团队将暗网、黑市中贩卖的样本数据等外部攻击面，与内部数据对照相互印证，进而定位失陷设备、资产乃至人员，形成攻击证据链。一方面为下一步诉诸法律手段提供法律依据，另一方面对同类资产横向排查同类攻击行为，避免再发生类似泄露事件。

安全运营基础设施

　　安全运营建设初期，以攻击面暴露面作为其他各项安全投入的依据和基础；安全运营建设过程中，以接口化攻击面管理平台作为SOC、SIEM等平台的底座；安全运营能力形成后，结合安全有效性验证与量化评估进一步收敛攻击面，持续提升整体安全运营水平。

4　攻击面收敛关键能力

　　为方便读者与业内已有概念对照，本报告以大家所熟知的CAASM、EASM与专项收敛三个方面来描述攻击面收敛的关键能力。然对于潜在攻击者来说，攻击暴露面并不严格区分内外，因此，下面这些关键能力点虽然分别描述，但并非相互割裂，而是互为补充。任何可被利用的外部信息、内部资产、脆弱性，都是最终用户应当关注覆盖的。

CAASM

　　CAASM直译为网络资产攻击面管理，对应到国内市场这里的资产主要指位于机构内部、数据中心或云环境中等可直接管辖范畴内的资产。对这一部分攻击面的收敛，要重点关注与已有资产源的对接适配、主/被动资产发现、管理与可视化等关键能力。

与已有资产源的对接融合

　　首先CAASM应当具备多源资产数据接入能力。包括但不限于CMDB、终端管理平台、AD域等运维数据，以及NDR、EDR、HDR（含HIDS）等具备资产发现能力的安全产品及解决方案。

　　其次，多源资产数据接入汇总后，并非简单叠加，而是要进行持续交叉验证、去重/扩充、属性补全、标记等操作。具体需要结合业务数据流、网络流量、访问拓扑等多个维度，综合描绘出资产之间的关系链，将原本不同部门的资产台账融合为统一的资产视图。

主/被动资产发现

　　在与各资产源对接形成攻击面管理的基础后，可通过主动扫描探测与被动流量发现结合发现更多潜在的攻击暴露面。

　　主动扫描测绘有两点要说明，第一，结合目前的国际形势，我们不建议使用Shodan、Censys等非国内工具进行扫描探测；第二，主动探测不能影响用户的业务连续性与稳定性，应当结合用户的业务运行时间、IT设备承受强度，综合考虑资产指纹库、节点分布、扫描时间等情况，以合理策略发起扫描。

　　被动流量发现可以不受业务时段限制，在金融行业交易等不便于使用主动扫描探测方式的时段持续提供资产发现能力。对于加密流量，可以通过资产指纹加密流量建模等方式，通过一段时间的机器学习，做到部分账外资产的准确发现。在实际调研中，笔者也了解到在一些资产变化频率较快的行业（如教育行业），这一能力已经产品化且形成了落地的最佳实践。

管理与可视化

　　经过多源资产对接、主/被动资产发现后的各类资产数据，最终统一聚合到管理平台。管理平台应当具备以下能力：

　　一是基于业务视角的资产属性完善与关联。例如根据业务架构，通过“标签”对资产所属的业务线、系统应用、相关负责人等属性进行关联补充，目的是体现出资产的业务价值等级、业务连续性要求等重要属性。

　　二是资产数据的统计与汇总等可视化管理，这里要结合业务权重、告警可信度、漏洞优先级等维度，对整体视图以知识图谱等方式进行呈现，目标是迅速发现攻击暴露面中需要优先收敛的部分。

　　三是完备精准的资产数据输出。资产数据除了为撰写报告与汇报材料提供有力支持，还可以对接给漏洞管理平台与工单系统，形成漏洞管理闭环，也可以支撑FW、WAF、EDR等设备，形成实时阻断响应能力；此外，还可以作为后续长期安全建设的基础性数据，输出给安全运营中心等大型项目或平台，为其提供丰富且精准的资产数据支撑。

EASM

　　从攻击者视角来看，“信息收集”是发起攻击前必做的功课，且会占据攻击者大部分的时间精力。因此对安全团队而言，除了要关注直接管控的“内部”资产，还有机构外的攻击暴露面，即EASM，这里分为机构数字资产与对应的脆弱性风险两个方面进行讨论。

常见资产与脆弱性风险，本图例由360数字安全提供

数字资产发现

　　首先，潜在攻击者首先会搜集用户的机构信息，搜集渠道主要有各大搜索引擎、天眼查类平台、网盘文库、官网、公众号、钉钉群、微信群、代码共享平台等。因此，安全团队要先于攻击者发现此类资产，为响应收敛争取时间。

　　其次， GitHub、码云等代码共享平台是需要重点关注的外部攻击暴露面。安全团队应以技术监测手段与内部行政管理相结合的方式，对此类攻击暴露面进行持续发现、收敛。

　　除了代码平台，还有合作伙伴或第三方平台的API数据接口，与微信公众号菜单对接的URL、小程序或H5中隐含的数据接口等。这类外部接口在开发测试使用过后即随着项目结束而被遗忘，极易成为潜在的攻击暴露面。

　　最后一个值得重点关注的是针对暗网进行持续的社工库、泄露数据监测。对暗网交易市场中的样例数据进行抽样比对，能够直接判断泄露数据真实性，还能够为梳理数据泄露的路径提供依据与证据，帮助安全团队进而梳理出攻击暴露面中的薄弱环节。

脆弱性风险

　　在通过上述各渠道发现机构相关的数字资产后，安全管理员还应当关注自身潜在面临的弱口令、漏洞、供应链等脆弱性风险。这里重点关注与各类资产相关的漏洞威胁。

　　用户可实时关注国际国内主要的漏洞库、漏洞共享平台、社区，有条件的用户还可以直接采购漏洞情报，或对暗网中的漏洞交易平台进行监测。在漏洞描述中，用户可重点关注受漏洞影响的系统、应用、版本号、影响范围等与资产直接相关的关键信息。

　　主要目的是能够在0.5day/1day漏洞爆发时，第一时间根据漏洞关键信息，匹配定位到潜在受威胁的资产后进行收敛，下面的专项收敛部分会详细叙述。

专项收敛能力

　　攻击面的“收敛”目前仍然处于管理手段为主、技术手段为辅的阶段。在这样的背景下，本报告将攻击面的收敛能力以三个主要场景来阐述。

漏洞风险资产快速定位与下线

　　为应对0.5day或1day漏洞而进行的风险资产快速定位与下线，安全团队首先要在漏洞爆发前，对资产台账按照业务优先级进行标记，对系统、应用、中间件及版本号等关键信息精细管理、持续更新。

　　接下来，当漏洞爆发时，使用这些关键信息筛选定位出风险资产，快速分发PoC进行漏洞的精准匹配，并根据资产的业务优先级下发不同的响应策略。在不影响业务连续性的前提下，可协调业务、运维等部门，对部分资产做临时下线处理；对于受业务连续性要求既不能下线又不能修复的资产，则通过“虚拟补丁/透明补丁”的方式临时加固，待将来允许时，再行修复。

　　快速应急之后，安全团队将该漏洞信息通过工单、OA等流程推送至业务及IT运维等部门，对包含漏洞风险的资产进行周期性精准复测。此外，还需要对漏洞响应之后新加入台账的资产进行漏洞PoC测试，杜绝“新资产、老漏洞”的情况发生，以此实现漏洞风险的攻击面持续收敛。

外部信息攻击面收敛

　　对于外部信息攻击暴露面，针对外部信息所在平台不同，需要采取不同的收敛策略。

　　对于外部接口类信息，例如公众号小程序，要从机构内部找到相关API接口关闭；对于共享平台类的外部信息攻击面，例如代码共享、文档文库共享等平台，可以通过举证申诉等方式，联系平台方进行信息下线处置；对于不具备举证申诉条件的平台，例如暗网交易市场等，则需要首先通过泄露样本数据等进行攻击路径溯源，将外部信息攻击面关联至内部网络资产攻击面，亦或是某个内部员工，然后再做进一步的收敛处置。

　　需要强调的是，无论采用上述哪种收敛策略，对于此类外部信息攻击暴露面，重点是先于潜在利用这些信息的攻击者进行自查。抢得先机才有足够的时间进行收敛。。

办公网资产整体收敛

　　有条件大幅调整网络架构的用户，还可以利用基于零信任理念的“单包敲门”方式，对攻击面资产进行整体收敛。

　　所谓“单包敲门”，即单包授权Single Packet Authorization的一种通俗说法，是Software Defined Perimeter 软件定义边界的关键特征。这一方法可以将办公网等互联网业务以外的资产隐藏在零信任安全网关后面，实现“批量”收敛内网资产的效果。

　　严格来说，这一方式不属于业内“攻击面管理“的技术赛道，但同样可以起到攻击面收敛的效果。其局限性在于对原有网络架构的改动较大，对钓鱼攻击的防护效果也很有限，需要结合其他收敛方式以及安全意识教育等手段，以达到更好的立体收敛效果。

　　下面列出了部分报名参与本调研并具备该项能力的企业，有条件对网络架构进行较大调整的用户可以参考：

　　• 亿格云 —— 零信任安全访问解决方案
　　• 白山云 —— 零信任安全访问
　　• 执掌易 —— 灵犀SDP安全网关

5　攻击面收敛未来展望

攻击面收敛作为行业共识，将成为安全运营必选项

　　在笔者去年年底进行的金融行业攻击面管理调研中，多家金融机构安全负责人都提到，除了各级实网攻防演练外，近两年的日常安全运营中都发现境外IP对境内金融机构的扫描明显增多，虽然没有产生真实的攻击，但是有明显的扫描动作。由此可见，攻击面收敛已成为金融客户在内各行业的普遍共识。团队的安全运营工作，有条件的将以专项收敛推进，条件暂不成熟的，也会以“商业秘密保护”等方式，与审计、合规、法务等部门联合推进。攻击面收敛将成为安全运营的必选项。

攻击面收敛方案的交付将以“平台+服务”结合为主要方式

　　目前行业内攻击面收敛项目普遍以平台的产品形式进行交付。未来一段时间，攻击面收敛的落地方案将由标准化平台产品负责大部分常见的数字资产，再结合人的服务解决业务差异性，从而覆盖更为完整的攻击暴露面。这里的“服务”部分，将多由相对初创阶段的外部团队负责，“服务”积累下来的资产指纹和收敛经验，会逐渐固话到攻击面收敛产品中，在用户与厂商的共同成长中，攻击面收敛的成效也会越来越显著。

攻击面收敛将从“安全事件驱动”向“风险量化驱动”转变

　　伴随传统技术栈的升级，容器化、DevOps（CI/CD）、微服务等云原生技术的应用，数据的获取、分析、处置，都会有很大改善。安全团队相比以前可以实现更全面的数据（特别是业务相关数据）的采集，这就为攻击面风险的可视化/量化提供了更为有利的技术基础与数据基础。由此我们预见，攻击面的收敛也将从过去的安全事件驱动逐步向风险量化驱动转变。安全运营团队的工作价值得以量化体现，用户机构“一把手”也得以最大限度规避因为突发安全事件被问责的风险。

《攻击面收敛能力指南》 (2).pdf