全面的资产发现与纳管

以主动扫描、被动监测、情报预警和外部数据对接等多种手段，全面发现金融机构数字资产，通过知识图谱技术对无主资产、僵尸资产、影子资产等进行标记和可视化呈现，同时持续监测资产的存活、端口开放、弱点等历史信息变化情况。

基于置信度评价的多源风险数据融合

支持以攻击者视角，全面聚合多源风险数据，纳入漏洞、弱口令、不安全配置、敏感信息泄露、暗网监测、安全防御有效性等多个方面的攻击面风险数据，全面梳理攻击者可利用攻击向量，基于置信度进行风险数据的交叉验证及准确性分析，大大提升风险数据降噪效能。

将风险数据与安全防御有效性进行关联，深化安全态势

基于ATT&CK框架模拟攻击者TTPs动作，通过场景剧本将12类技战术进行组合，对现网安防设备、攻防场景、运营机制进行持续化有效性验证，分析防御体系是否存在失效点，评价安防设备能力，验证对抗防御能力成熟度，量化运营体系指标，同时与风险数据进行结合，预测攻击路径，深化安全态势。

多源攻击面情报赋能

为保证全面及时提供金融行业攻击面情报，依托华云安在国家级漏洞库的建设实践经验，以及情报平台建立基于众测模式的社区能力生态，覆盖更多的金融行业业务应用、软硬件产品、供应链、安防设备、开源组件、容器等方向行业情报数据。

趋势前瞻，看好攻击面管理及入侵与攻击模拟技术发展

攻击面管理成为提升主动防御能力的新方向

报告认为，攻击面管理技术受到广泛关注并非偶然，这是网络安全攻防对抗技术升级过程中的必然趋势。攻击面管理作为一种主动性防御技术，以其独特的视角和管理策略，将成为护航金融行业网络安全的重要手段。攻击面管理的目的是帮助防御者发现自己的盲区，并合理排定防御工作的优先级，以此来推动企业防御体系的不断优化。

入侵与攻击模拟BAS技术标定金融网络安全新高度

BAS为金融机构提供了一种实战化的安全验证方式，能够精准识别安全防御体系的缺陷，进而实现防御策略的优化和增强。相较于传统的经验型防御手段，BAS验证的方式更有针对性和实战性，可以有效帮助金融机构应对复杂多变的网络攻击。BAS技术以其前瞻性的以攻促防理念，正逐步获得金融机构的广泛认可，同时从网络安全成熟度和安全投入来看，金融行业非常适合BAS类技术的应用，未来也将成为从BAS技术中获益的高价值客户群体。

可以预见，BAS技术将成为金融行业网络安全验证的主流选择。随着金融行业对网络安全要求的日益严格，BAS将在提升金融行业整体安全防护水平方面发挥更加重要的作用。