《安全牛：攻擊面管理技術應用指南（2024版）（94頁）.pdf》由會員分享，可在線閱讀，更多相關《安全牛：攻擊面管理技術應用指南（2024版）（94頁）.pdf（94頁珍藏版）》請在三個皮匠報告上搜索。

1、攻擊面管理技術應用指南本報告為北京谷安天下科技有限公司（以下簡稱“本公司”）旗下媒體平臺安全牛研究撰寫，報告中所有文字、圖片、表格均受有關商標和著作權的法律保護，部分文字和數據采集于公開信息，所有權為原著者所有。未經本公司書面許可，任何組織和個人不得以任何形式復制或傳遞本報告的全部或部分內容，不得將本報告內容作為訴訟、仲裁、傳媒所引用之證明或依據，不得用于營利或用于未經允許的其他用途。任何經授權使用本報告的相關商業行為都將違反中華人民共和國著作權法和其他法律法規以及有關國際公約的規定。未經授權或違法使用本報告內容者應承擔其行為引起的一切后果 及法律責任，本公司將保留追究其法律責任的權利。版權聲

2、明版權聲明攻擊面管理技術應用指南本報告僅供本公司的客戶使用。本公司不會因接收人收到本報告而視其為本公司的當然客戶。任何非本公司發布的有關本報告的摘要或節選都不代表本報告正式完整的觀點，一切須以本公司發布的本報告完整版本為準。本報告中的行業數據主要為分析師市場調研、行業訪談及其他研究方法估算得來，僅供參考。因調研方法及樣本、調查資料收集范圍等的限制，本報告中的數據僅服務于當前報告。本公司以勤勉的態度、專業的研究方法，使用合法合規的信息，獨立、客觀地出具本報告，但不保證數據的準確性和完整性，本公司不對本報告的數據和觀點承擔任何法律責任。同時，本公司不保證本報告中的觀點或陳述不會發生任何變更。在不同

3、時期，本公司可發出與本報告所載資料、意見及推測不一致的報告。在任何情況下，本報告中的信息或所表述的意見并不構成對任何人的行為建議，也沒有考慮到個別客戶特殊的目的或需求?？蛻魬紤]本報告中的任何意見是否符合其特定狀況，若有必要應尋求專家意見。任何出現在本報告中的包括但不限于評論、預測、圖表、指標、指標、理論、陳述均為市場和客戶提供基本參考，您須對您自主決定的行為負責。本公司不對因本報告資料全部或部分內容產生的，或因依賴本報告而引致的任何損失承擔任何責任，不對任何因本報告提供的資料不充分、不完整或未能提供特定資料產生的任何損失承擔任何責任。免責聲明免責聲明攻擊面管理技術應用指南第一章 攻擊面管理背

4、景概述.71.1 攻擊面管理威脅態勢分析.71.2 攻擊面管理防護要求與標準.111.3 攻擊面管理應用必要性分析.15第二章 攻擊面管理能力框架.172.1 攻擊面管理發展歷程.172.2 攻擊面管理概念的改變.182.3 攻擊面管理的能力框架.212.4 關鍵技術.23第三章 攻擊面管理應用場景分析.273.1 行業用戶場景.273.2 企業規模分類.30第四章 攻擊面管理應用實施方法.344.1 攻擊面管理實施原則.344.2 攻擊面管理實施目標.354.3 攻擊面管理實施思路與方法.374.4 攻擊面管理應用挑戰與建議.42第五章 人工智能攻擊面應對初探.455.1 AI 攻擊面威脅分

5、析.455.2 應對 AI 攻擊面威脅的策略和建議.47目 錄攻擊面管理技術應用指南第六章 攻擊面管理成功案例分析.53案例一：某城商行統一安全管理平臺運營項目（綠盟科技提供）.53案例二：某新能源汽車控股集團攻擊面管理案例（魔方安全提供）.57案例三：某科技集團網絡空間風險暴露面治理實踐案例（亞信安全提供）.61案例四：某全國性金融公司 EASM 聯動 BAS 項目案例分析（矢安科技提供）.63第七章 國內外攻擊面管理技術研究.657.1 國外攻擊面管理技術現狀.657.2 國內攻擊面管理技術現狀.677.3 國內外攻擊面管理技術差距分析.697.4 國內攻擊面管理未來發展趨勢.70第八章

6、攻擊面管理廠商推薦.718.1 選型關鍵指標.718.2 十大代表性廠商推薦.72攻擊面管理技術應用指南隨著數字經濟的蓬勃發展和全球網絡安全形勢的日益嚴峻，網絡安全已經成為企業和組織發展的重要基石。傳統的安全防御手段面對不斷演變的網絡威脅，越來越無法滿足企業和組織的安全需求。攻擊面管理（ASM）應運而生，作為一種新興的安全理念，它通過持續監控和分析企業網絡資產和暴露面，識別潛在的安全風險，并采取相應的措施進行緩解和處置，從而幫助企業更好地應對網絡攻擊，保障業務安全和數據安全。近年來，攻擊面管理在國內外市場都得到了快速發展和廣泛應用。在國外，Gartner、Forrester 等權威研究機構紛紛

7、將攻擊面管理列為重要的安全趨勢，并對其發展前景給予了高度評價。在國內，隨著中華人民共和國網絡安全法等一系列法律法規的出臺，以及關鍵信息基礎設施安全保護條例的實施，企業和組織對網絡安全的重視程度不斷提高，對攻擊面管理的需求也日益增長。當前，攻擊面管理技術發展迅速，市場規模不斷擴大。根據 Gartner 的預測，到 2026 年，全球攻擊面管理市場規模將達到 187 億美元。越來越多的企業開始意識到攻擊面管理的重要性，并將其作為網絡安全建設的關鍵環節。為了幫助企業更好地理解和應用攻擊面管理技術，安全牛在 2023 年發布了攻擊面管理技術應用指南 2023 版，受到了廣大讀者的歡迎和好評。今年，安全

8、牛延續去年的工作，再次推出攻擊面管理技術應用指南 2024 版。本報告的研究方法包括文獻研究、用戶調研、廠商調研等，本報告將重點關注攻擊面管理的概念發展、技術應用，深入分析國內市場需求和應用場景，探討攻擊面管理的能力框架和關鍵技術，并對國內外市場發展趨勢進行研究。此外，本報告還將新增一章對 AI 攻擊面進行探討，分析 AI 技術帶來的新的安全挑戰和應對策略，從而幫助企業和組織更好地應對網絡攻擊，保障業務安全和數據安全。引言引言攻擊面管理技術應用指南 攻擊面管理需要管理和技術并重。攻擊面管理不僅是技術，更需要管理支撐，制定相應的管理標準和規范，推動安全團隊與 IT 運維團隊的深度協作，才能實現更

9、高效、更精確的攻擊面管控。適用于較高成熟度階段的企業實踐。實施攻擊面管理需要企業具備一定的基礎設施與技術能力，與基礎設施深度集成與聯動的條件下，攻擊面管理才能更有效的為企業的安全運營提供有力支撐。國內市場的初級發展與資產數據挑戰。當前國內攻擊面管理仍處于發展早期階段。核心難點在于企業普遍面臨資產數據質量參差不齊、數據冗余與缺失的問題，亟需加強數據治理與質量管控，數據質量直接影響了攻擊風險的發現與分析。需求增長與政策驅動。隨著數字化轉型加速，企業外部暴露面隨之增多，對攻擊面管理的需求持續上升。同時，國家對網絡安全監管與實戰化要求不斷提高，從政策與合規層面推動了市場對更完備的攻擊面管理能力的強烈需

10、求。平臺化與融合方向。攻擊面管理平臺正從單點工具轉向與其他安全技術有機融合。一方面，CAASM、EASM 與BAS 正逐步整合為統一平臺，實現數據共享與功能互補；另一方面，與其他安全平臺的循環交互與數據聯動正在形成新的生態，使整體安全防御體系更為完善、敏捷與高效。關注重點從外部擴展至內部。國內用戶正從關注外部攻擊面（EASM）轉向內部攻擊面（CAASM）。用戶意識到內網資產通常比外網資產更加敏感，在此趨勢下，將外部與內部攻擊面管理有機融合，為企業提供更全面的資產視圖與風險畫像，成為新的關注焦點。資產數據質量的核心地位與治理需求。企業已積累大量資產數據，但數據質量參差不齊是當前痛點。企業期望通過

11、資產數據治理技術與方法，獲得高精度、高關聯性的資產數據，為后續攻擊面分析和防護策略制定奠定堅實基礎。從資產到風險的價值轉移。攻擊面管理的價值正從傳統的資產管理拓展到風險管理層面。用戶不僅期望通過攻擊面管理提升資產可見性，更希望實現對整體安全態勢的動態、可量化管控，提高攻擊風險的檢測和響應能力。開始關注全鏈路威脅展示與溯源。用戶不再滿足于對孤立風險點的識別，而是希望通過跨設備、跨系統的數據關聯和分析，實現完整的攻擊鏈路可視化。精準定位真正的攻擊路徑與風險源，更好地支持事前預防與事中響應。AI 技術應用初步嘗試，成效有限。盡管廠商積極探索利用人工智能（AI）技術實現自動資產發現、漏洞識別與風險評估

12、，然而當前成果仍然有限。技術應用仍處于初級階段，有待進一步優化算法模型、提升數據訓練質量與增強應用場景適配度。行業定制與深耕趨勢。國內攻擊面管理正在走向行業化應用，針對不同行業的需求與業務場景提供差異化方案。通過貼合行業特性與業務流程的深度定制，攻擊面管理廠商正逐步構建行業生態，提升客戶滿意度與實際防護效果。安全驗證需求崛起。目前大多數用戶已經完成基礎安全建設階段，進入攻防演練等驗證階段，需要利用攻擊面管理技術從攻擊者視角檢驗現有安全防御能力的有效性，確保安全投入的實戰價值。報告關鍵發現報告關鍵發現攻擊面管理背景概述攻擊面管理技術應用指南7第一章 攻擊面管理背景概述在數字化時代，網絡威脅正在快

13、速演變和升級，對全球企業和組織的安全防護體系構成了前所未有的挑戰。勒索軟件、供應鏈攻擊、APT 攻擊等新型網絡威脅層出不窮，其復雜性和破壞力不斷增強。此外，隨著人工智能技術的快速發展和廣泛應用，AI 攻擊面也逐漸成為網絡安全的新焦點。AI 技術不僅可能被攻擊者用來發起更復雜的攻擊，而且其自身也可能存在安全漏洞和風險。為了應對日益嚴峻的網絡安全形勢，各國政府和行業組織紛紛出臺了相關的安全合規要求和標準。例如，美國國家標準與技術研究院（NIST）的網絡安全框架、歐盟的通用數據保護條例（GDPR），以及中國的數據安全法、個人信息保護法、關鍵信息基礎設施安全保護條例等。這些政策法規和標準不僅對企業和組

14、織的安全管理提出了更高的要求，也促進了攻擊面管理技術的應用和發展。攻擊面管理作為一種主動防御策略，通過持續監控與分析網絡資產及其暴露面，可以及時發現潛在安全風險，并迅速采取緩解與應對措施，不僅能有效降低安全事件的發生概率與影響范圍，更可全面保障業務連續性與數據安全性。因此，攻擊面管理引起了業內的普遍重視，并得到了快速發展。1.1 攻擊面管理威脅態勢分析近年來，隨著網絡攻擊技術的不斷發展，安全漏洞頻出，攻擊手段翻新，黑灰產猖獗，企業面臨的攻擊面風險日趨嚴峻。攻擊者利用各種手段，包括勒索軟件、供應鏈攻擊、APT 攻擊，以及 AI 技術等，對企業的數據安全、業務安全和聲譽造成嚴重威脅。以下對國內外攻

15、擊面管理的威脅態勢現狀進行分析。1.1.1 全球網絡攻擊威脅態勢隨著網絡技術的快速發展，攻擊手段也在不斷進化。網絡攻擊者利用先進的技術手段，來提高攻擊的精準度和隱蔽性。全球網絡攻擊威脅態勢攻擊面管理背景概述攻擊面管理技術應用指南8全球網絡攻擊威脅態勢有以下特點：勒索軟件攻擊持續高發。勒索軟件攻擊在全球范圍內持續高發，攻擊目標也更加廣泛，包括政府、金融、醫療、教育等關鍵領域。攻擊者通常采用加密數據、破壞系統等手段，勒索高額贖金，給受害者帶來巨大的經濟損失和業務中斷。如在 2023 年 10 月，美國波音公司遭受勒索軟件攻擊，2023 年勒索軟件索求金額達 2 億美元，由于未支付贖金，43GB 的

16、公司數據被發布到網上，導致波音公司受到起訴。漏洞利用攻擊仍是主流。攻擊者利用各種漏洞和弱點，例如零日漏洞、供應鏈漏洞、社會工程學等，對目標系統進行滲透和破壞。漏洞利用攻擊的成本低、效率高，攻擊者可以輕易地利用自動化工具和技術對大量目標進行攻擊。2020 年美國聯邦政府數據泄露事件，導致全球包括美國各級政府部門、北約、英國政府、歐洲議會、微軟等至少200個政府單位、組織或公司受到影響，并且組織數據遭到了泄露，該事件就是利用了微軟和SolarWinds漏洞。針對關鍵信息基礎設施的攻擊日益增多。關鍵信息基礎設施是國家安全和社會穩定的重要支撐，攻擊者針對關鍵信息基礎設施的攻擊日益增多，例如能源、交通、

17、醫療等領域。這些攻擊可能導致關鍵服務的癱瘓和社會秩序的混亂。APT 攻擊持續活躍。APT 攻擊通常由國家或組織支持，目標是竊取敏感數據、破壞關鍵基礎設施或進行長期潛伏和滲透。APT 攻擊手段復雜、技術高超，對安全防護體系構成了嚴峻挑戰。例如，2022 年 1 月 14 日，在 2021 年2022 年俄烏危機期間，烏克蘭十多個政府網站遭到網絡攻擊后癱瘓，據烏克蘭官員稱，大約有 70 個政府網站受到攻擊，包括外交部、部長內閣和國家安全與國防事務委員會。1.1.2 國內網絡攻擊威脅態勢近年來，國內網絡攻擊手段也層出不窮，攻擊目標廣泛，攻擊方式多樣化且日趨高級，對我國各行各業的企業和組織都帶來了巨大

18、的安全挑戰。國內網絡攻擊威脅態勢攻擊面管理背景概述攻擊面管理技術應用指南9國內網絡攻擊威脅態勢有以下特點：勒索軟件攻擊快速增長，目標更具針對性。勒索軟件攻擊在國內呈高發態勢，攻擊目標涵蓋了政府、金融、醫療、教育等多個行業。攻擊者通常采用加密數據、破壞系統等手段，勒索高額贖金，給受害者帶來巨大的經濟損失和業務中斷。攻擊者不再僅僅滿足于加密數據勒索贖金，而是更傾向于攻擊關鍵信息基礎設施、大型企業等高價值目標，竊取數據并威脅公開，以增加受害者支付贖金的壓力 APT 攻擊持續活躍，趨于長期化和隱蔽化。APT 攻擊通常由國家或組織支持，目標是竊取敏感數據、破壞關鍵基礎設施或進行長期潛伏和滲透。APT 攻

19、擊手段復雜、技術高超，對安全防護體系構成了嚴峻挑戰。攻擊者潛伏期更長，攻擊手段更加隱蔽，攻擊目標更加精準，對安全防護體系的威脅更大 內部人員威脅不容忽視。內部人員泄露數據、破壞系統的事件時有發生，企業應加強內部人員的安全管理和安全意識教育。供應鏈攻擊成為新興威脅。攻擊者利用供應鏈中的薄弱環節，例如軟件漏洞、第三方服務、人員疏忽等，對目標企業進行滲透和攻擊。供應鏈攻擊的隱蔽性和破壞性極強，一旦成功，將會對整個供應鏈造成嚴重的安全風險和經濟損失。數據泄露事件頻發。近年來，國內數據泄露事件頻發，例如 2023 年，某高校因 3 萬余條師生個人信息數據泄露被罰款 80 萬元。數據泄露的原因包括系統漏洞

20、、人為錯誤、網絡攻擊等，給企業和個人都帶來了巨大的損失和風險。根據安全牛 2024 年企業用戶調研結果顯示，用戶對外部高級攻擊的擔憂程度最高（80%），其次是內部人員安全風險（42.86%）和供應鏈攻擊風險（40%）。用戶擔心的網絡安全風險主要原因中，系統漏洞占比最高（68.57%），其次是網絡釣魚（48.57%）、弱密碼（48.57%）、數據安全（42.86%）。企業擔心的網絡攻擊風險攻擊面管理背景概述攻擊面管理技術應用指南10 企業認為網絡攻擊風險的原因1.1.3 未來威脅總體態勢安全牛認為，未來網絡攻擊主要有以下趨勢：攻擊面將持續擴大，攻擊鏈條將向左移動，攻擊將更具針對性和事件驅動性，A

21、I 將被更廣泛地用于攻擊，網絡攻擊將更加復雜和難以預測，網絡安全威脅將更加嚴峻。未來威脅總體態勢網絡攻擊面未來總體態勢如下：攻擊面將持續擴大。隨著物聯網、5G/6G、衛星通信等技術的發展，越來越多的設備接入網絡，攻擊面將不斷擴大。例如，近地軌道衛星空間的設備連接數量增加，為攻擊者提供了更多入侵機會。攻擊鏈條將向左移動。攻擊者將更多地利用攻擊鏈左側的戰術，例如社工、釣魚等，以獲取初始訪問權限。利用AI 技術，攻擊者可以更輕松地獲取個人信息、偽造身份，甚至可能出現“招募即服務”的模式，幫助攻擊者從目攻擊面管理背景概述攻擊面管理技術應用指南11標組織內部招募人員。攻擊將更具針對性和事件驅動性。攻擊者

22、將聚焦更具針對性和事件驅動性的攻擊機遇，例如大型體育賽事、地緣政治事件等。借助 AI 等新工具，攻擊者可以更有效地針對特定目標和事件發動攻擊。AI 將被更廣泛地用于攻擊。從生成式分析到自動化攻擊，AI 將被攻擊者用于攻擊的各個階段。攻擊者可以利用AI 技術進行更精準的目標研究、自動化攻擊執行，甚至開發新的攻擊工具和技術。網絡攻擊將更加復雜和難以預測。隨著攻擊技術和工具的不斷發展，網絡攻擊將更加復雜和難以預測。攻擊者將利用各種手段，例如 AI 技術、社會工程學、漏洞利用等，對目標系統進行攻擊，給安全防護帶來更大的挑戰。1.2 攻擊面管理防護要求與標準隨著網絡安全威脅的日益嚴峻和攻擊面的不斷擴大，

23、各國政府和行業組織都加大了對網絡安全的監管力度，出臺了一系列安全合規要求和標準，強調了攻擊面管理的重要性，要求企業和組織應識別和評估其所有攻擊面，并采取相應的措施進行保護和監控。攻擊面管理已經成為網絡安全的重要組成部分，是企業和組織保障網絡安全、數據安全和業務安全的重要手段。1.2.1 國外安全合規要求在國際范圍內，盡管“攻擊面管理”這一概念并未在多數政策、法規和標準中以獨立名詞的形式明確提出，但許多國外的網絡安全法規、標準和指導原則已對與攻擊面管理密切相關的實踐（如資產識別、脆弱性管理、持續監控、風險評估與處置等）提出了要求。這些政策和標準為組織構建和完善攻擊面管理體系提供了監管和合規層面的

24、依據。以下是一些主要的國外政策、法規及標準示例：美國（U.S.）相關法規、政策與框架聯邦信息安全管理法案（FISMA）。要求美國聯邦機構建立全面的網絡安全計劃，包括持續監控、資產識別及風險管理，這為攻擊面管理奠定了基礎。NIST 網絡安全框架（NISTCybersecurityFramework，CSF）。由美國國家標準與技術研究院（NIST）推出的自愿性框架，為識別、保護、檢測、響應和恢復安全能力提供指導。其中資產管理（ID.AM）和漏洞管理（PR.IP）相關措施為攻擊面管理實踐提供直接參照。NIST 特別出版物系列（如 NISTSP800-53、NISTSP800-37）。對信息系統及組織

25、層面的安全與隱私控制、風險管理流程進行標準化。SP800-53 中對持續監控、資產配置管理、脆弱性評估的要求可輔助建立系統化的攻擊面管控策略。攻擊面管理背景概述攻擊面管理技術應用指南12 美國網絡安全與基礎設施安全局（CISA）相關指令。CISA 發布的綁定操作指令（BOD），如 BOD23-01，要求美國聯邦民用部門執行持續漏洞掃描與清點資產，以減少可被利用的攻擊面。行政命令（EO14028）“提升國家網絡安全”。強調軟件供應鏈安全及持續安全監測，與攻擊面管理中常涉及的供應鏈資產識別、驗證及風險管理直接相關。CMMC（CybersecurityMaturityModelCertificati

26、on）。美國國防部推出的供應鏈安全成熟度模型，要求承包商明確資產清單、持續評估網絡脆弱性，這一要求與攻擊面管理的基礎環節高度契合。歐盟（EU）及歐洲相關法規與標準 網絡與信息安全指令（NISDirective）及 NIS2。要求成員國關鍵基礎設施提供商與數字服務商加強網絡安全風險管理，包括風險識別、持續監控與漏洞管理，這實際推動了攻擊面管理相關實踐的落地。歐洲網絡安全法（EUCybersecurityAct）及歐洲網絡與信息安全局（ENISA）指導文件。ENISA 發布的網絡威脅分析報告和最佳實踐指南涵蓋了資產識別、風險識別及緩解策略，為攻擊面管理提供參考。通用數據保護條例（GDPR）。盡管

27、GDPR 重點關注個人數據保護，但其對數據處理安全性的要求鼓勵企業重視對攻擊面的識別與保護，從而減少潛在數據泄露風險。ISO/IEC27001 與 27002 系列國際標準。這些標準為信息安全管理體系（ISMS）提供整體框架，對資產管理、漏洞管理、持續監控及風險評估均有明確要求。尤其是 ISO/IEC27002 中細化了安全控制措施，對攻擊面管理實踐給予方向性指導。英國及其他歐洲國家措施 英國國家網絡安全中心（NCSC）最佳實踐與指南。NCSC 的指導文件（如“TenStepstoCyberSecurity”）強調資產可見性、漏洞管理與持續監控，對于建立攻擊面管理機制具有借鑒意義。英國“網絡安

28、全基礎認證(CyberEssentials)”。要求組織具備基礎的安全防護措施，包括安全配置、持續補丁和風險處理，為小型企業實施初級的攻擊面管理能力提供參考。行業標準與框架 CIS 控制（CISControls）。由國際非營利組織 CenterforInternetSecurity 發布的安全控制指南在最新版本中強調準確的資產清點、持續漏洞掃描和風險優先級管理，為企業構建攻擊面管理體系提供可操作的參考控制項。PCI-DSS（PaymentCardIndustryDataSecurityStandard）。對支付行業組織提出嚴格的數據安全要求，包括定期掃描、漏洞修復與風險管理，這些要求在本質上也

29、是對攻擊面的持續管理與收斂。攻擊面管理背景概述攻擊面管理技術應用指南13 MITREATT&CK 框架。雖然不是法規，但該知識庫為組織理解攻擊者技術和策略提供結構化參考，有助于組織識別潛在攻擊路徑，進而輔助組織優化攻擊面管理策略。云與供應鏈安全相關標準與準則 CloudSecurityAlliance（CSA）指南。CSA 對云計算環境下的安全控制提出標準化建議，涵蓋持續監測、資產識別與配置管理，為云環境中的攻擊面管理提供參考模型。供應鏈安全標準與法規（如美國 EO14028 中對軟件供應鏈安全的強調）。要求組織在供應鏈層面做到資產和組件清單的透明化，進而減小供應鏈攻擊面。1.2.2 國內安全

30、合規要求國內在網絡安全和數據安全方面，從戰略、法律、條例、規定和標準等多個層面提出了明確的要求，并強調了積極防御、主動發現、及時處置和持續改進的重要性。國內安全合規要求國內相關網絡安全政策法規如下：國家信息化政策。我國 2016 年發布了國家信息化發展戰略綱要，作為規范和指導未來 10 年國家信息化發展的綱領性文件，要求樹立正確的網絡安全觀，堅持積極防御、有效應對，增強網絡安全防御能力和威懾能力，切實維護國家網絡空間主權、安全、發展利益。網絡安全相關法律。中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法等法律推動了網絡安全風險防控的重視，要求企業不僅要保護關鍵信息基

31、礎設施，還要保護個人信息和數據安全，減少因資產暴露面過大而帶來的安全風險。如中華人民共和國網絡安全法第二十一條要求網絡運營者應保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：第二十五條 網絡運攻擊面管理背景概述攻擊面管理技術應用指南14營者應及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險。如中華人民共和國數據安全法要求數據處理者采取必要措施保障數據安全，防止數據泄露、篡改和破壞。如中華人民共和國個人信息保護法要求個人信息處理者采取必要措施保護個人信息安全，防止個人信息泄露、濫用和非法交易。關鍵信息基礎設施安全保護條例。該條例于 2021 年 9 月生效，

32、要求關鍵信息基礎設施運營者采取必要措施保障關鍵信息基礎設施安全，包括識別和管理關鍵信息基礎設施攻擊面，防止網絡攻擊和數據泄露。關鍵信息基礎設施安全保護要求（GB/T39204-2022）。該標準于 2023 年 5 月 1 日正式實施，對關鍵信息基礎設施的安全保護提出了明確要求，包括分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置六個方面，提出應提升關鍵信息基礎設施應對網絡攻擊能力。如針對發生的網絡安全事件或發現的網絡安全威脅，提前或及時發出安全警示。建立威脅情報和信息共享機制，落實相關措施，提高主動發現攻擊能力。以應對攻擊行為的監測發現為基礎，主動采取收斂暴露面、捕獲、溯源、干擾和

33、阻斷等措施，開展攻防演習和威脅情報工作，提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。信息安全技術網絡安全等級保護基本要求（GBT22239-2019）。該標準提出應能夠在統一安全策略下防護免受惡意攻擊所造成的資源損害，能夠及時發現安全漏洞、發現、監測攻擊行為和處置安全事件。如應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。1.2.3 國內行業合規要求工業和信息化部、公安部等主管部門根據中華人民共和國

34、數據安全法中華人民共和國網絡安全法中華人民共和國個人信息保護法 中華人民共和國國家安全法等法律法規，陸續發布了一系列數據安全的管理辦法、細則等要求。2022 年 12 月 8 日，工業和信息化部印發工業和信息化領域數據安全管理辦法（試行），對數據安全管理，保障數據安全進行了明確的要求，如第三十四條，行業監管部門及其委托的數據安全評估機構工作人員對在履行職責中知悉的個人信息和商業秘密等，應當嚴格保密，不得泄露或者非法向他人提供。2023 年 11 月 30 日，公安機關強調要高度重視“兩高一弱”的問題，即高度重視高危漏洞和高危端口，這是“兩高”“一弱”就是弱口令這樣的問題，加強防火墻和安全軟件管

35、理，合理分配員工權限，升級多層次的密碼保護，加強軟件和設備防護，防止黑客入侵系統。2023年11月23日，工業和信息化部網絡安全管理局發布 工業和信息化領域數據安全行政處罰裁量指引（試行）（征求意見稿），制定了數據處理活動監管處罰的規定。攻擊面管理背景概述攻擊面管理技術應用指南15 2024 年 5 月 10 日，工業和信息化部發布了工業和信息化領域數據安全風險評估實施細則（試行），要求開展數據安全風險評估，重點評估以下內容：（六）發生數據遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件，對國家安全、公共利益的影響范圍、程度等風險。2024 年 10 月 29 日，工業和信息化部印

36、發工業和信息化領域數據安全事件應急預案（試行），要求建立健全數據安全事件應急組織體系和工作機制，提高數據安全事件綜合應對能力，確保及時有效地控制、減輕和消除數據安全事件造成的危害和損失。1.2.4 標準與技術規范體系國內網絡安全技術規范標準雖未對“攻擊面管理”進行專門定義，但其核心理念和要求已在多個標準中有所體現。信息安全管理體系相關標準 GB/T22080（等同采用 ISO/IEC27001）及 GB/T22081（等同采用 ISO/IEC27002）中對資產管理、風險評估、漏洞管理、持續改進有明確要求。這些要求與攻擊面管理在識別、分析和處置安全風險的流程中有高度重合。風險評估與漏洞管理標準

37、：GB/T20984信息安全技術信息安全風險評估規范：提供風險識別與評估的方法論，其中資產清點與脆弱點識別是實現攻擊面可視化與管控的核心環節。GB/T30284信息安全技術漏洞管理要求：強調對系統、應用等進行持續性漏洞監測、分析與修復，是對攻擊面中脆弱節點的直接管理手段。安全運營與應急響應相關標準 GB/T29246信息安全技術信息安全能力成熟度模型：鼓勵組織持續提升安全管理與技術能力，包括對資產及弱點進行動態監測與改進。GB/T20988信息安全技術網絡安全應急處置指南：要求對網絡安全事件進行有效檢測與快速響應，而有效的攻擊面管理能幫助提前發現潛在攻擊路徑，減少應急響應難度。1.3 攻擊面管

38、理應用必要性分析通過實施攻擊面管理，企業不僅能夠更好地識別、評估和管理其攻擊面，還能夠滿足國內外最新的安全合規要求和標準，以幫助企業降低安全風險，提升安全事件響應能力，從而提升整體安全防護能力，并降低安全運營成本。攻擊面管理背景概述攻擊面管理技術應用指南16攻擊面管理應用必要性分析（1）增強企業的風險可見性。隨著數字化轉型的深入，企業的數字資產分布變得更加廣泛和復雜，包括內部網絡、云服務、移動設備等。攻擊面管理平臺能夠全面梳理這些資產，幫助企業清晰了解自身的風險狀況，及時發現潛在的安全隱患。（2）滿足合規要求。在嚴格的法規環境下，企業需要確保其網絡安全措施符合相關法律法規。攻擊面管理平臺能夠提

39、供詳細的安全審計報告，幫助企業證明其合規性，避免因違規而遭受處罰。（3）全面、快速的資產發現能力。攻擊面管理產品應具備全面、快速的資產發現能力，包括網絡空間測繪（CAM）、多類型掃描器調度和多維度漏洞評估，以及漏洞情報和智能優先級排序（4）應對數字化轉型帶來的挑戰。數字化轉型導致 IT 架構重塑，大多數組織的網絡資產數量和復雜性增加，攻擊面急劇擴大。攻擊面管理能夠幫助企業在攻擊者發現風險之前消除或管理風險。（5）能力融合降本提效。將攻擊面管理需要的各類能力整合到一個平臺上，提升速度和準確性，減少頻繁切換安全平臺或工具的需要，降低復雜性和成本。（6）提升安全響應速度。攻擊面管理平臺能夠迅速發出預

40、警，并提供詳細的攻擊路徑和相關信息，協助企業能夠快速采取措施進行應對，有效降低損失。（7）優化安全資源配置。通過對攻擊面的評估和分析，企業可以明確安全工作的重點和優先級，將有限的安全資源投入最關鍵的領域，提高安全防護的效率和效果。攻擊面管理能力框架攻擊面管理技術應用指南17第二章 攻擊面管理能力框架新一代攻擊面管理防護理念強調持續監控、主動防御、風險導向和智能化。攻擊面管理能夠幫助企業提升資產管理效率與安全可見性、風險管理與安全控制、合規性保障與安全運營效率。企業應明確攻擊面管理目標，構建人員、流程和技術三方面的能力框架，并掌握新一代攻擊面管理關鍵技術，如自動化工具和平臺、AI 驅動的資產發現

41、和漏洞識別、攻擊面建模與可視化等。2.1 攻擊面管理發展歷程攻擊面管理的發展歷程體現了網絡安全防護理念的不斷演進過程，包括從被動響應到主動防御，從靜態分析到動態分析，從孤立的安全產品到全面的安全解決方案。未來，攻擊面管理將繼續朝著更加智能化、自動化和一體化的方向發展，為企業提供更加有效的安全防護。攻擊面管理發展歷程1.事件驅動（被動）階段（約 2000 年以前）早期網絡安全防護以被動響應為主，安全人員主要依靠安全信息和事件管理（SIEM）等工具來被動地收集和分析安全事件，并進行事件響應。安全防護的重點是識別和響應已知的攻擊，對未知威脅的防護能力不足。例如，早期的防火墻主要用于攔截已知的攻擊流量

42、，對于新型的攻擊手段經常無法有效防御。2.資產發現階段（約 2000 年-2010 年）隨著 IT 環境的日益復雜，企業開始重視資產的識別和管理，并使用漏洞掃描、配置檢查等工具來發現和評估資產的安全風險。安全防護的重點是識別和管理資產，對攻擊路徑和攻擊面的分析還不夠深入。例如，企業開始使用漏洞掃描器來發現系統和應用中的漏洞，并進行修復。3.暴露面風險驅動階段（約 2010 年-2018 年）企業開始從攻擊者的視角來審視自身的安全防御體系，并使用攻擊面管理工具來識別和評估暴露面風險。安全防護的攻擊面管理能力框架攻擊面管理技術應用指南18重點是識別和管理暴露面風險，對內部攻擊面和動態攻擊面的關注還

43、不夠。例如，企業開始使用攻擊面管理平臺來識別和管理暴露在互聯網上的資產和漏洞。4.實戰驅動階段（2018 年至今）Gartner于2018年正式提出攻擊面管理的概念，并將其定義為“持續發現、識別、清點和評估實體IT資產風險的過程”。企業開始將攻擊面管理與實戰攻防相結合，使用入侵和攻擊模擬（BAS）等技術來驗證安全防御體系的有效性，并進行持續改進。安全防護的重點是主動地識別和管理安全風險，并持續提升安全防御能力。例如，企業開始使用 BAS 平臺來模擬攻擊者的行為，并評估安全防御體系的有效性。2.2 攻擊面管理概念的改變根據 2023 年安全牛研究報告攻擊面管理應用指南 2023 版，攻擊面管理是

44、利用攻擊者視角進行風險管理的方法，通過持續識別發現企業的攻擊面，并對整體攻擊風險進行收斂和驗證，實現有效控制攻擊風險的管理方法。攻擊面是指從攻擊者的視角開展網絡安全的風險管理，類型包括外部攻擊面管理（EASM）、網絡資產攻擊面管理（CAASM）、數字風險保護服務（DRPS），能力包括資產識別、攻擊面識別、攻擊面分析、收斂與驗證和持續監控，詳情請參考攻擊面管理應用指南 2023 版。攻擊面管理框架 2023 版2.2.1 攻擊面管理需求場景的變化2023 年的攻擊面管理研究報告中，用戶則對攻擊面的概念理解并不充分，還存在很多問題與困惑；大部分廠商的攻擊面管理還是以互聯網資產識別加漏洞管理組成的產

45、品為主，并且，其主要能力體現在互聯網資產的發現。經過一年多的實踐，企業用戶對攻擊面的理解更加清晰，已經能夠準確地了解攻擊面主動防御的概念，其應用場景也開始貼合結合實戰需求而應用落地。根據 2024 年安全牛用戶調研顯示，目前 74.28%的用戶表示比較或非常了解攻擊面管理的概念。攻擊面管理能力框架攻擊面管理技術應用指南19 用戶對攻擊面的理解隨著用戶需求和理解的不斷深入，攻擊面管理的概念和內涵在不斷豐富與演變，更加適應當前的網絡安全威脅和技術發展趨勢。攻擊面管理的概念變化攻擊面管理的主要變化趨勢如下：從關注外部攻擊面到關注內部攻擊面。用戶逐漸意識到內部攻擊面的重要性，開始關注 CASSM 與

46、EASM 的融合能力。例如識別和管理未納管內外部資產、分析外部資產與內部業務之間的連接關系、識別潛在的攻擊路徑等。從資產梳理轉向資產治理優化。用戶的資產數據已經基本建立，用戶更加關注資產的質量，例如資產的數據的資產重復、屬性等數據缺失、數據沖突等，并希望利用健全的一張圖作為基礎，實現攻擊鏈路的可視化。根據安全牛調研數據，77.14%的用戶希望攻擊面可以實現資產關聯分類，自動歸屬，重要性標簽，并資產全景圖。并且45.71%的用戶希望可以得到準確的風險報告。攻擊面管理能力框架攻擊面管理技術應用指南20 從面向設備資產到面向風險管理。攻擊面管理從之前的資產發現能力轉向面向風險的發現。根據安全牛調研數

47、據，51.43%的用戶希望攻擊面可以協助威脅的檢測和響應，51.43%的用戶希望攻擊面可以進行弱密碼、配置錯誤核查，48.573%的用戶希望攻擊面可以協助漏洞管理。從單點資產管理到全鏈路風險防護。用戶更加關注全鏈路風險防護，更加關注攻擊者可能利用的攻擊路徑和攻擊目標，進行跨設備的數據關聯分析，識別完整的攻擊鏈路。根據安全牛調研數據，40%的用戶希望攻擊面可以實現展示真實攻擊路徑。從合規檢查到有效性驗證。隨著用戶安全建設能力的提高，用戶從合規檢查轉向安全有效性驗證，并且更關注檢驗安全防御體系是否能夠抵御真實的攻擊，而不是單個安全設備的防護能力。持續監控。攻擊面管理需要持續監控攻擊面的變化，例如新

48、增資產、變更資產、退役資產、新的漏洞、新的攻擊技術等，以便及時調整安全防護策略。2.2.2 攻擊面管理能力目標的變化隨著用戶對攻擊面管理的深入理解和應用場景的不斷增加，其需求也在不斷增多。原有的攻擊面管理目標正轉化為以下新的目標：資產治理優化。大部分企業已經通過各種設備獲取到相當數量的資產數據，如 HIS、EDR、WAF、CMDB 等，但是這些數據普遍問題存在數據重復、缺失、沖突等問題，需要對不同資產設備進行對接、融合和核對，實現資產管理“一張圖”。整體攻擊面梳理。攻擊面管理需要將 CAASM 與 EASM 的數據進行融合，打破內外網邊界，實現對企業整體攻擊面的全面管理。風險場景化。隨著用戶對

49、攻擊面的深入理解，不同行業的用戶開始根據自身的安全需求和風險特點，提出實際需求，廠商也正朝著行業深耕的方向發展，針對金融、能源、政府等不同行業提供差異化的解決方案。驗證實戰化。攻擊面管理要更加貼近實戰，能夠幫助用戶模擬真實的攻擊場景，并驗證安全防御體系的有效性。自動化和智能化。攻擊面管理需要自動化和智能化的工具來提高效率和效果，例如自動化資產發現、自動化漏洞掃描、智能化風險評估、自動化的安全防護等。產品服務化。攻擊面管理功能要能提供相應的產品服務和專家服務的形式提供，用戶可以借助專家能力，以及便捷靈活地獲取攻擊面管理能力，降低部署和維護成本。攻擊面管理能力框架攻擊面管理技術應用指南21攻擊面管

50、理能力目標2.3 攻擊面管理的能力框架攻擊面管理目標從之前主要針對 IT 資產和互聯網資產識別，轉變為整體攻擊面的持續可視化，對攻擊面風險開展常態化監控和管理，實現降低風險暴露，提升安全防護能力。攻擊面管理的能力框架 攻擊面管理成功的關鍵因素：資產數據和關聯要全和準。攻擊面管理的首要任務是全面、準確地識別和管理企業的所有資產，需要攻擊面管理系統具備強大的資產發現能力，并準確識別資產的屬性信息，同時，攻擊面管理系統還需要能夠識別資產之間的關聯關系，以便于進行攻擊路徑的識別。攻擊面需要“管理+技術”。攻擊面管理不僅僅是技術問題，也需要管理手段的配合。企業需要建立明確的攻擊面管理策略和標準，例如影子

51、資產/違規資產的定義、風險評估標準、安全加固標準等。攻擊面需要安全與運維協同。攻擊面管理需要安全團隊和 IT 運維團隊的協同配合，才能有效地進行資產管理、攻擊面閉環管理等。攻擊面管理能力框架攻擊面管理技術應用指南22 企業需要有一定的基礎設施基礎。攻擊面管理的實施需要企業具備一定的基礎設施基礎，攻擊面管理系統需要能夠與這些基礎設施進行集成，才能發揮最大的價值。攻擊面管理能力之一“資產治理”的特點：互聯網資產識別更全面。攻擊面管理應能夠識別企業所有面向互聯網的資產，包括組織架構、域名、IP 地址、子域名、SSL 證書、Web 應用程序、API 接口、數字資產、仿冒資產等，并能夠持續監控這些資產的

52、變化，及時發現新增資產、失效資產和變更資產等。網絡資產數據更完整。攻擊面管理應能夠識別企業內部網絡中的所有資產，包括互聯網資產、IT 影子資產、設備、中間件、應用系統等，并能夠識別資產之間的關聯關系，例如網絡拓撲結構、版本號、供應商等。資產數據更準確。攻擊面管理應能夠準確識別資產的屬性信息，例如 IP 地址、MAC 地址、操作系統、開放端口、服務版本等，并能夠及時更新資產信息，確保資產信息的準確性和完整性。資產與業務關聯更清晰。攻擊面管理應能夠將資產與業務系統進行關聯，例如識別某個 Web 應用程序屬于哪個業務系統，某個服務器承載了哪些業務應用等，以便于進行風險評估和安全防護。攻擊面管理能力之

53、二“攻擊面識別”的特點：全面覆蓋各種攻擊向量。攻擊面管理應能夠識別所有可能的攻擊向量，包括漏洞、配置缺陷、弱口令、身份和訪問管理缺陷、社會工程學攻擊等。攻擊面路徑圖。攻擊面管理應能夠繪制攻擊面路徑圖，清晰地展示攻擊者可能利用的攻擊路徑，并評估攻擊成功的可能性。攻擊面管理能力之三“基于業務的風險分析”的特點：準確評估風險。攻擊面管理應能夠對攻擊面進行風險評估，識別高風險資產和漏洞，并能夠準確計算風險評分?？茖W分析風險。攻擊面管理應能夠對風險進行分析和優先級排序，例如識別高風險資產和漏洞，確定修復的優先級。風險可視化。攻擊面管理應能夠對風險進行可視化展示，例如通過攻擊路徑圖、風險熱力圖等方式展示風

54、險，以便于用戶理解和分析。攻擊面管理能力之四“自動驗證”的特點：持續監控暴露面變化。攻擊面管理應能夠持續監控暴露面的變化，例如新增暴露面、失效暴露面、變更暴露面等，并及時發出告警。攻擊面管理能力框架攻擊面管理技術應用指南23 收斂攻擊面。攻擊面管理應能夠采取措施降低風險暴露，例如漏洞修復、安全加固、訪問控制等，并能夠驗證安全控制措施的有效性，例如模擬攻擊、滲透測試等。攻擊面管理能力之五“持續監控”的特點：持續驗證。攻擊面管理應能夠持續驗證安全控制措施的有效性，并根據驗證結果進行調整和改進。自動化。攻擊面管理應能夠自動化執行攻擊面收斂和驗證操作，例如自動化漏洞修復、自動化安全加固等。攻擊面態勢感

55、知。應實時感知企業的攻擊面態勢，例如當前面臨的威脅、攻擊者的活動軌跡、攻擊的影響范圍等，并提供態勢分析報告和可視化展示。2.4 關鍵技術為了支撐新的攻擊面管理能力框架，攻擊面管理的關鍵技術涵蓋了資產識別、漏洞掃描、風險評估、持續威脅暴露管理、攻擊路徑分析、入侵和攻擊模擬等多個方面。了解這些技術的實現原理，可以幫助企業更好地理解和應用攻擊面管理，從而降低安全風險，提升安全防護能力。攻擊面管理關鍵技術攻擊面管理的關鍵技術有以下：（1）資產識別技術 主動掃描技術。通過發送網絡探測數據包（例如 ping、TCPSYN 等），來探測目標網絡中的活動主機和開放端口，并識別主機的操作系統、服務類型等信息。例

56、如，使用 Nmap 工具掃描目標網絡，可以發現網絡中的主機、開放端口、操作系統、服務版本等信息。攻擊面管理能力框架攻擊面管理技術應用指南24 被動掃描技術。通過監聽網絡流量（例如 ARP 請求、DNS 查詢等），來識別網絡中的活動主機和開放端口，并識別主機的操作系統、服務類型等信息。例如，使用 tcpdump 工具監聽網絡流量，可以分析流量中的主機信息和服務信息。網絡空間測繪技術。通過對互聯網上的資產進行掃描和探測，例如 IP 地址、域名、網站等，來識別企業的外部資產和攻擊面。例如，使用 Shodan 搜索引擎搜索企業的 IP 地址和域名，可以發現企業暴露在互聯網上的資產和服務。威脅情報技術。

57、通過收集和分析各種威脅情報，例如漏洞信息、攻擊事件、惡意軟件等，來識別與企業資產相關的威脅信息。例如，訂閱威脅情報平臺的漏洞信息，可以及時了解最新的漏洞信息，并識別企業資產中受影響的資產。Agent 技術。在終端設備上安裝 Agent 程序，收集終端設備的信息，例如操作系統、硬件配置、軟件安裝情況等，并將其上傳到攻擊面管理平臺。以上具體可參見安全牛攻擊面管理應用技術指南 2023 版中相關內容。（2）資產數據質量治理技術 集成現有資產數據。與企業現有的安全產品進行對接，例如WAF、CMDB、EDR等，讀取其中的資產數據并集中存儲。融合。采用數據融合技術，將不同來源的資產數據進行融合，例如根據資

58、產的唯一標識符進行融合，并解決數據沖突問題，例如華云安的攻擊面管理平臺，支持對多種數據源的資產數據進行融合，包括 CMDB、漏洞掃描器、網絡掃描器等，并能夠識別和處理數據沖突，例如 IP 地址沖突、MAC 地址缺失等。清洗。對采集到的數據進行清洗，例如去除重復數據、糾正錯誤數據等，例如知其安的攻擊面管理平臺，支持對資產數據進行清洗，例如識別和刪除重復資產、補充缺失的資產信息、糾正錯誤的資產屬性等。去重和異常處理。對全部的資產數據進行清洗、去重和異常處理，形成資產清單。（3）攻擊面識別技術攻擊面發現技術用于識別和分析企業面臨的各種安全風險和威脅，包括漏洞、配置缺陷、弱口令、數據泄露等。漏洞掃描。

59、通過漏洞掃描工具對資產進行掃描，發現資產中存在的安全漏洞。例如，使用漏洞掃描器對服務器進行漏洞掃描，發現服務器中存在的漏洞，并評估漏洞的風險等級。配置檢查。通過配置檢查工具對資產進行檢查，發現資產中存在的配置缺陷，例如，網絡設備中存在的弱口令、默認賬戶等安全風險。攻擊面管理能力框架攻擊面管理技術應用指南25 敏感信息識別。通過敏感信息識別工具對資產進行掃描，發現資產中存在的敏感信息，例如機密文件、源代碼、數據庫密碼等的存儲位置和訪問權限。數據泄漏檢測。通過數據泄漏檢測工具對網絡流量進行監控，關注文件的上傳、下載、郵件發送等，發現數據泄露行為，例如使用網絡流量分析工具監控企業網絡流量，發現是否有

60、機密文件通過郵件發送到外部。威脅情報。通過威脅情報平臺獲取最新的威脅情報，例如漏洞信息、攻擊事件、惡意軟件等，并用于攻擊面管理。例如，訂閱威脅情報平臺的漏洞信息，及時了解最新的漏洞信息，并識別企業資產中受影響的資產。暗網監控。通過暗網監控工具對暗網進行監控，發現是否有企業敏感信息泄露到暗網。例如，使用暗網監控工具監控暗網論壇、交易平臺等，發現是否有企業機密文件、數據庫密碼等敏感信息在暗網流通。（4）風險評估技術 定量風險評估。使用數學模型對風險進行量化評估，例如計算風險發生的概率和損失。例如，使用 CVSS 評分模型對漏洞進行風險評估，可以計算漏洞的風險評分，并根據風險評分對漏洞進行優先級排序

61、。定性風險評估。對風險進行定性評估，例如評估風險的影響程度和可能性。例如，安全專家可以根據漏洞的類型、攻擊的復雜度、影響的范圍等因素，對漏洞進行定性評估。（5）持續威脅暴露管理（CTEM）持續的攻擊面監控。持續監控企業攻擊面的變化，例如新增資產、變更資產、退役資產、新的漏洞、新的攻擊技術等?；陲L險的優先級排序。對威脅暴露進行風險評估，并根據漏洞的 CVSS 評分、漏洞的利用難度、漏洞的實際業務的影響范圍等因素進行優先級排序。多維度的安全驗證。使用多維度的安全驗證，例如漏洞掃描、配置檢查、滲透測試、入侵和攻擊模擬等，以驗證安全控制措施的有效性。例如模擬各種類型的攻擊，例如勒索軟件攻擊、APT

62、攻擊、DDoS 攻擊等，以評估企業安全防御體系的有效性。自動化的安全響應。開展自動化的安全響應，例如自動下發漏洞修復指令、自動加固安全配置等，以提高安全響應效率。持續的改進。根據新的威脅和漏洞情報，持續改進攻擊面管理方案，以確保企業始終處于安全狀態。（6）攻擊路徑分析技術 基于圖論的攻擊路徑分析。將網絡拓撲結構和資產之間的連接關系表示為圖，對網絡拓撲結構進行自動發現和建攻擊面管理能力框架攻擊面管理技術應用指南26模，并結合漏洞信息、威脅情報等信息，分析攻擊者可能利用的攻擊路徑，并評估攻擊成功的可能性。例如，使用攻擊路徑分析工具可以分析攻擊者從互聯網到企業內網關健服務器的攻擊路徑，并識別攻擊路徑

63、上的未打補丁的漏洞、弱口令等薄弱環節?；诠翩湹墓袈窂椒治?。根據攻擊鏈模型，分析攻擊者可能采取的攻擊步驟，并識別每個步驟可能利用的漏洞和攻擊技術。例如，根據網絡殺傷鏈模型(CyberKillChain)，結合企業的實際情況和安全需求，分析攻擊者從偵察、武器化、投遞、利用、安裝、指揮與控制、行動到目標的攻擊步驟，并識別每個步驟可能利用的漏洞和攻擊技術。攻擊路徑可視化。將攻擊路徑分析的結果以圖形化的方式展示出來，例如攻擊路徑圖、攻擊樹等，以便于用戶理解和分析。例如，使用攻擊路徑圖可以清晰地展示攻擊者可能利用的攻擊路徑、攻擊路徑上的薄弱環節，以及攻擊成功的可能性。（7）入侵和攻擊模擬（BAS）模

64、擬攻擊。模擬各種類型的攻擊，例如模擬攻擊者利用社會工程學手段獲取初始訪問權限、模擬攻擊者在內網進行橫向移動，以及勒索軟件攻擊、APT 攻擊、DDoS 攻擊等，以評估企業安全防御體系的有效性。攻擊路徑分析。分析攻擊者可能利用的攻擊路徑，并識別薄弱環節。例如，利用 BAS 分析攻擊者從互聯網到企業內網重要服務器的攻擊路徑，并識別攻擊路徑上的薄弱環節，例如未打補丁的漏洞、弱口令等。安全驗證。驗證安全控制措施的有效性，例如防火墻、入侵檢測系統等。例如，利用 BAS 模擬攻擊者對防火墻進行攻擊，測試防火墻是否能夠有效地攔截攻擊流量。安全評估。對企業的整體安全狀況進行評估，并提供改進建議。例如，根據模擬攻

65、擊的結果，評估企業安全防御體系的整體安全狀況，并提供改進建議，例如加強安全意識培訓、優化安全策略、部署新的安全設備等。攻擊面管理應用場景分析攻擊面管理技術應用指南27第三章 攻擊面管理應用場景分析攻擊面管理的應用場景非常廣泛，不同行業和規模的用戶對攻擊面管理的需求存在差異，攻擊面管理產品和服務需要針對用戶的實際需求進行交付，才能更好地滿足用戶的需求，幫助用戶提升安全防護能力，接下來我們將從不同的行業用戶場景和企業規模進行舉例說明。攻擊面管理應用場景3.1 行業用戶場景（1）金融行業金融行業對數據安全和合規性要求較高，并且業務系統復雜，攻擊面廣泛。金融行業經常面臨來自外部攻擊、內部威脅、數據泄露

66、等多方面的安全挑戰，具有難全面識別攻擊面，難以有效地規避安全風險、滿足日益嚴格的安全合規要求等痛點。金融行業經常遭受網絡釣魚攻擊造成用戶信息泄露，遭受因系統漏洞攻擊而造成銀行系統中斷，遭受勒索軟件攻擊而造成數據丟失。攻擊面管理場景：敏感數據發現和保護。外部攻擊面管理。應用系統漏洞掃描和安全加固。攻擊面管理應用場景分析攻擊面管理技術應用指南28 API 識別、測試和防護。攻擊面管理目標：全面識別和管理金融機構的攻擊面，包括外部攻擊面和內部攻擊面。及時發現和緩解安全風險，防止數據泄露和業務中斷。滿足金融行業的安全合規要求等。（2）政府行業政府行業是國家關鍵信息基礎設施的重要組成部分，其安全關系到國

67、家安全和社會穩定。政府行業常擁有大量的關鍵信息基礎設施，例如政府網站、政務系統等。存儲和處理大量的敏感政府數據，例如公民個人信息、政府機密文件等。面臨來自 APT 攻擊、網絡恐怖主義等多方面的安全挑戰?？赡茉馐苷W站、政務系統等攻擊，竊取敏感政府數據等。攻擊面管理場景：資產識別和風險評估。漏洞掃描、安全加固和入侵檢測。數據安全和隱私保護。安全合規檢查。攻擊面管理目標：全面識別和管理政府部門的攻擊面，包括外部攻擊面和內部攻擊面。及時發現和緩解安全風險，防止數據泄露和業務中斷。滿足政府行業的安全合規要求，例如等級保護制度等。（3）能源行業能源行業是國家關鍵基礎設施的重要組成部分，其安全關系到國家

68、能源安全和經濟發展。能源行業擁有大量的關鍵信息基礎設施，例如電力系統、石油管道等。并且工業控制系統（ICS）和運維技術（OT）環境復雜，安全防護難度大。常面臨能源關鍵基礎設施攻擊，能源生產中斷，例如攻擊電力系統導致大規模停電、攻擊石油管道導致石油泄漏等。攻擊面管理應用場景分析攻擊面管理技術應用指南29 攻擊面管理場景：ICS 和 OT 資產的識別和風險評估。漏洞掃描、安全加固和入侵檢測。異常行為檢測和安全事件響應。與工業控制系統安全防護技術的集成。攻擊面管理目標：全面識別和管理能源行業的攻擊面，包括 IT 攻擊面和 OT 攻擊面。及時發現和緩解安全風險，防止網絡攻擊和物理破壞。保障能源生產和供

69、應的安全穩定運行。（4）醫療行業醫療行業涉及大量的敏感醫療數據，例如患者個人信息、病歷等，其安全和隱私保護至關重要。并且醫療設備和系統種類繁多，安全防護難度大?？赡茉馐茚t療機構的網絡系統被攻擊，竊取敏感醫療數據，影響醫療服務的正常開展。應用攻擊面管理的場景：醫療數據的發現和分類。數據安全和隱私保護。醫療設備和系統的漏洞掃描和安全加固。安全事件響應和應急處置。攻擊面管理目標：全面識別和管理醫療機構的攻擊面，包括外部攻擊面和內部攻擊面。及時發現和緩解安全風險，防止數據泄露和業務中斷。滿足醫療行業的安全合規要求，例如 HIPAA 等。攻擊面管理應用場景分析攻擊面管理技術應用指南303.2 企業規模分

70、類（1）大型企業大型企業的資產數量眾多，類型多樣，包括傳統 IT 資產、云資產、物聯網設備、OT 設備等，并且網絡環境復雜，包括物理網絡、虛擬化網絡、云網絡等，同時安全防護體系較為完善，但面臨的安全挑戰也更大。大型企業由于資產數量眾多、網絡環境復雜，大型企業面臨的攻擊面廣泛，容易成為攻擊者的目標。攻擊面管理場景：全面識別和管理企業的攻擊面，包括所有類型的資產和網絡環境 對攻擊面進行精細化的風險評估，并根據風險評估結果進行優先級排序 動化地執行攻擊面收斂操作，例如自動化漏洞修復、自動化安全配置加固等 將攻擊面管理平臺與現有的安全體系進行聯動，例如與 SOC、SIEM、SOAR 等平臺進行集成 攻

71、擊面管理應用建設大型企業由于其 IT 環境和安全需求的復雜性，攻擊面管理的建設需要分階段逐步推進。第一階段：攻擊面可視化 應用攻擊面管理的場景：全面識別和管理企業的攻擊面，包括所有類型的資產和網絡環境。對攻擊面進行初步的風險評估，識別高風險資產和漏洞。將攻擊面管理平臺與現有的安全體系進行初步聯動，例如與 SOC、SIEM 等平臺進行集成。攻擊面管理目標：建立統一的攻擊面視圖，全面了解企業的資產狀況、安全風險和攻擊面暴露情況。初步實現攻擊面的可視化和風險的識別。關鍵點：資產發現和攻擊面識別能力。攻擊面管理應用場景分析攻擊面管理技術應用指南31 基本的風險評估和攻擊路徑分析能力。與其他安全產品和平

72、臺的初步集成能力。第二階段：攻擊面風險管理 應用攻擊面管理的場景：對攻擊面進行精細化的風險評估，并根據風險評估結果進行優先級排序。自動化地執行部分攻擊面收斂操作，例如自動化漏洞修復、自動化安全配置加固等。加強與現有安全體系的聯動，例如與 SOAR 等平臺進行集成，實現安全事件的自動化響應。攻擊面管理目標：有效地管理安全風險，降低安全事件發生的概率。提高安全運營效率，降低安全運營成本。關鍵點：精細化的風險評估和攻擊路徑分析能力。自動化的攻擊面收斂和安全加固能力。與其他安全產品和平臺的深度集成能力。第三階段：攻擊面持續監控與優化 應用攻擊面管理的場景：持續監控攻擊面的變化，及時發現新的風險和威脅。

73、持續優化攻擊面管理策略和流程，提高攻擊面管理的效率和有效性。將攻擊面管理融入企業的整體安全體系中，實現安全運營的閉環管理。攻擊面管理目標：持續降低風險暴露，提升安全防護能力。攻擊面管理應用場景分析攻擊面管理技術應用指南32 實現安全與業務的平衡發展。滿足安全合規要求，提升企業安全形象。關鍵點：持續監控和攻擊面態勢感知能力。安全運營和自動化響應能力。與其他安全產品和平臺的深度融合能力。（2）中型企業中型企業的資產數量適中，類型多樣，一般包括傳統 IT 資產、云資產等，但是網絡環境較為復雜，包括物理網絡、虛擬化網絡等。安全防護體系處于建設階段，安全防護能力有待提升。安全預算和人力資源有限，通常沒有

74、專門的安全團隊，安全人員需要兼顧多種安全工作。由于安全防護能力相對薄弱，缺乏專業的安全管理工具和平臺，安全人員缺乏專業的安全知識和技能，中型企業容易成為攻擊者的目標?？赡茉馐芾账鬈浖?、釣魚郵件等攻擊。并難以對攻擊面進行全面、有效的管理，難以應對復雜的網絡安全威脅。應用場景：覆蓋關鍵的資產和攻擊面，例如面向互聯網的資產、關鍵業務系統等。對關鍵攻擊面進行風險評估，并能夠根據風險評估結果進行優先級排序。自動化地執行安全加固操作，例如漏洞修復、安全配置加固等。選擇易于使用的攻擊面管理平臺，以便于安全團隊快速上手和操作。攻擊面管理目標：降低安全風險，提高安全防護能力。提高安全運營效率，降低安全運營成本。

75、滿足基本的安全合規要求。關鍵點：實用性和易用性。攻擊面管理應用場景分析攻擊面管理技術應用指南33 成本效益。自動化的安全加固能力?；镜娘L險評估和攻擊面可視化能力。（3）小型企業小型企業的資產數量較少，類型相對單一，主要包括傳統 IT 資產和一些基礎的云服務。安全防護能力薄弱，通常只部署了一些基礎的安全設備，例如防火墻、殺毒軟件等。缺乏專業的安全團隊和充足的安全預算，安全意識和安全投入不足。應用場景：對企業的基本攻擊面進行可視化，例如面向互聯網的資產、主要的網絡設備等。對主要的攻擊面進行風險評估，并能夠識別主要的風險。獲得安全加固建議，例如漏洞修復建議、安全配置建議等。得外部的安全服務，例如漏

76、洞掃描服務、滲透測試服務等。攻擊面管理目標：降低安全風險，提高基本的安全防護能力。滿足基本的安全合規要求。關鍵點：使用易用和低成本的 Saas 在線自助服務 利用第三方專家安全服務。攻擊面管理應用實施方法攻擊面管理技術應用指南34第四章 攻擊面管理應用實施方法4.1 攻擊面管理實施原則在構建攻擊面管理體系的過程中，企業需要遵循一些關鍵原則，才能確保攻擊面管理體系的有效性和可持續性。以下是一些建議的攻擊面管理實施建設原則：攻擊面管理實施原則 全面性原則。應覆蓋所有的攻擊面，包括內部和外部攻擊面、傳統 IT 資產和新興 IT 資產（如云資產、物聯網設備、OT 設備等），以及第三方攻擊面（如供應鏈、

77、合作伙伴等）。持續性原則。攻擊面管理應是一個持續的過程，而不是一次性的活動。風險導向原則。攻擊面管理應以風險管理為核心，識別、評估和控制網絡安全風險。應將有限的資源集中到高風險的攻擊面上。主動防御原則。攻擊面管理應強調主動發現和防御，例如通過模擬攻擊、漏洞驗證、威脅情報等手段來識別和降低風險。適應性原則。應根據企業的具體情況進行調整和優化，例如企業的規模、行業、安全需求等。自動化原則。應盡可能地自動化攻擊面管理流程，例如自動化資產發現、自動化漏洞掃描、自動化風險評估等。智能化原則。應積極探索人工智能（AI）技術在攻擊面管理中的應用，例如自動化資產發現、智能化風險評估、自動化的安全防護等。攻擊面

78、管理應用實施方法攻擊面管理技術應用指南354.2 攻擊面管理實施目標攻擊面管理實施建設的目標應根據企業的實際情況和安全需求進行制定，并分解為短期、中期和長期目標，逐步推進，最終實現降低風險暴露，提升安全防護能力的目標，攻擊面管理實施建設的目標應與企業的整體安全戰略和業務目標相一致。一般來說，攻擊面管理實施建設的目標可以分解為以下幾個層次：攻擊面管理實施目標1.短期目標（1）建立攻擊面管理體系框架：明確攻擊面管理的范圍、職責和流程。建立攻擊面管理的組織架構和人員配備。選擇合適的攻擊面管理工具和平臺。（2）提升攻擊面可視化能力：全面識別和梳理企業所有資產，包括 IT 資產、OT 資產、云資產、Io

79、T 設備等。識別所有可能的攻擊向量，包括漏洞、配置缺陷、弱口令等。對攻擊面進行風險評估，識別高風險資產和漏洞。攻擊面管理應用實施方法攻擊面管理技術應用指南36（3）初步實現攻擊面風險的收斂：針對高風險資產和漏洞，采取措施進行緩解和處置，例如漏洞修復、攻擊面收斂、訪問控制等。驗證安全控制措施的有效性，例如模擬攻擊、滲透測試等。2.中期目標（1）完善攻擊面管理體系：優化攻擊面管理流程，提高效率和準確性。加強跨部門的溝通和協作，例如安全團隊、IT 運維團隊、業務部門等之間的協作。將攻擊面管理與其他安全技術和平臺進行集成，例如與漏洞管理、威脅情報、安全運營中心（SOC）等 平臺進行集成和聯動。（2）提

80、升攻擊面風險的管理水平：持續監控攻擊面的變化，例如新增資產、變更資產、退役資產、新的漏洞、新的攻擊技術等。對風險進行分析和優先級排序，例如識別高風險資產和漏洞，確定修復的優先級。對風險進行可視化展示，例如通過攻擊路徑圖、風險熱力圖等方式展示風險。（3）提升安全事件響應能力：對安全事件進行響應和處置，例如安全事件的識別、分析、響應和恢復等。對安全事件進行溯源和分析，例如識別攻擊源、攻擊路徑、攻擊目標等。3.長期目標 構建全面、持續、有效、主動、協同、自動化、智能化和適應性的攻擊面管理體系。持續降低風險暴露，提升安全防護能力。實現安全與業務的平衡發展。滿足安全合規要求，提升企業安全形象。攻擊面管理

81、應用實施方法攻擊面管理技術應用指南374.3 攻擊面管理實施思路與方法構建一個完善的攻擊面管理平臺架構，可以幫助企業有效地實施攻擊面管理，降低安全風險，提升安全防護能力。以下是一個建議的攻擊面管理系統架構，以及每個部分應實現的功能：攻擊面管理主要功能（1）資產發現資產發現可以通過主動掃描發現、被動流量發現和集成數據等方式。主動發現：配置掃描的 IP 地址范圍、端口范圍、協議等。建議進行全面的資產發現，包括所有網絡區域和設備類型。例如，可以將企業的整個內網 IP 地址段配置為掃描范圍，并掃描所有常見的端口，例如 80、443、3389 等。被動發現：配置網絡流量鏡像，將網絡設備的流量鏡像到攻擊面

82、管理平臺。被動發現可以發現主動掃描無法發現的資產，例如隱藏在 NAT 后面的資產。例如，可以將核心交換機的流量鏡像到攻擊面管理平臺，以便于平臺收集和分析網絡流量，識別網絡中的資產。集成現有安全產品數據：集成現有安全產品數據，融合處理形成資產清單 與企業現有的安全產品進行對接，例如 WAF、CMDB、EDR 等，讀取其中的資產數據并集中存儲。對全部的資產數據進行清洗、去重和異常處理，形成資產清單。針對資產清單實現資產之間、資產與業務的關聯，根據業務的重要性進行責任人和重要性標記。關鍵點：攻擊面管理應用實施方法攻擊面管理技術應用指南38 資產發現的全面性和準確性：應盡可能地發現所有資產，并準確識別

83、資產的類型、屬性、位置等信息。資產數據的融合和清洗：對收集的資產數據進行融合、清洗，以形成沒有數據錯誤、完整的資產列表。資產分類和標記的合理性：根據企業的實際情況和安全需求，對資產進行合理的分類和標記，以便于后續的風險評估和安全防護。資產管理的自動化和智能化：盡可能地自動化資產管理流程，例如自動化資產發現、自動化資產分類、自動化資產變更管理等。（2）攻擊面識別攻擊面識別是指識別所有可能被攻擊者利用的攻擊向量，例如漏洞、配置缺陷、弱口令、身份和訪問管理缺陷等。攻擊面識別是攻擊面管理的重要環節，只有識別出所有可能的攻擊向量，才能有效地進行風險評估和安全防護。漏洞掃描：對資產進行漏洞掃描，發現資產中

84、存在的安全漏洞，例如 Web 漏洞、操作系統漏洞、數據庫漏洞等。配置漏洞掃描策略，例如掃描的頻率、漏洞庫、掃描插件等。對漏洞掃描結果進行分析和評估，例如識別高危漏洞、分析漏洞趨勢等。例如，可以使用 Nessus 漏洞掃描器對服務器進行漏洞掃描，發現服務器中存在的漏洞，并評估漏洞的風險等級。配置檢查：對資產進行配置檢查，發現資產中存在的配置缺陷，例如弱口令、未授權訪問等。配置檢查策略，例如檢查的規則、檢查的頻率等。對配置檢查結果進行分析和評估，例如識別不安全的配置、分析配置缺陷趨勢等。例如，可以使用漏洞掃描器對網絡設備進行配置檢查，發現網絡設備中存在的弱口令、默認賬戶等安全風險。數字風險識別：通

85、過威脅情報分析、數據泄露監測、網絡爬蟲等技術手段，識別和評估數字風險，例如釣魚攻擊、數據泄露、品牌仿冒等。配置數字風險識別策略，例如監控的渠道、監控的頻率等。對數字風險識別結果進行分析和評估，例如識別高風險的數字風險、分析數字風險趨勢等。例如，使用數據泄露監測平臺監控暗網、社交媒體等渠道，發現是否有企業敏感數據泄露。第三方風險識別：通過收集和分析第三方的安全信息，識別和評估第三方風險，例如供應鏈攻擊、合作伙伴安全攻擊面管理應用實施方法攻擊面管理技術應用指南39風險等。配置第三方風險識別策略，例如評估的指標、評估的頻率等。對第三方風險識別結果進行分析和評估，例如識別高風險的第三方、分析第三方風險

86、趨勢等。例如，對供應商進行安全評估，了解供應商的安全狀況，并識別潛在的供應鏈安全風險。關鍵點：識別方法的全面性和有效性：攻擊面識別應采用多種方法，例如漏洞掃描、配置檢查、威脅情報分析等，并確保方法的有效性。識別結果的準確性和及時性：攻擊面識別應盡可能準確識別所有可能的攻擊向量，并及時發現新的攻擊向量。識別結果的可視化和易用性：攻擊面識別結果應易于理解和使用。（3）攻擊面風險分析攻擊面風險分析是指對攻擊面進行風險評估，識別高風險資產和漏洞，并進行優先級排序。風險分析是攻擊面管理的核心環節，只有準確地評估風險，才能有效地進行安全防護。風險評估：對資產和漏洞進行風險評估，例如根據資產的重要性、漏洞的

87、嚴重程度、威脅情報等因素進行評估，并計算風險評分。選擇合適的風險評估模型，例如 CVSS 評分模型、DREAD 模型等。配置風險評估參數，例如資產的重要性權重、漏洞的嚴重程度權重等。例如，可以使用風險評估模型對服務器和漏洞進行風險評估，例如根據 CVSS 評分模型，評估服務器中存在的漏洞的風險等級。風險優先級排序：根據風險評分、資產的重要性、業務影響等因素，對風險進行優先級排序，以便于企業進行風險處置。配置風險優先級排序規則，例如根據風險評分、資產的重要性、業務影響等因素進行排序。例如，將風險評分較高的漏洞優先進行修復，將影響關鍵業務系統的漏洞優先進行處理。風險可視化：對風險進行可視化展示，例

88、如通過攻擊路徑圖、風險熱力圖等方式展示風險，以便于用戶理解和分析。攻擊面管理應用實施方法攻擊面管理技術應用指南40 選擇合適的風險可視化工具，例如攻擊路徑圖、風險熱力圖等。配置風險可視化參數，例如顯示的指標、顏色等。例如，使用攻擊路徑圖展示攻擊者可能利用的攻擊路徑，使用風險熱力圖展示企業網絡中風險資產的分布情況。關鍵點：風險評估的準確性和全面性：應盡可能準確評估風險，并考慮各種因素，例如資產的重要性、漏洞的嚴重程度、威脅情報等。風險分析的科學性和有效性：應采用科學的風險分析方法，例如定量分析、定性分析等，并能夠有效地識別高風險資產和漏洞。風險可視化的直觀性和易用性：風險可視化應易于理解和使用，

89、并能夠幫助用戶快速了解企業的風險信息。（4）暴露面管理暴露面管理應識別和管理企業所有面向互聯網的暴露面，例如域名、IP 地址、Web 應用程序、API 接口等，并對暴露面進行風險評估和安全加固。功能：自動發現和識別企業的互聯網暴露面，例如域名、IP 地址、Web 應用程序、API 接口等。對暴露面進行風險評估，例如識別暴露面中存在的漏洞、配置缺陷、弱口令等。對暴露面進行安全加固，例如修復漏洞、改進安全配置、加強訪問控制等。持續監控暴露面的變化，例如新增暴露面、失效暴露面、變更暴露面等。關鍵點：暴露面發現的全面性和準確性：應盡可能地發現所有暴露面，并準確識別暴露面的類型、屬性、位置等信息。風險評

90、估的準確性和及時性：應盡可能準確評估暴露面的風險，并及時發現新的風險。安全加固的有效性和及時性：應采取有效的措施對暴露面進行安全加固，并及時修復新的漏洞和安全隱患。監控的實時性和全面性：應實時監控暴露面的變化，并及時發現新增暴露面、失效暴露面、變更暴露面等。（5）攻擊面驗證攻擊面管理應用實施方法攻擊面管理技術應用指南41攻擊面驗證應驗證企業安全防御體系的有效性，例如通過模擬攻擊、滲透測試等方式，發現企業網絡中存在的安全漏洞和風險。功能：支持多種攻擊面驗證方法，例如模擬攻擊、滲透測試、漏洞掃描等。提供攻擊面驗證報告，例如安全評估報告、滲透測試報告等。支持對攻擊面驗證結果進行分析和評估，例如識別仍

91、然存在的安全風險，并提出改進建議。關鍵點：驗證方法的科學性和有效性：應采用科學的驗證方法，例如模擬攻擊、滲透測試、漏洞掃描等，并能夠有效地評估安全防御體系的有效性。驗證結果的準確性和全面性：應盡可能準確評估安全防御體系的有效性，并覆蓋所有關鍵資產和攻擊面。驗證流程的自動化和智能化：盡可能地自動化驗證流程，例如自動化模擬攻擊、自動化漏洞掃描等。（6）攻擊面監控監控建設應實時監控企業的攻擊面信息，例如資產的變化情況、漏洞的變化情況、網絡流量的異常情況等，并及時發出告警。實時采集和分析企業的攻擊面信息，例如資產信息、漏洞信息、網絡流量信息等。支持自定義監控指標和告警規則，例如可以根據企業的實際情況和

92、安全需求，自定義監控的指標和告警的閾值。提供多種告警方式，例如郵件告警、短信告警、微信告警等。提供監控報表和趨勢分析，例如可以查看資產的變化趨勢、漏洞的變化趨勢、網絡攻擊的趨勢等。關鍵點：監控的全面性和實時性：應盡可能地監控所有攻擊面信息，并實時采集和分析數據。告警的準確性和及時性：應盡可能地避免誤報和漏報，并及時發出告警。監控報表的直觀性和易用性：監控報表應易于理解和使用，并能夠幫助用戶快速了解企業的攻擊面態勢。（7）攻擊態勢感知的建設攻擊面管理應用實施方法攻擊面管理技術應用指南42攻擊態勢感知應實時感知企業的攻擊面態勢，例如當前面臨的威脅、攻擊者的活動軌跡、攻擊的影響范圍等，并提供態勢分析

93、報告和可視化展示。實時采集和分析企業的攻擊面信息，例如資產信息、漏洞信息、網絡流量信息、威脅情報信息等。關聯分析不同來源的數據，例如將漏洞信息與資產信息進行關聯，將威脅情報信息與網絡流量信息進行關聯等。識別攻擊者的活動軌跡，例如識別攻擊者的 IP 地址、攻擊手法、攻擊目標等。評估攻擊的影響范圍，例如評估攻擊可能造成的損失、影響的業務系統等。提供態勢分析報告和可視化展示，例如攻擊面態勢圖、攻擊路徑圖、攻擊事件時間線等。關鍵點：態勢感知的準確性和實時性：應盡可能準確感知企業的攻擊面態勢，并實時更新態勢信息。態勢分析的科學性和有效性：應采用科學的態勢分析方法，例如攻擊鏈分析、威脅情報分析等，并能夠有

94、效地識別安全威脅和風險。態勢展示的直觀性和易用性：態勢展示應易于理解和使用，并能夠幫助用戶快速了解企業的攻擊面態勢。4.4 攻擊面管理應用挑戰與建議組織在實施攻擊面管理時常面臨多方面挑戰，包括對底層資產數據的準確收集與持續更新難題、不同安全工具與平臺之間數據孤島與整合困難、無法準確全面地識別攻擊面，以及攻擊面風險評價不準確等。針對這些問題，安全牛根據調研結果和研究發現，將給出相關參考建議。（1）挑戰：企業已經有 CMDB、SOC 了，那么是否還需要攻擊面管理呢？安全牛建議：攻擊面管理與 CMDB、SOC 等不同，CMDB 側重于 IT 資產的管理，SOC 側重于安全事件的監控和響應，而攻擊面管

95、理則側重于從攻擊者的視角來識別、評估和管理安全風險，三者共同構成了企業安全防護體系的重要組成部分。CMDB vs CAASM：CMDB（配置管理數據庫）側重于 IT 資產的管理，記錄和跟蹤資產的配置信息、生命周期等，主要用于 IT 運維管理。而 CAASM（網絡資產攻擊面管理）則側重于 IT 資產的安全屬性，例如漏洞、配置缺陷、風險等級等，主要用于安全風險管理。資產風險運營 vs SOC：資產風險運營是通過檢查來提前發現潛在的安全隱患，并及時采取措施進行管理。而SOC（安全運營中心）是通過實時監控和分析來發現正在發生的安全事件和響應安全威脅。攻擊面管理應用實施方法攻擊面管理技術應用指南43（2

96、）挑戰：對接其他安全產品（如 WAF、CMDB、EDR 等）進行資產數據的收集時，資產數據的多源異構和數據沖突。例如 IP 地址不一樣、MAC 地址缺失等。安全牛建議，造成的原因主要是不同安全產品采集資產信息的維度和方式不同，導致數據存在差異和沖突，企業應：數據標準化：建立統一的資產數據標準，對不同來源的數據進行標準化處理，例如統一 IP 地址的格式、MAC 地址的格式等。數據融合：采用數據融合技術，將不同來源的資產數據進行融合，例如根據資產的唯一標識符進行融合，并解決數據沖突問題。數據質量控制：對資產數據進行質量控制，例如識別和處理重復資產、缺失資產、數據沖突等問題。（3）挑戰：無法準確全面

97、地識別攻擊面，例如未授權的訪問路徑等。安全牛建議：造成的原因主要是攻擊面的復雜性和動態性，以及用戶對攻擊面缺乏了解等因素，導致攻擊面識別的準確性和全面性不足，企業應：采用多種攻擊面識別技術：結合多種攻擊面識別技術，例如漏洞掃描、配置檢查、威脅情報分析、攻擊路徑分析等，以提高攻擊面識別的準確性和全面性。持續監控攻擊面變化：持續監控攻擊面的變化，例如新增資產、變更資產、退役資產、新的漏洞、新的攻擊技術等，并及時更新攻擊面信息。加強安全意識培訓：加強對員工的安全意識培訓，提高員工對攻擊面的認識和防范意識。（4）挑戰：攻擊面風險評價不準確，例如難以評估風險的嚴重程度、難以確定風險的優先級等。安全牛建議

98、，造成的原因主要是風險評估的因素眾多、數據來源分散、分析方法復雜等因素，以及用戶缺乏風險評估的經驗和知識等，導致風險評估的準確性和有效性不足，企業應：建立科學的風險評估模型：根據企業的實際情況和安全需求，建立科學的風險評估模型，并選擇合適的風險評估方法，例如定量風險評估、定性風險評估等。采用威脅情報：采用威脅情報平臺，例如威脅情報平臺、安全運營中心（SOC）等，獲取最新的威脅情報，并用于風險評估和分析。風險可視化：對風險進行可視化展示，例如通過攻擊路徑圖、風險熱力圖等方式展示風險，以便于用戶理解和分析。（5）挑戰：用暴露面管理的處置效率低下。攻擊面管理應用實施方法攻擊面管理技術應用指南44安全

99、牛建議，造成的原因主要是用戶在處置暴露面風險時，只能依賴人工操作，效率低下，難以滿足及時響應的需求，企業應：采用具有自動化處置能力的平臺處置暴露面風險，通過自動化、智能化、可視化的方式，幫助企業更好地掌控風險，有效解決暴露面風險處置效率低下的問題，提高企業的安全防護水平。例如綠盟科技的 CTEM 暴露面管理方案，可以提供自動化發現和識別資產、自動化風險評估和驗證、智能化風險處置建議、自動化工單流轉和協作和可視化風險管理和運營等功能。人工智能攻擊面應對初探攻擊面管理技術應用指南45第五章 人工智能攻擊面應對初探隨著人工智能（AI）技術的快速發展和普及，AI 攻擊面逐漸成為網絡安全的新焦點。AI

100、技術不僅可以被攻擊者利用來發起更復雜的攻擊，也可能自身存在安全漏洞和風險。人工智能技術的發展帶來了新的攻擊面安全風險，包括 AI 模型、數據、應用和基礎設施等方面。企業需要加強 AI 模型安全防護，保障 AI 數據安全，提升 AI 應用安全，加強 AI 基礎設施安全，以應對 AI 攻擊的威脅。5.1 AI 攻擊面威脅分析AI攻擊面是網絡安全的新興領域，企業和組織需要充分認識AI攻擊面的威脅風險，并采取相應的策略和措施進行防護，以保障 AI 系統的安全性和可靠性，AI 攻擊面可以分為以下幾個方面：AI 攻擊面威脅分析5.1.1 AI 模型攻擊面AI 模型是智能化系統的核心，攻擊者可以通過各種手段

101、攻擊 AI 模型，例如：預訓練模型污染：攻擊者在預訓練模型中注入惡意數據或代碼，導致模型在使用過程中出現錯誤或偏差，甚至被攻擊者控制。例如，攻擊者通過污染一個圖像識別模型，使其將惡意軟件識別為正常文件。依賴庫投毒：攻擊者在 AI 模型依賴的庫中注入惡意代碼，導致模型在調用庫時執行惡意代碼。例如，攻擊者通過投毒一個 Python 庫，導致所有使用該庫的 AI 模型都被攻擊。數據投毒：攻擊者在訓練數據中注入惡意數據，導致模型學習到錯誤的模式，從而在使用過程中出現錯誤或偏差。例如，攻擊者可以向一個垃圾郵件過濾模型的訓練數據中注入大量的正常郵件，導致模型將垃圾郵件識別為正常郵件。人工智能攻擊面應對初探

102、攻擊面管理技術應用指南46 對抗樣本攻擊：攻擊者通過對輸入數據進行微小的修改，生成對抗樣本，導致模型對對抗樣本的識別出現錯誤。例如，攻擊者可以對一張圖片進行微小的修改，使其被一個圖像識別模型識別為完全不同的物體。模型竊?。汗粽咄ㄟ^對模型進行逆向工程，竊取模型的結構和參數，從而復制模型或進行對抗樣本攻擊。例如，攻擊者可以通過 API 訪問一個 AI 模型，并收集模型的輸入和輸出數據，然后利用這些數據訓練一個與目標模型功能相同的模型。5.1.2 AI 數據攻擊面AI 系統依賴于大量的數據進行訓練和推理，攻擊者可以通過各種手段攻擊 AI 數據，例如：數據泄露：攻擊者竊取 AI 系統的訓練數據或推理

103、數據，例如個人信息、商業機密等，導致數據泄露和隱私侵犯。數據污染：攻擊者篡改或破壞 AI 系統的訓練數據或推理數據，導致模型的準確性和可靠性下降，甚至出現錯誤或偏差。數據濫用：攻擊者利用 AI 系統的推理能力，對數據進行濫用，例如生成虛假信息、進行網絡釣魚攻擊等。5.1.3 AI 應用攻擊面AI 應用是 AI 技術的具體應用形式，攻擊者可以通過各種手段攻擊 AI 應用，例如：提示詞注入：攻擊者向 AI 應用的輸入框中注入惡意提示詞，導致應用執行惡意操作或泄露敏感信息。例如，攻擊者可以向一個聊天機器人注入提示詞，使其泄露用戶的個人信息。越權訪問：攻擊者利用 AI 應用的漏洞，獲取未經授權的訪問權

104、限，例如訪問用戶的賬戶信息、修改應用的配置等。隱私泄露：攻擊者利用 AI 應用的漏洞，竊取用戶的隱私數據，例如用戶的搜索記錄、聊天記錄、位置信息等。惡意代碼注入：攻擊者向 AI 應用中注入惡意代碼，導致應用執行惡意操作或被攻擊者控制。拒絕服務攻擊：攻擊者向 AI 應用發送大量的請求，導致應用無法正常處理用戶的請求，從而造成拒絕服務。5.1.4 AI 基礎設施攻擊面AI 基礎設施是支撐 AI 系統運行的基礎環境，攻擊者可以通過各種手段攻擊 AI 基礎設施，例如：算力資源濫用：攻擊者利用 AI 系統的算力資源進行挖礦、DDoS 攻擊等惡意活動。API 濫用：攻擊者利用 AI 系統的 API 漏洞，

105、進行未經授權的訪問或惡意操作。人工智能攻擊面應對初探攻擊面管理技術應用指南47 服務器攻擊：攻擊者攻擊 AI 系統的服務器，例如利用漏洞獲取服務器的控制權、竊取服務器上的數據等。網絡攻擊：攻擊者攻擊 AI 系統的網絡，例如進行 DDoS 攻擊、竊取網絡流量等。硬件攻擊：攻擊者攻擊 AI 系統的硬件設備，例如篡改硬件設備、植入惡意代碼等。5.2 應對 AI 攻擊面威脅的策略和建議為了應對AI攻擊面威脅，企業和組織需要采取多層次的安全防護措施，加強AI模型、數據、應用和基礎設施的安全防護，以保障 AI 系統的安全性和可靠性 加強 AI 安全5.2.1 加強 AI 模型安全防護（1）模型魯棒性測試：

106、對 AI 模型進行魯棒性測試，評估模型在各種攻擊下的穩定性和可靠性，例如對抗樣本攻擊、數據投毒攻擊等。操作建議：選擇合適的對抗樣本生成技術：根據模型的類型和應用場景，選擇合適的對抗樣本生成技術，例如FGSM、JSMA、DeepFool 等。生成對抗樣本：使用選擇的對抗樣本生成技術，生成針對模型的對抗樣本。測試模型：使用生成的對抗樣本對模型進行測試，評估模型在對抗樣本攻擊下的準確率和魯棒性。分析測試結果：分析測試結果，識別模型的薄弱環節，并采取相應的措施進行改進，例如增加訓練數據、改進模型結構、使用對抗訓練等。持續測試：定期對模型進行魯棒性測試，并持續改進模型的魯棒性。人工智能攻擊面應對初探攻擊

107、面管理技術應用指南48例如，針對圖像識別模型，可以使用 FGSM 方法生成對抗樣本，例如對一張熊貓圖片添加微小的擾動，使其被模型識別為長臂猿。通過測試模型在對抗樣本攻擊下的準確率，可以評估模型的魯棒性，并針對性地進行改進，例如使用對抗訓練增強模型對對抗樣本的抵抗能力。（2）模型攻擊面收斂：減少 AI 模型的攻擊面，例如限制模型的訪問權限、對模型進行代碼混淆等。操作建議：最小化模型暴露：僅將必要的模型功能暴露給用戶，例如通過 API 接口提供模型訪問，而不是直接暴露模型的代碼或參數。訪問控制：對模型的訪問進行嚴格的權限控制，僅允許授權用戶訪問模型。代碼混淆：對模型的代碼進行混淆，增加攻擊者進行逆

108、向工程的難度。模型加密：對模型進行加密，防止攻擊者直接訪問模型的代碼或參數。模型簽名：對模型進行簽名，驗證模型的完整性和真實性。例如，對于一個在線翻譯模型，可以通過 API 接口提供翻譯服務，并對 API 接口進行身份驗證和授權，限制訪問模型的用戶和權限。同時，可以對模型的代碼進行混淆，例如使用代碼混淆工具對代碼進行重命名、替換、插入等操作，增加攻擊者進行逆向工程的難度。（3）模型安全審計：定期對 AI 模型進行安全審計，發現和修復模型中存在的安全漏洞和風險。操作建議：制定審計計劃：制定詳細的模型安全審計計劃，明確審計的目標、范圍、方法和時間安排。選擇審計工具：選擇合適的模型安全審計工具，例如

109、靜態代碼分析工具、動態測試工具等。執行審計：按照審計計劃執行審計，并記錄審計發現的問題和風險。分析審計結果：分析審計結果，識別模型中存在的安全漏洞和風險，并提出相應的改進建議。修復安全問題：根據審計結果，修復模型中存在的安全問題。復查：對修復后的模型進行復查，確保安全問題得到有效解決。例如，對一個推薦系統模型進行安全審計，可以使用靜態代碼分析工具掃描模型代碼，發現代碼中存在的安全漏洞，例如 SQL 注入漏洞、跨站腳本攻擊漏洞等。同時，可以使用動態測試工具模擬用戶行為，測試模型是否存在邏輯錯誤或安全缺陷，例如用戶是否可以通過輸入特定的參數獲取未經授權的信息。5.2.2 保障 AI 數據安全人工智

110、能攻擊面應對初探攻擊面管理技術應用指南49（1）數據加密：對 AI 系統的訓練數據和推理數據進行加密存儲，防止數據泄露。操作建議：選擇合適的加密算法：根據數據的敏感程度和安全需求，選擇合適的加密算法，例如 AES、RSA 等。密鑰管理：妥善保管密鑰，例如使用密鑰管理系統、硬件安全模塊等。加密存儲：對數據進行加密存儲，例如加密數據庫、加密文件系統等。加密傳輸：對數據傳輸進行加密，例如使用 HTTPS 協議、VPN 等。例如，對于用戶的個人信息數據，可以使用 AES 算法進行加密存儲，并使用密鑰管理系統對密鑰進行管理。在數據傳輸過程中，可以使用 HTTPS 協議對數據進行加密，防止數據被竊取或篡改

111、。（2）訪問控制：對 AI 數據的訪問進行權限控制，僅允許授權用戶訪問數據。操作建議：身份驗證：對用戶進行身份驗證，例如使用用戶名密碼、多因素認證等。授權：根據用戶的角色和職責，設置不同的數據訪問權限。審計：對數據訪問進行審計，記錄用戶的訪問行為。例如，對于 AI 模型的訓練數據，可以設置訪問權限，僅允許數據科學家和模型訓練工程師訪問數據。同時，可以對數據訪問進行審計，記錄用戶的訪問時間、訪問內容等信息，以便于追溯和問責。（3）數據脫敏：對 AI 數據進行脫敏處理，例如去除敏感信息、添加噪聲等，防止數據濫用。操作建議：識別敏感數據：識別數據中的敏感信息，例如個人信息、商業機密等。選擇脫敏方法：

112、根據數據的類型和應用場景，選擇合適的脫敏方法，例如假名化、匿名化、泛化等。脫敏處理：對敏感數據進行脫敏處理，例如使用假名化技術替換敏感信息，或對數據添加噪聲，使其難以被識別。驗證：對脫敏后的數據進行驗證，確保數據仍然可用，并且敏感信息得到有效保護。例如，對于包含用戶姓名、地址、電話號碼等個人信息的訓練數據，可以使用假名化技術對敏感信息進行替換，例如使用隨機生成的 ID 替換用戶的真實姓名，使用虛擬地址替換用戶的真實地址，從而保護用戶的隱私信息。5.2.3 提升 AI 應用安全（1）代碼安全審計：對 AI 應用的代碼進行安全審計，發現和修復代碼中存在的安全漏洞和風險。操作建議：制定審計計劃：制定

113、詳細的代碼安全審計計劃，明確審計的目標、范圍、方法和時間安排。人工智能攻擊面應對初探攻擊面管理技術應用指南50 選擇審計工具：選擇合適的代碼安全審計工具，例如靜態代碼分析工具、動態測試工具等。執行審計：按照審計計劃執行審計，并記錄審計發現的問題和風險。分析審計結果：分析審計結果，識別代碼中存在的安全漏洞和風險，并提出相應的改進建議。修復安全問題：根據審計結果，修復代碼中存在的安全問題。復查：對修復后的代碼進行復查，確保安全問題得到有效解決。例如，對一個 AI 驅動的聊天機器人應用進行代碼安全審計，可以使用靜態代碼分析工具掃描應用代碼，發現代碼中存在的安全漏洞，例如跨站腳本攻擊漏洞、SQL 注入

114、漏洞等。同時，可以使用動態測試工具模擬用戶行為，測試應用是否存在邏輯錯誤或安全缺陷，例如用戶是否可以通過輸入特定的語句獲取未經授權的信息。（2）漏洞掃描：對 AI 應用進行漏洞掃描，發現應用中存在的安全漏洞和風險。操作建議：選擇合適的漏洞掃描工具：根據應用的類型和技術架構，選擇合適的漏洞掃描工具，例如 Web 漏洞掃描器、移動應用漏洞掃描器等。配置掃描規則：根據應用的安全需求，配置掃描規則，例如掃描的范圍、深度、頻率等。執行掃描：定期對應用進行漏洞掃描，并記錄掃描結果。分析掃描結果：分析掃描結果，識別應用中存在的安全漏洞和風險，并提出相應的改進建議。修復漏洞：根據掃描結果，修復應用中存在的安全

115、漏洞。復查：對修復后的應用進行復查，確保安全漏洞得到有效解決。例如，對一個 AI 驅動的在線客服系統進行漏洞掃描，可以使用 Web 漏洞掃描器掃描應用的網頁界面，發現網頁中存在的安全漏洞，例如跨站腳本攻擊漏洞、SQL 注入漏洞等。同時，可以對應用的 API 接口進行掃描，發現 API 接口中存在的安全漏洞，例如身份驗證繞過漏洞、數據泄露漏洞等。（3）安全測試：對 AI 應用進行安全測試，例如滲透測試、模糊測試等，評估應用的安全性。操作建議：制定測試計劃：制定詳細的安全測試計劃，明確測試的目標、范圍、方法和時間安排。選擇測試方法：根據應用的安全需求，選擇合適的安全測試方法，例如滲透測試、模糊測試

116、、代碼審計等。執行測試：按照測試計劃執行測試，并記錄測試發現的問題和風險。人工智能攻擊面應對初探攻擊面管理技術應用指南51 分析測試結果：分析測試結果，識別應用中存在的安全漏洞和風險，并提出相應的改進建議。修復安全問題：根據測試結果，修復應用中存在的安全問題。復查：對修復后的應用進行復查，確保安全問題得到有效解決。例如，對一個 AI 驅動的自動駕駛系統進行安全測試，可以進行滲透測試，模擬攻擊者對系統進行攻擊，例如嘗試控制車輛的方向盤、剎車等，以發現系統中存在的安全漏洞。同時，可以進行模糊測試，向系統發送大量的隨機數據，測試系統在異常輸入情況下的穩定性和安全性。5.2.4 加強 AI 基礎設施安

117、全（1）網絡安全防護：對 AI 基礎設施的網絡進行安全防護，例如部署防火墻、入侵檢測系統等安全設備。操作建議：網絡隔離：將 AI 基礎設施與其他網絡進行隔離，例如使用 VLAN、VPN 等技術。訪問控制：對 AI 基礎設施的訪問進行嚴格的權限控制，僅允許授權用戶訪問。入侵檢測：部署入侵檢測系統，實時監控網絡流量，并及時發現異常情況。安全審計：對網絡訪問進行審計，記錄用戶的訪問行為。例如，將 AI 模型訓練服務器與企業內網進行隔離，可以使用 VLAN 技術將服務器劃分到一個獨立的網絡區域，并通過防火墻限制對該區域的訪問權限。同時，可以部署入侵檢測系統，監控服務器的網絡流量，并及時發現異常情況，例

118、如DDoS 攻擊、端口掃描等。（2）服務器攻擊面收斂：減少 AI 服務器的攻擊面，例如關閉不必要的端口、禁用不必要的服務等。操作建議：關閉不必要的端口和服務：關閉服務器上不必要的端口和服務，減少攻擊面。安全配置：對服務器進行安全配置，例如禁用不必要的賬戶、設置強密碼等。漏洞修復：及時修復服務器上發現的安全漏洞。安全加固：對服務器進行安全加固，例如安裝安全補丁、部署安全軟件等。例如，對 AI 模型訓練服務器進行攻擊面收斂，可以關閉服務器上不必要的端口，例如 Telnet、FTP 等。同時，可以禁用服務器上不必要的服務，例如遠程桌面服務、文件共享服務等。（3）安全監控：對 AI 基礎設施進行安全監

119、控，例如監控服務器的運行狀態、網絡流量等，及時發現異常情況。人工智能攻擊面應對初探攻擊面管理技術應用指南52 操作建議：監控服務器運行狀態：監控服務器的CPU使用率、內存使用率、磁盤空間等運行狀態，及時發現異常情況。監控網絡流量：監控服務器的網絡流量，及時發現異常流量，例如 DDoS 攻擊、惡意掃描等。監控安全事件：監控服務器上的安全事件，例如登錄失敗、文件修改等，及時發現異常行為。告警：及時告警異常情況，并采取相應的措施進行處理。例如，使用安全監控工具監控 AI 模型訓練服務器的運行狀態，例如 CPU 使用率、內存使用率等。當服務器的 CPU 使用率或內存使用率超過設定的閾值時，及時發出告警

120、，并通知管理員進行處理。攻擊面管理成功案例分析攻擊面管理技術應用指南53第六章 攻擊面管理成功案例分析案例一：某城商行統一安全管理平臺運營項目（綠盟科技提供）(1)案例背景某銀行屬于國內大型城商行，20 余家分行和 400 多家對外營業機構，該銀行的 IT 環境復雜且多元化，不僅涵蓋了傳統的本地數據中心、虛擬化平臺以及部分云服務，也包括多種形式的互聯網服務。隨著業務的快速發展和數字化轉型的推進，該銀行的 IT 資產規模不斷擴大，安全風險也隨之增加。該銀行為落實有關安全規劃建設目標，進一步滿足監管相關要求，提升資產安全管理水平，完善安全策略有效性驗證工作機制，增強互聯網安全監測及處置質效。擬開展

121、信息安全管理體系建設，建立統一安全管理中心，并開展持續安全風險治理運營工作。(2)用戶問題、痛點和挑戰該銀行在項目開展前，在終端安全方面遇到了以下問題和挑戰：資產管控難：缺乏互聯網資產暴露發現和管理手段，風險視角下現有科技資產的安全底賬覆蓋面不全，不能快速掌握資產的動態變化，例如互聯網數據資產泄露，內網違規業務系統上線等。漏洞管理復雜：沒有建立實時漏洞信息獲取和響應機制，熱點漏洞與現有資產難以快速進行關聯，未建立漏洞處置優先級技術手段和機制，導致漏洞管理效率低下。安全風險分散：不同工具和服務發現的安全風險、問題等分布在不同平臺，無法做到統一管理，導致安全風險難以全面掌控和及時處置。(3)案例實

122、施項目目標和需求：知家底：建設內外網 IT 資產、新媒體應用服務、數字資產等多維度多數據來源的資產數據采集能力，建設安全視角的資產臺賬。常態化：建立持續的威脅評估手段，結合情報和資產指紋對企業敏感服務、仿冒投毒、數據泄露、安全漏洞、配置缺陷等威脅進行持續評估。重閉環：打通統一安全管理平臺與工單平臺的流程對接，形成處置流程，并且對處置結果與持續監測/復測結果進行比對驗證，確保問題閉環。攻擊面管理成功案例分析攻擊面管理技術應用指南54（4）項目實施思路和方法論：采用攻擊面管理的思路，從攻擊者的視角來審視和管理企業的安全風險。構建統一的安全管理平臺，整合多種安全數據和工具，實現對攻擊面的全面管理。增

123、加日常安全策略有效性驗證工作，確保安全風險處置及時有效。建立安全運營機制，實現對安全風險的持續監控和及時響應。項目實施內容：在運維管理區部署統一安全管理平臺，接入已有的漏洞掃描設備、被動流量設備，接入互聯網攻擊面服務數據，接入行內已有的第三方 CMDB、OA 數據、終端管控平臺數據，以及云控制器和 SIME 管理平臺等，建立安全視角的資產風險臺賬模型，進行資產數據融合與統一管理。統一安全管理平臺 通過適配器實現對本地多種數據來源的輕量化識別和有效利用，通過搭建反向代理，可以安全地獲取云端 SaaS服務數據；優化現有風險管理流程，開展風險生命周期統一管理運營，實現風險問題流轉、轉派、驗證，以及不

124、同部門、賬號之間分權分域管理。攻擊面管理成功案例分析攻擊面管理技術應用指南55(4)關鍵成功因素 統一的安全管理平臺：該項目中通過平臺整合了行內多種安全數據和工具，并補充了安全策略有效性驗證環節工作，實現了對攻擊面的全面和有效管理，提高了安全運營效率。攻擊面管理方法論：從攻擊者的視角來審視和管理企業的安全風險，指導安全運營人員聚焦關鍵風險，及時處置和阻斷潛在攻擊途徑，更加有效。安全運營機制：優化行內現有風險管理流程，建立了依托統一安全管理平臺的安全風險運營機制，實現了對安全風險的持續監控和及時響應。與現有安全產品的集成：將統一安全管理平臺與現有的安全產品進行集成，例如漏洞掃描設備、CMDB、終

125、端管控平臺等，實現了數據共享和聯動響應。(5)實施收益 多維度資產臺賬打好風險管理基礎：項目實施過程，協助客戶建立了多維度、符合該銀行實際資產管理工作的臺賬，實現了對 IT 資產、新媒體應用服務、數字資產等多種類型資產的統一管理。攻擊視角管理方法提升風險管理水平：通過匯總 CMDB、終端平臺、互聯網測繪平臺、漏洞掃描工具多維度的風險數據，進行數據融合和分析，實現了持續風險運營數據支撐能力，發現單一工具無法覆蓋的安全風險死角。持續安全風險運營落實監管合規要求：建立持續安全風險運營工作機制，實時監控安全風險變化，及時響應處置，確保滿足國家和行業安全風險監管要求。統一安全管理平臺提高安全運營效率：實

126、現風險處置優先級自動化評估能力，統一平臺進行安全風險優先級推薦，重點關注高風險和優先級的漏洞，減輕了運維人員工作量。策略有效驗證提升安全防護能力：實現了多種維度實時風險發現的安全能力，快速響應并處置潛在的安全風險；結合業務現狀，配置合理的策略，形成風險優先級修復的最優解，以最低的修復成本，達到最優的安全效果；對安全修復工作進行有效性驗證，確保修復工作達到預期；實現對數據資產泄露風險的監控能力，提供關停和下架閉環管理，保護自身的數字資產和業務運行不受損害。安全牛評價：金融行業作為數字化轉型的先鋒，其 IT 架構日趨復雜，混合云、移動應用、開放 API 等新技術應用廣泛，導致資產類型激增、邊界日益

127、模糊，安全管理難度加大。同時，金融行業對數據安全和合規性要求極高，面臨的網絡攻擊也更加復雜和有針對性，任何安全漏洞和風險都可能導致嚴重的損失，例如資金損失、客戶信息泄露、監管處罰等。攻擊面管理成功案例分析攻擊面管理技術應用指南56該方案的關鍵能力在于整合多種安全數據和工具，構建統一的安全管理平臺，并采用攻擊面管理的思路，從攻擊者的視角來審視和管理企業的安全風險，實現對企業 IT 資產、新媒體應用服務、數字資產等多維度資產的全面覆蓋和持續監控。方案的優勢在于其針對性、創新性和可落地性。針對金融行業的需求和痛點，實現了對多維度資產的全面覆蓋、持續監控和閉環管理，并從攻擊者的視角來審視和管理企業的安

128、全風險，更加有效。該案例為其他金融機構提供了參考經驗，特別是對于面臨類似挑戰的城商行和其他中小型金融機構，具有一定借鑒意義。攻擊面管理成功案例分析攻擊面管理技術應用指南57案例二：某新能源汽車控股集團攻擊面管理案例（魔方安全提供）(1)案例背景某新能源汽車控股集團是全球汽車品牌組合價值排名前十的企業之一，致力于成為具有全球競爭力和影響力的智能電動出行和能源服務科技公司。其業務涵蓋汽車及上下游產業鏈、智能出行服務、綠色運力、數字科技等，業務板塊已覆蓋汽車、金融、科技、教育等領域，并擁有大量的下屬公司。(2)用戶問題、痛點和挑戰 用戶信息和車聯網敏感數據泄露風險高：新能源汽車行業擁有大量的用戶信息

129、和車聯網敏感數據，這些數據極易成為網絡攻擊者的目標。由于數據體量龐大、分布廣泛，傳統安全工具難以有效防護，導致數據泄露風險居高不下。監管壓力大：國家和行業監管部門對網絡安全的要求日益嚴格，HW演練、重大活動安全保障、網絡安全檢查常態化，集團面臨巨大的合規壓力。影子資產缺乏納管能力：業務快速發展和擴張導致影子資產數量激增，安全團隊難以全面掌握和管理這些資產，存在安全盲區。業務資產上線變更頻繁，缺乏有效監測手段：頻繁的業務上線和變更導致互聯網資產風險暴露面不斷變化，安全團隊缺乏有效手段進行持續監測，難以及時發現和應對安全風險。新業態數字資產缺乏統一監控和管理手段：小程序、API 等新業態數字資產的

130、興起，使得資產的數字化特征更加明顯，分布更加泛化，傳統安全工具難以有效監控和管理。安全漏洞情報預警能力不足：難以將漏洞情報與資產信息有效關聯，無法快速定位受影響資產，導致漏洞修復效率低下，增加了安全風險。下屬機構的風險難以綜合掌控：下屬機構眾多，安全管理水平參差不齊，集團難以全面掌控其安全風險，存在安全管理盲區。資產碎片化嚴重，安全運營缺乏統一平臺：多種安全工具和運維工具并存，導致資產數據碎片化嚴重，安全運營效率低下。（3）建設方案項目目標：建立統一的攻擊面管理平臺，實現對全網資產的全面監控和管理。攻擊面管理成功案例分析攻擊面管理技術應用指南58 提升安全風險發現和響應能力，降低安全風險。滿足

131、監管合規要求，保障業務安全穩定運行。項目需求：能夠全面發現和識別各種類型的資產，包括傳統 IT 資產、影子資產和新業態數字資產。能夠持續監控資產風險暴露面，及時發現安全漏洞和威脅。能夠整合現有安全工具和平臺，實現資產數據的統一管理和分析。能夠提供可視化的資產安全態勢，幫助安全團隊快速了解和應對安全風險。項目實施內容：該集團部署了魔方網絡資產攻擊面管理系統（CAASM），實現互聯網與內網網絡資產一體化安全管理。A.EASM 場景:主動資產發現和模糊關聯：平臺利用主動掃描和模糊關聯技術，全面識別集團及其子公司的互聯網資產，并進行持續的漏洞掃描和風險監測。影子資產監測：通過關鍵字特征和關鍵圖案識別，

132、平臺能夠自動發現未知資產，并監測仿冒、假冒和釣魚資產。新型數字資產風險監控：平臺能夠監控公眾號、小程序、APP、網盤、開源社區等新型數字資產的敏感信息泄露風險。數據下架服務：魔方安全針對真實的敏感泄露事件提供數據下架服務，實現敏感信息泄露事件全生命周期的閉環管理。攻擊面管理成功案例分析攻擊面管理技術應用指南59 漏洞通報預警：通過微信群等方式進行漏洞通報預警，及時響應該集團相關問題。B.CAASM 場景:全網資產安全運營中心：平臺作為全網資產安全運營中心，通過掃描探針、流量探針和資產適配器，快速對接第三方系統，聚合全網資產數據。資產數據匯總和提純：平臺利用關聯清洗算法，實現全網資產信息的匯總和

133、提純，并打通業務屬性與管理屬性，構建可持續更新的資產安全臺賬。資產標簽化管理：平臺自動對資產來源進行標簽化管理，有效對比分析第三方產品部署覆蓋度情況，洞察安全管理覆蓋度。漏洞掃描和風險評估：平臺整合現網第三方漏洞掃描引擎，并利用強大的 PoC 插件檢測能力，自動化、持續化地補全全網脆弱性數據，對資產全生命周期進行安全管理。（4）關鍵成功因素 全面的資產發現能力：CSM 平臺能夠發現各種類型的資產，包括傳統 IT 資產、影子資產和新業態數字資產，有效解決了資產可見性的問題。高價值風險評估能力：CSM 平臺自研 POC 漏洞檢測引擎，能夠精準、快速地發現安全漏洞，并進行風險評估。靈活的集成和擴展能

134、力：CSM 平臺能夠與第三方安全工具和平臺無縫集成，實現資產數據的統一管理和分析?？梢暬陌踩珣B勢感知：平臺提供直觀的可視化界面，幫助安全團隊快速了解資產安全態勢，及時發現和應對安全風險。（5）實施收益平臺的部署為該集團帶來了顯著的收益：風險控制，有助于企業自動發現全部的網絡 IT 資產，梳理暴露面，形成完整、及時更新的資產數據庫；網絡空間資產狀況清晰，資產變動及時感知；持續收集外部漏洞情報、威脅情報，與資產進行關聯；持續對資產進行漏洞監控，先于黑客檢測到攻擊面暴露；基于快速掃描方法，可在重大漏洞爆發時基于資產庫執行全網精確掃描，精準定位受影響資產，提高應急效率；攻擊面管理成功案例分析攻擊面管

135、理技術應用指南60 業務特征指紋，識別資產濫用行為，強化公司規范和要求 高危漏洞爆發，基于留存資產記錄，可第一時間定位、精準預警，準確響應；數字資產持續監控，及時發現代碼、測試數據、敏感信息的泄漏、資產防盲、未知資產，風險處置；全網范圍排查影子資產，讓企業對整體資產及風險情況更加清晰，隨之掌握動態變化。安全牛評價：新能源汽車行業作為新興產業，其業務模式和 IT 架構都處于快速發展和變化之中，安全防護體系建設通常滯后于業務發展，面臨著數據泄露、供應鏈攻擊、勒索軟件攻擊等多種安全威脅。同時，新能源汽車行業涉及大量的敏感數據，例如用戶信息、車聯網數據等，一旦發生數據泄露事件，將會對企業造成巨大的經濟

136、損失和聲譽損失。該方案提供全面的攻擊面管理，包括外部攻擊面管理（EASM）和內部攻擊面管理（CAASM），并結合威脅情報和安全運營，實現對攻擊面的持續監控和及時響應。方案的優勢在于針對新能源汽車行業的特殊需求和痛點，實現了對多維度資產的全面覆蓋、持續監控和閉環管理，覆蓋了 EASM 和 CAASM 兩種場景，并結合了威脅情報和安全運營。方案的實施推動了攻擊面在新能源汽車行業的應用，為其他新能源汽車企業提供參考經驗，特別是對于面臨類似挑戰的汽車制造企業、出行服務公司等。攻擊面管理成功案例分析攻擊面管理技術應用指南61案例三：某科技集團網絡空間風險暴露面治理實踐案例（亞信安全提供）(1)案例背景某

137、科技集團企業是一家綜合解決方案服務提供商，涉及軟件開發、系統運維和系統集成等領域，擁有 30 余家全資控股公司。該集團主要為金融、運營商和政府客戶提供綜合解決方案，具有一定行業影響力。近期接監管單位通知，其備案網站被篡改為不良網站，且公共存儲空間中存在大量敏感信息。該事件引起了內部高層的高度關注，迫切需要采取措施以恢復信任和保障數據安全。(2)用戶問題、痛點和挑戰 聲譽風險：備案網站被篡改可能導致客戶信任度下降，影響集團聲譽。敏感數據保護：公共存儲空間中敏感信息的泄露對客戶和業務造成嚴重后果，同時影響集團商譽。合規性問題：金融和政府客戶對數據安全有嚴格要求，需確保符合客戶管理要求，保證客戶數據

138、不泄露。數據安全工作未落實：集團早已推行數據安全管理，但是見效慢，如何快速讓數據安全見效 長遠安全策略：后續需要制定有效的安全策略，防止類似事件再次發生。(3)案例實施利用亞信安全星海外部攻擊面管理平臺，每月針對其自身互聯網資產及數據泄露情況進行持續探測。暴露面梳理：基于亞信安全外部攻擊面管理服務，對主機類資產、web 類資產、公眾號、小程序等暴露面進行梳理，對網盤、文庫、郵箱等商業泄密風險進行檢測。攻擊面發現：通過自動化平臺風險評估+專家驗證模式開展暴露面風險的評估，針對于互聯網暴露資產發現：未授權訪問、測試資產暴露、弱口令、釣魚仿冒、影子資產等大量資產風險 針對于數據泄露情況，在網盤、文庫

139、、代碼托管平臺發現大量項目信息 數據閉環治理：針對于異常數據，提供數據下架服務，完成數據閉環治理 加強員工安全意識培訓：以發現風險事件為例，開展全員網絡安全培訓，提高員工對安全風險的認識和防范能力。同時優化安全管理政策和流程，確保全員遵守。攻擊面管理成功案例分析攻擊面管理技術應用指南62亞信安全星海外部攻擊面管理平臺（4）客戶價值 事前感知，以攻促防：以攻擊視角，模擬黑客攻擊手法，將安全左移，化被動為主動，持續收斂攻擊面；風險可見，持續監測：打破傳統安全的局限性，降低攻防門檻，提高資產摸排及滲透測試效率，增強企業實戰能力；降本增效，高效高質：降低人工成本，通過自動化能力，摸清家底，發現風險，持

140、續提升運營效率 管理抓手，監督機制：作為集團管理的依據，對控股公司及被管理單位進行監督和管理，保障企業的整體安全能力。安全牛評價：軟件開發、系統運維和系統集成等科技服務行業常涉及到客戶的敏感數據和機密系統，對數據安全和合規性要求極高。同時，這些企業自身的 IT 環境也較為復雜，包括大量的互聯網資產、云平臺、移動應用等，攻擊面廣泛，面臨著數據泄露、網絡攻擊、惡意代碼等多種安全威脅。亞信安全的外部攻擊面管理解決方案通過自動化風險評估和專家驗證相結合的方式，不僅能夠幫助企業識別和管理互聯網資產，還能夠檢測商業泄密風險，并提供數據下架服務，并利用模擬黑客攻擊方法持續收斂攻擊面還通過自動化能力，降低人工

141、成本，提高資產摸排及滲透測試效率。該案例為其他科技服務企業提供了參考經驗，特別是對于面臨類似挑戰的軟件開發公司、系統集成商等，具有一定的借鑒意義。攻擊面管理成功案例分析攻擊面管理技術應用指南63某全國性金融公司 EASM 聯動 BAS 項目案例分析（矢安科技提供）(1)案例背景某全國性金融公司，旗下擁有眾多子公司和分支機構，擁有龐大的用戶群體和海量交易數據，其 IT 環境復雜，安全風險較高。隨著數字化轉型的深入，該金融公司面臨日益嚴峻的網絡安全挑戰。尤其是在近年來，外部攻擊面不斷擴大，高級持續性威脅(APT)攻擊、數據泄露等安全事件頻發，對公司業務的穩定運行和聲譽造成了嚴重威脅。(2)用戶問題

142、、痛點和挑戰該金融公司在終端安全方面面臨以下問題和挑戰：影子資產管理難:由于機構眾多，歷史遺留問題突出，存在大量未納入管理的“影子資產”，難以全面掌握資產安全狀況，增加了安全風險。合規壓力大:金融行業監管嚴格，需要滿足各種安全合規要求，例如“兩高一弱”、勒索軟件防護等，但由于缺乏有效的工具和手段，合規檢查工作繁重且效率低下。人員安全意識薄弱:員工安全意識不足，容易遭受釣魚攻擊等社會工程學攻擊，尤其是在當前地緣政治風險加劇的情況下，海外業務面臨的釣魚風險更加突出。邊界安全防護能力不足:傳統的邊界安全設備難以有效應對新型攻擊手段，缺乏對邊界安全防護能力的全面評估，存在安全盲區。供應商安全風險管理難

143、:對供應商的安全評估和管理不足，難以有效識別和控制供應鏈安全風險，容易遭受來自供應商的攻擊或數據泄露。安全運營效率低:安全人員需要處理大量的安全告警和事件，但由于缺乏有效的工具和平臺，安全運營效率低下，難以及時響應和處置安全威脅。(3)案例實施 項目目標:建立全面的外部攻擊面管理體系，實現對所有資產的有效識別和管理，降低安全風險。提升安全合規水平，滿足監管要求。增強人員安全意識，提高抵御社會工程學攻擊的能力。加強邊界安全防護，有效應對新型攻擊威脅。攻擊面管理成功案例分析攻擊面管理技術應用指南64 強化供應商安全管理，降低供應鏈安全風險。提高安全運營效率，及時響應和處置安全威脅。項目需求:能夠自

144、動發現和識別所有外部資產，包括“影子資產”。能夠對資產進行安全評估，識別安全漏洞和風險。能夠提供安全合規檢查功能，滿足監管要求。能夠進行人員安全意識評估和培訓。能夠評估邊界安全防護能力。能夠對供應商進行安全評估和管理。能夠提供安全事件告警和響應功能。項目實施思路和方法論:采用矢安科技的覓影(AS EASM)外部攻擊面管理系統和攻鑒(AS BAS)突破與攻擊模擬系統，構建一體化的外部攻擊面安全管理解決方案。項目實施內容:按照組織結構統一管理子機構，繪制組織整體攻擊面通過覓影平臺，客戶可以統一管理所有子機構的外部攻擊面，設置常態化掃描任務，并下發風險整改通知。內置行業合規模板，助力常態化合規檢查內

145、置多個行業合規模板，支持“兩高一弱、弱口令、勒索”掃描、信創證書、國密證書、證書有效性等合規檢查，并提供常態化巡檢和報告下載功能。聯合 ASBAS 評估組織整體防護能力、防釣魚意識水平聯動攻鑒系統，評估邊界安全設備的防護能力，并對泄露郵箱發送釣魚郵件，測試員工的安全意識水平，提供有針對性的防釣魚培訓。監控供應商風險情報，即時預警供應商風險通過覓影平臺評估供應商風險評分，輸出風險評估報告，用于供應商準入評估。同時，收集供應商風險情報，對有風險的供應商進行即時預警。信息泄露多渠道監控，提供下架閉環服務針對泄露在公開文庫、網盤、代碼倉庫的文件/文件夾，提供從平臺下架的閉環服務（已經成功下架多家金融客

146、戶的泄露信息）。攻擊面管理成功案例分析攻擊面管理技術應用指南65 結合 VPT 方法判定風險優先級，結合 AI 技術提高處置效率覓影平臺支持將風險評分、資產價值、風險可利用性等維度信息綜合計算風險優先級，聚焦核心風險。同時，利用 AI 技術提供修復指引、漏洞情報上下文等信息（4）客戶價值通過實施該項目，該金融公司在終端安全方面取得了顯著成效，給客戶帶來了以下價值：組織機構整體防護客戶通過覓影平臺可以查看整個組織機構每日最新的攻擊面整體態勢。異動資產告警客戶可接收覓影平臺發布的資產/信息/情報的異動通知，包括異常上線等。常態化合規檢查安全團隊通過內置“兩高一弱、弱口令、勒索專項”合規模板，可以快

147、速掃描，快速確定影響面并生成專業報告。也可檢查信創證書、國密證書、證書有效性等合規項。邊界安全能力評估安全團隊通過覓影平臺，可以統計集團整體邊界安全設備防護水平，獲取不同品牌邊界安全設備的防護側重。泄露郵箱防釣魚意識評估安全團隊根據覓影平臺提供的泄露郵箱下發釣魚郵件，評估泄露郵箱的人員安全意識水平，針對性開展防釣魚培訓及泄露郵箱收斂。供應商準入評估安全團隊通過覓影平臺提供的供應商風險評估報告，為準入風險評估提供數據支撐。供應商管理及風險預警歐盟的網絡彈性法案要求供應商主動披露漏洞，但僅要求供應商向監管單位披露漏洞需要在 24 小時內，但是要求供應商向客戶披露漏洞的時限在 72 小時內。這中間的

148、 48 小時客戶需要承擔著該漏洞的風險，這是他們安全團隊不愿看到的。借助覓影平臺，安全團隊可查看供應商漏洞情報信息，24 小時內主動接收供應商風險預警，確定影響面，保證供應鏈安全。攻擊面管理成功案例分析攻擊面管理技術應用指南66 0day 快速驗證安全團隊可對覓影平臺搜集到的 0day/1day 漏洞情報，快捷下發掃描任務，確定影響面并實施修復方案。泄露信息下架針對泄露在文庫、網盤、代碼倉庫等平臺的敏感信息，安全團隊可以指示下架動作，并支持下架復驗。修復成本下降安全團隊可查看覓影平臺篩選的高優先級風險，集中資源解決核心業務的嚴重風險。AI 交互指引在執行修復、獲取更多信息和深度分析時，安全團隊

149、可利用覓影平臺自帶的人工智能助手，擴充情報上下文、提供“手把手”修復指引、長文本關鍵字識別及風險降噪功能。安全牛評價：金融機構作為網絡攻擊的重點目標，其龐大的資產規模、復雜的 IT 環境、敏感的業務數據以及嚴格的合規要求，使企業在安全防護方面面臨巨大壓力。尤其是在“影子資產”管理、安全合規檢查、人員安全意識提升、邊界安全防護能力評估和供應商安全風險控制等方面，傳統安全手段和工具難以有效應對，亟需有效的解決方案來解決這些痛點。方案的優勢在于矢安科技提供的 EASM 聯動 BAS 解決方案通過自動化技術和模擬攻擊的全面性、自動化、智能化和可操作性，能夠幫助金融機構有效提升安全防護能力和安全運營效率

150、，具有較強的創新性和先進性。該案例對其他行業，特別是同樣面臨嚴格監管和復雜 IT 環境的行業，如政府、能源、醫療等，具有重要的借鑒意義。國內外攻擊面管理技術研究攻擊面管理技術應用指南67第七章 國內外攻擊面管理技術研究國外技術發展較為成熟，產品功能完善，部分產品已融入 AI 技術并支持云原生環境。國內技術發展較晚，但近年來發展迅速，市場規模不斷擴大，產品不斷涌現，并與云安全、零信任架構等技術融合發展。國內企業在攻擊面管理產品應用方面也呈現出行業差異化特點。7.1 國外攻擊面管理技術現狀近年來，隨著云計算、移動辦公、物聯網等新技術的廣泛應用，企業攻擊面迅速擴張，傳統的邊界安全防御手段已不足以應對

151、日益復雜的安全挑戰。國外攻擊面管理技術在這一背景下不斷發展演進，以應對日益復雜的網絡安全挑戰。主要呈現以下趨勢：國外攻擊面管理技術現狀（1）攻擊面管理從外部轉向全面攻擊面過去，攻擊面管理主要關注外部攻擊面，即面向互聯網的資產和服務。例如，外部攻擊面管理（EASM）工具主要用于發現未知的外部資產、評估其風險敞口并提供修復建議。然而，隨著企業 IT 架構日益復雜，內部攻擊面的安全問題也日益凸顯。因此，攻擊面管理正從外部轉向全面，擴展到內部攻擊面、云攻擊面、物聯網攻擊面等，涵蓋了企業所有的數字資產和系統。網絡資產攻擊面管理（CAASM）的興起便是這一趨勢的體現。CAASM 側重于管理內部資產，例如服

152、務器、數據庫和應用程序，并評估其安全配置和漏洞情況?，F在，EASM 和 CAASM 正在融合到統一的 ASM 理念下，以提供更全面的攻擊面視圖。例如，PaloAltoNetworks 的 Expanse 平臺最初專注于外部攻擊面管理，但現在已擴展到涵蓋內部資產和云工作負載。Microsoft 的 DefenderforCloud 平臺將云安全態勢管理（CSPM）和云工作負載保護平臺（CWPP）功能與攻擊面管理功能整合在一起。國內外攻擊面管理技術研究攻擊面管理技術應用指南68（2）攻擊面管理與威脅情報、漏洞管理等技術深度融合為了更有效地管理攻擊面，ASM正在與其他安全技術深度融合，例如威脅情報、

153、漏洞管理、安全信息和事件管理（SIEM）以及檢測與響應（EDR）。這種融合有助于提供更全面的安全視圖，并實現更精準的風險評估和修復建議。例如，CrowdStrike 的 Falcon 平臺將端點檢測和響應（EDR）與攻擊面管理功能結合在一起，利用其端點代理網絡和威脅情報來識別和評估風險。Rapid7 的 InsightVM 平臺將漏洞管理和攻擊面管理功能結合在一起，利用其漏洞掃描、配置評估和威脅情報功能來識別和評估風險。Tenable 的 Nessus 和 SecurityCenter 平臺將漏洞管理和攻擊面管理功能結合在一起，利用其漏洞掃描、配置評估和風險評分功能來識別和評估風險。（3）從靜

154、態分析到動態分析早期的攻擊面管理主要依賴于靜態分析，例如漏洞掃描、配置檢查等，例如定期對服務器進行漏洞掃描，檢查系統配置是否符合安全基線等。由于高級持續性威脅（APT）攻擊的增多，攻擊技術和手法不斷更新，靜態分析方法難以發現動態環境中的安全風險，例如攻擊者利用 0day 漏洞、社會工程學等手段發起的攻擊?，F在，攻擊面管理更加注重動態分析，例如攻擊路徑分析、入侵和攻擊模擬等，以便更全面地識別和評估風險，例如模擬攻擊者對企業網絡進行攻擊，并分析攻擊路徑和攻擊成功的可能性。例如，Randori 的攻擊面管理平臺可以模擬攻擊者的行為，對企業網絡進行攻擊模擬，并評估攻擊成功的可能性，從而識別高風險資產和

155、漏洞。（4）人工智能（AI）和機器學習（ML）的應用人工智能（AI）和機器學習（ML）正在被廣泛應用于攻擊面管理，以提高其效率和準確性。AI 和 ML 算法可以幫助自動發現資產、識別漏洞、評估風險和提供修復建議。它們還可以幫助識別攻擊面中的異?；顒?，并預測潛在的攻擊路徑。例如，PaloAltoNetworks 的 Expanse 平臺利用機器學習算法來提供更準確的攻擊面視圖，并識別潛在的攻擊路徑。CrowdStrike 的 Falconplatform 使用 AI 技術來檢測和響應安全威脅，例如識別惡意軟件、檢測異常行為等。（5）攻擊面管理向持續威脅暴露管理（CTEM）演進傳統的攻擊面管理通常

156、是一個靜態的過程，而持續威脅暴露管理（CTEM）則強調持續監控和管理攻擊面，CTEM 是一個循環的過程，包括五個階段：范圍界定、發現、優先級排序、驗證和行動，CTEM 的目標是幫助組織持續改進其安全態勢，并降低遭受網絡攻擊的風險。Gartner 將 CTEM 列為 2024 年的十大戰略技術趨勢之一，并指出它可以幫助組織將安全投資重點放在最關鍵的領域。（6）從孤立到融合早期的攻擊面管理是孤立的，與其他安全產品和流程缺乏聯動，例如攻擊面管理平臺與 SOC、SIEM 等平臺之間的數 國內外攻擊面管理技術研究攻擊面管理技術應用指南69據沒有互通。隨著安全運營一體化趨勢，現在，攻擊面管理更加注重與其他

157、安全產品和流程的融合，例如與 SOC、SIEM、SOAR 等平臺進行集成，以構建更加完善的安全防御體系，例如將攻擊面管理平臺發現的漏洞信息同步到 SOC 平臺，以便于 SOC 團隊進行分析和響應。例如，MicrosoftDefenderforCloud 可以與 MicrosoftSentinel、MicrosoftDefenderforEndpoint 等其他 Microsoft 安全產品進行集成，提供全面的安全防護。7.2 國內攻擊面管理技術現狀攻擊面管理正在經歷從外部到內外兼顧、從單點產品到平臺化解決方案、從通用場景到行業深耕的轉變。同時，網絡資產管理更加重視數據治理和準確性，外部攻擊面管

158、理也更加注重數據的準確性和漏洞發現能力。此外，攻擊面管理的驅動力也從合規驅動轉向驗證驅動，更加注重安全體系的有效性驗證。最終，攻擊面管理的核心理念正在從以資產為中心轉變為以風險閉環為中心，更加強調風險的全面管理和持續監控。（1）從外部攻擊面到內外部的整體攻擊面早期的攻擊面管理主要關注外部攻擊面，即暴露在互聯網上的資產和漏洞。由于越來越多的攻擊者利用內網漏洞和弱點進行攻擊，用戶意識到內網資產通常比外網資產更加敏感，一旦被攻擊，造成的損失更加嚴重。攻擊面管理從關注互聯網資產的暴露面，擴展到關注內網資產的攻擊面，包括內網資產的識別、漏洞管理、攻擊路徑分析等，例如，綠盟提供的 CTEM 解決方案，融合

159、內外部數據對整體攻擊面進行統一管理，亞信安全和知道創宇計劃未來將EASM和CAASM的數據融合，提升聯動防御能力。華云安通過靈洞（Ai.Vul）和靈知（Ai.Radar）實現內外部的整體風險管理，不斷改進完善的安全態勢。華順信安等其他廠家則同時提供了 EASM 和 CASSM 的產品。（2）從單點產品到整體解決方案攻擊面管理產品不再是單個工具，正在朝著平臺化解決方案的方向發展，將攻擊面管理平臺與 SOC、SIEM、威脅情報、攻擊模擬等其他安全產品進行集成，實現對風險的全面管理，未來還將提供實時監測和預警功能，幫助用戶進行持續的安全運營管理。例如，綠盟科技的攻擊面管理方案可以將EASM、TVM脆

160、弱性管理、BAS、云管理平臺等多種安全能力整合到一個平臺上，為用戶提供一站式的攻擊面管理解決方案。知其安網絡攻擊面管理平臺將融合后的資產數據輸出給其他安全平臺進行安全業務的運營。華云安將 CAASM、EASM、BAS 等原子化安全能力通過云原生安全平臺進行編排，形成攻擊面管理的整體解決方案。（3）從資產梳理轉為資產數據質量治理階段 國內外攻擊面管理技術研究攻擊面管理技術應用指南70網絡資產管理 CAASM 的資產可以通過各種設備獲取到較多的數據，但是數據存在數據缺失、資產無主等問題，數據的準確性已經成為用戶的痛點，需要資產數據的精準度，而國內廠商也更加重視數據準確的治理工作，例如，亞信安全的

161、EASM 利用 ETL 加強對多源的大網測繪數據進行重新驗證，保證互聯網資產的準確性。華云安聚焦資產的關聯能力，實現資產與業務的關聯。知其安的 CAASM 利用 ETL 增強對多源異構資產數據的接入、清洗、映射能力，實現快速對接企業現有安全設備的資產數據。知道創宇聚焦資產多維度開展資產的關聯分析。（4）外部攻擊面 EASM 的資產發現方面已經較為成熟。大部分廠商的產品都可以實現全面地發現企業未知的影子資產、泄露數據等。主要差異化現在表現為外部資產的準確度和漏洞發現，以及風險處理等服務方面。例如，亞信安全采用重復核對，保證互聯網資產數據的準確性；綠盟和亞信提供幾小時內的快速下架服務，方便用戶在發

162、現泄露數據后，可以快速從百度網盤、Github等網站快速下架。亞信利用攻擊團隊，提升0day和1day漏洞的挖掘能力。華順信安提供報告的專家服務，以提高交付報告的準確性。（5）攻擊面風險運營平臺初步興起攻擊面風險運營是指以攻擊者視角，持續識別、評估和管理企業網絡暴露面的風險，并通過有效手段降低安全風險，提升安全防護水平。主要驅動是安全威脅態勢的嚴峻性、網絡暴露面的不斷擴大、合規壓力的增加等。攻擊面風險運營平臺通過融合 EASM、CAASM，并集成其他多種安全產品，例如漏洞掃描器、威脅情報平臺、攻擊模擬工具、安全運營中心（SOC）等，有效推動企業安全運營模式從被動響應向主動防御轉變。未來攻擊面風

163、險運營平臺將更加注重自動化和智能化，并與其他安全技術進行更深度的融合。例如，綠盟科技利用 CTEM 理念構建攻擊面風險運營中心。整合了其全面的安全產品線，并擁有專業的安全運營團隊，為客戶提供持續的泛資產識別、威脅評估和有效性驗證、可落地的威脅管理機制、全局視角的運營度量和安全態勢的攻擊面風險運營一站式解決方案，并已經在金融、能源、運營商等行業落地。（6）從合規能力到驗證能力早期的企業主要是開展合規建設，攻擊面管理產品主要是面對滿足合規要求的資產梳理和合規檢查。隨著國家對網絡安全的重視程度提升，攻擊演練頻繁，攻擊手段和攻擊目標不斷變化，企業的安全需要轉變為以實戰對抗為目標，更加注重安全體系的有效

164、性驗證，以抵御真實攻擊威脅。安全廠商也更加關注安全驗證能力。例如，綠盟、華云安、亞信、矢安科技、知其安科技都提供了 BAS 功能，可以通過模擬攻擊者行為，驗證企業安全防御體系的有效性。（7）供應商安全受到關注 國內外攻擊面管理技術研究攻擊面管理技術應用指南71隨著全球供應鏈的復雜性增加，廠商開始重視廠商供應鏈的安全性和穩定性，有助于確保供應鏈的透明度和安全性，同時提高供應鏈的韌性和響應能力，以應對潛在的供應鏈打擊。目前主要應用場景包括供應商準入、安全監控等場景例如，知道創宇通過利用情報監控技術，對廠商供應鏈進行實時監控，以預防和應對供應鏈中的安全威脅。矢安科技則計劃開發供應商安全監控系統，實現

165、合作準入、供應鏈管理和供應鏈風險評估等功能。7.3 國內外攻擊面管理技術差距分析國內攻擊面管理技術與國外相比，在產品成熟度、功能完善性和智能化程度方面存在一定差距。國內廠商的產品在自動化、智能化、攻擊路徑分析和入侵模擬等方面還有待提升。建議國內用戶選擇攻擊面管理產品時，優先考慮功能完善、性能穩定、技術成熟度高的產品，并關注產品是否融入了 AI 技術以提高效率。差距分析國內外攻擊面管理產品具體差距分析及用戶建議：（1）產品技術成熟度：相比國外，國內攻擊面管理技術起步較晚，技術成熟度相對較低。國外廠商如 CrowdStrike、Randori 等，其攻擊面管理產品功能完善，能夠提供全面的攻擊面管理

166、能力。國內廠商的攻擊面管理產品在功能和性能方面與國外廠商的產品還存在一定的差距，例如部分產品的自動化程度和智能化程度還不夠高，部分產品的功能還不夠完善等。用戶建議：國內用戶在選擇攻擊面管理產品時，應優先選擇功能完善、性能穩定、技術成熟度較高的產品。（2）產品功能完善度：相比國外，國內攻擊面管理產品功能相對單一，部分產品的功能還不夠完善。例如，國外廠商的攻擊面管理產品大多能夠提供更精確的攻擊路徑分析和入侵模擬功能，例如，Randori 的攻擊面管理平臺可以模擬攻擊者的行為，對企業網絡進行攻擊模擬，并評估攻擊成功的可能性，從而識別高風險資產和漏洞。而國內廠商的攻擊面管理產品在這方面還有待提升。國內

167、外攻擊面管理技術研究攻擊面管理技術應用指南72用戶建議：國內用戶在選擇攻擊面管理產品時，應根據自身的需求，選擇功能滿足其需求的產品。（3）智能化程度：國外攻擊面管理產品在 AI 技術深度方面具有一定的優勢，而國內攻擊面管理產品在技術深度方面還有待提升。例如，CrowdStrike 的 Falconplatform 使用 AI 技術來檢測和響應安全威脅，例如識別惡意軟件、檢測異常行為等。用戶建議：國內用戶在選擇攻擊面管理產品時，可以關注產品是否融入了 AI 技術，可以利用 AI 技術提高效率。7.4 國內攻擊面管理未來發展趨勢安全牛預測，未來的攻擊面管理將更加自動化、智能化、云原生化，并與企業的

168、安全運營和業務風險管理流程更緊密地結合。通過采用這些先進的技術和方法，企業可以更好地了解和管理自身的安全風險，并提高抵御網絡攻擊的能力。自動化和人工智能(AI)的深入應用。隨著 AI 人工智能技術和自動化技術的發展，自動化和人工智能應用將在自動化發現和映射、AI 驅動的風險優先級排序、自動化修復建議和預測性分析等方面廣泛應用。攻擊面管理的平臺化和整合。企業將尋求能夠提供全面攻擊面管理功能的統一平臺，而不是依賴多個分散的工具。未來，攻擊面管理平臺將與其他安全工具，進行更緊密的集成，實現安全數據的共享和協同?；陲L險的攻擊面管理。攻擊面管理將從單純的資產發現和枚舉，轉變為基于風險的管理，更加關注對

169、業務造成實際影響的風險。攻擊面管理工具將提供更精細的風險量化功能，幫助企業評估不同攻擊路徑的風險等級，并制定相應的緩解措施。主動式攻擊面管理。攻擊面管理工具將提供攻擊全路徑模擬功能，幫助安全團隊識別潛在的攻擊路徑，并在攻擊者利用之前進行修復供應商安全受到關注。隨著全球供應鏈的復雜性增加，供應鏈攻擊日益增多，給企業帶來巨大風，未來供應鏈安全將成為攻擊面管理的重要組成部分，攻擊面管理產品將更加注重供應鏈安全風險的評估和管理。云原生攻擊面管理興起。隨著云計算的普及，云原生攻擊面管理技術應運而生，將更好地支持云原生環境，例如，提供云原生資產發現、云原生漏洞掃描、云原生安全策略管理等功能。攻擊面管理廠商

170、推薦攻擊面管理技術應用指南73第八章 攻擊面管理廠商推薦選擇合適的攻擊面管理產品需要考慮市場表現、產品技術能力、技術創新能力、運營管理能力和服務與支持能力等關鍵指標。本報告推薦了十家具有代表性的廠商，并詳細介紹了它們的產品特點、優勢和推薦理由，為企業選擇合適的解決方案提供參考。8.1 選型關鍵指標安全牛建議攻擊面管理產品選擇應考量廠商品牌、市場表現、產品技術能力、產品創新能力、管理與服務等多方面因素，針對企業場景明確不同建設階段的目標和需求，從而為產品評估選擇提供全面依據：選型關鍵指標攻擊面管理廠商推薦攻擊面管理技術應用指南748.2 十大代表性廠商推薦報告從品牌影響力、市場表現、產品技術能力

171、、產品創新能力、管理與服務五大能力維度，對當前國內新一代攻擊面管理廠商進行了評估分析，并收錄其中具有較高應用代表性的 10 家廠商（排名不分先后，按首字母序排列）（1）推薦廠商-華順信安北京華順信安信息技術有限公司（以下簡稱“華順信安”）成立于 2015 年，北京華順信安科技有限公司是一家以網絡空間測繪技術為基礎，聚焦于安全大數據和網絡空間資產安全的高科技企業。華順信安公司總部位于北京，在上海、深圳、長沙、成都、武漢等多地設有分支機構。目前研發團隊規模 50+人，主要客戶涉及政府、金融、運營商等行業。典型產品介紹 明見FORadar，互聯網資產攻擊面管理平臺，基于互聯網資產引擎技術，動態探測客

172、戶互聯網資產、數字資產、疑似資產、威脅資產、資產漏洞、數據泄露等問題，挖掘客戶暴露在互聯網側的未知資產，以攻擊者視角洞悉資產風險，快速精準繪制企業資產暴露面。FOBrain，網絡資產攻擊面管理平臺，以攻擊者視角聚焦企業網絡空間資產，幫助客戶全面掌握資產動態、洞察資產風險，以攻促防，從攻防實戰的角度審視安全防御體系，梳理企業的攻擊面，構建實戰化、一體化的攻擊面管理平臺。推薦理由 互聯網資產全面性、快速測繪 豐富的報告模板，成熟的資產可信度打分機制攻擊面管理廠商推薦攻擊面管理技術應用指南75 報告模板和專家解讀服務 易用性強：操作簡便，自動化程度高 適合場景 互聯網資產梳理和未知資產探測 互聯網資

173、產風險評估和漏洞掃描 數據泄漏監控 安全合規檢查和報告攻擊面管理廠商推薦攻擊面管理技術應用指南76（2）推薦廠商-華云安北京華云安信息技術有限公司（以下簡稱“華云安”）成立于 2019 年，致力于構建人工智能驅動的下一代網絡安全防御體系，構建面向未來的智能化防御整體解決方案。自成立以來，陸續發布了靈洞網絡資產攻擊面管理系統（Ai.Vul）、靈刃智能滲透與攻擊模擬系統（Ai.Bot）、及靈知互聯網情報監測預警中心（Ai.Radar）等核心產品；2023 年，公司繼續深化安全驗證產品與服務體系，構建了包括攻擊面管理完整產品體系，以及圍繞智能驅動的滲透測試即服務和紅隊服務。目前用戶行業覆蓋金融行業、

174、電力行業、政府行業等。典型產品介紹 靈洞網絡資產攻擊面管理平臺（Ai.Vul），網絡資產攻擊面管理平臺，依托資產發現、弱點分析、情報共享、分析研判、運營響應五大環節，讓客戶以攻擊者視角先于攻擊者發現可能攻擊的入口，并及時采取應對措施，一站式解決網絡資產攻擊面檢測與管理難題。靈刃智能滲透與攻擊模擬系統（Ai.Bot），有效性驗證系統。對目標網絡持續開展無害化的智能滲透和攻擊模擬驗證，確保安全防護策略有效運行；驗證邊界突破、內網橫向移動等多種攻擊場景下的安全防護體系的防御、響應能力，協助用戶持續優化和補齊安全防護體系，持續推動企業安全防護實戰化發展。靈知互聯網威脅監測預警中心（Ai.Radar），

175、互聯網攻擊面管理平臺，可實現企業外部攻擊面管理、情報威脅預警。推薦理由 資產數據質量治理和資產關聯 攻擊路徑可視化 安全驗證能力 易用靈活的配置和定制化功能攻擊面管理廠商推薦攻擊面管理技術應用指南77 深入了解金融行業需求 適合場景 云上、云下全視角的數字資產治理 攻擊面安全驗證服務 攻擊面風險路徑測繪 互聯網風險評估攻擊面管理廠商推薦攻擊面管理技術應用指南78（3）推薦廠商-綠盟科技綠盟科技集團股份有限公司（以下簡稱“綠盟科技”）成立于 2000 年 4 月，綠盟科技基于多年的安全研究，秉持智慧安全 3.0 理念，致力于推動中國網絡安全產業健康良性的發展。綠盟于 2018 年發布威脅和漏洞管

176、理平臺 TVM，2021 年發布防御突破模擬與評估系統 BAS，2023 年發布外部攻擊面管理 EASM，2024 年發布持續性攻擊面風險管理平臺 CTEM，涵蓋了攻擊面管理的各個關鍵環節，從資產識別、威脅評估、攻擊模擬到風險處置和安全運營，為企業提供了一套完整的攻擊面風險管理解決方案?？蛻羯婕敖鹑?、能源、運營商等行業。典型產品介紹 綠盟 TVM 威脅和漏洞管理平臺是一個全面的內網安全管理平臺，整合了主動和被動探針、第三方平臺數據和其他安全管理平臺的數據，旨在幫助企業全面管理內網資產和風險。TVM 平臺是發現和管理內網資產，包括主機、網絡設備、數據庫、中間件等，并提供漏洞掃描、修復建議和跟蹤管

177、理、弱口令檢測、配置核查等功能。綠盟 BAS 防御突破模擬與評估系統通過模擬真實的攻擊行為，幫助企業評估其安全防御體系的有效性。BAS 系統可以繪制網絡拓撲，識別潛在攻擊路徑，模擬攻擊者利用各種攻擊技術躲避安全設備的檢測，并進行APT攻擊、勒索軟件攻擊、釣魚郵件攻擊等模擬，最終提供量化的評估報告和修復建議。綠盟 EASM 外部攻擊面管理服務是一個基于云端的安全服務，幫助企業識別和管理暴露在互聯網上的資產和風險。EASM 服務通過主動和被動的方式收集互聯網側資產數據，結合情報和指紋識別技術，對企業外部攻擊面進行持續監測和評估，提供風險預警、風險處置建議，并對多源數據進行治理和融合。綠盟CTEM持

178、續性攻擊面風險管理平臺整合了TVM、EASM、BAS等多種安全產品和能力，通過持續的泛資產識別、威脅評估和有效性驗證、基于機器學習的 VPT 技術，專業的安全運營服務，建立全局視角、可落地的威脅管理機制，全局視角的運營度量和安全態勢，實現對企業內外網資產全方位風險治理。攻擊面管理廠商推薦攻擊面管理技術應用指南79 推薦理由 前瞻性的安全理念和風險管理方法論 較高的漏掃知名度和市場占有率 全面的安全能力和豐富的產品線 內外網泛資產和全方位風險治理 攻擊路徑的可視化 數據挖掘與分析利用 適合場景 暴露面持續性閉環管理 內網與外網攻擊面的綜合管理 企業資產梳理 資產安全風險管理 漏洞驗證分析和知識庫

179、運營管理攻擊面管理廠商推薦攻擊面管理技術應用指南80（4）推薦廠商-魔方安全深圳市魔方安全科技有限公司（以下簡稱“魔方安全”）成立于 2015 年 10 月，由 CubeSec 網絡安全攻防團隊創立，是一家致力于驅動前沿科技保護數字安全的創新型公司。2015 年推出“外部攻擊面管理平臺”，2021 年，發布攻擊面可視化管理解決方案（VASM）。已經為全國的眾多客戶所使用，覆蓋金融、政府、交通等行業和大型企業等。典型產品介紹 外部攻擊面管理系統 EASM（SaaS）以攻擊者的視角，自動化地對企業數字資產進行持續發現與風險監控，核心功能包括影子資產監測、漏洞情報分析、數字資產統一納管、敏感信息下架

180、處理，以及組織風險監測等。網絡資產攻擊面管理系統 CAASM，實現“資產風險責任人”核心要素關聯，建立可持續更新的資產臺賬，兼具外部攻擊面管理的紅隊視角與內網資產安全管理防守方視角，洞察網絡空間 IT 資產（傳統 IP 化資產+數字化資產），主動掌控資產風險與動態。推薦理由 外部攻擊面精細化運營服務 攻擊路徑推演和可視化攻擊面管理廠商推薦攻擊面管理技術應用指南81 基于合規模板和信創場景的檢查 適合場景 外部攻擊面安全托管服務 多分支機構的大型企業的互聯網安全治理 互聯網暴露面敏感信息與數據交易監控攻擊面管理廠商推薦攻擊面管理技術應用指南82（5）推薦廠商奇安信奇安信科技集團股份有限公司（以下

181、簡稱“奇安信”）成立于2014年，專注于為政企機構提供企業級產品、技術和服務，憑借持續的研發創新和以實戰攻防為核心的安全能力，成為新一代網絡安全領軍者。公司愿景是成為全球第一的網絡安全公司。目前客戶行業涉及金融、電信、能源等行業。典型產品介紹 奇安信網絡資產攻擊面管理系統（CAASM）是以多源資產數據融合分析為核心競爭力，基于“數據+運行”雙核驅動模式，具備資產盤點、隱患識別、違規監測、響應處置能力的平臺?；谄姘残抛灾餮邪l的數據融合處理引擎，CAASM 通過 API 與安全系統、網絡設備、IT 基礎設施對接，對資產、風險、策略、業務、網絡、組織、人員等數據進行融合和關聯，構建時空動態的資產地

182、圖。通過數據碰撞，持續監測資產安全狀態，精準識別高危資產和違規資產。奇安信自動化滲透測試系統（EASM）是一款由奇安信自主研發的外部攻擊面管理工具，擁有強大的資產發現及漏洞探測能力，以紅隊視角快速收集并持續監測企業暴露面脆弱性，通過底層智能算法與攻擊鏈模型尋找可能的突破口，并通過內置 6000+POC 及 800+EXP 驗證漏洞有效性及可利用性、給出漏洞修復優先級，幫助客戶主動發現外部攻擊面風險、真實檢測系統安全防御能力。奇安信網神安全有效性驗證評估系統（天眼 BAS）是一款奇安信自主研發的入侵與攻擊模擬系統，系統基于豐富的常態化威脅檢測和預警方案，借助自動化攻擊和編排能力，可對目標進行 7

183、*24 小時的自動化多維度的攻擊，從實戰中找出網絡與系統中存在的疏漏和失效點，發現防御體系潛在問題，對現有安全設備、人員安全意識、安全防御體系的有效性等進行量化評估，為企業提供可視化的安全運營指標，并持續性驗證安全防御效果，給出真實可靠的安全評估結果，從而大幅降低安全效果評估測試對于人工的依賴，協助企業健全網絡安全防護體系。推薦理由 較高的知名度和市場占有率 聚焦安全實戰，識別和評估攻擊面 資產多源融合歸一，構建時空動態的資產視圖 數據驅動和安全運營持續提升 強調安全和信息化的協同管理 事前安全管理+技術視角的理念攻擊面管理廠商推薦攻擊面管理技術應用指南83 人員經驗賦能預置規則和知識庫 適合

184、場景 大型頭部企業的資產攻擊面管理 互聯網暴露面監測和評估 攻擊威脅研判告警和聯動處置 攻擊者視角發現安防機制弱點 專項與定制化漏洞發現與檢測 持續自動驗證安全防御有效性攻擊面管理廠商推薦攻擊面管理技術應用指南84（6）推薦廠商矢安科技上海矢安科技有限公司（以下簡稱“矢安科技”）成立于 2021 年，是一家創新型智能安全企業。公司提供基于攻防實戰化的創新安全產品、服務及解決方案，運用 AI 及創新技術提升安全自動化、智能化程度，有效促進企業安全生產力。矢安科技致力于成為新一代智能安全的領跑者。2021 年發布 BAS 產品矢安攻鑒（AS BAS）突破與攻擊模擬系統，2022 年8 月發布矢安覓

185、影（AS EASM）外部攻擊面管理系統。目前研發團隊規模 57 人，客戶涉及金融、政府、能源、運營商、互聯網等多個行業。典型產品介紹 覓影（AS EASM）是矢安科技的外部攻擊面管理系統，可幫助企業跟蹤監測各種互聯網、社交媒體、暗網和深網環境，評估和分析數字資產的屬性，發現和清點企業未知的面向外部的數字資產、系統、敏感數據等，系統對風險和漏洞進行優先排序和預警，并提供緩解措施或編排自動化響應流程，幫助企業快速降低風險。攻鑒（AS BAS）突破與攻擊模擬系統是以自動化、無害化的方式持續開展攻擊模擬、驗證企業安全有效性的安全產品，能夠覆蓋完整殺傷鏈的安全驗證場景，包括釣魚郵件、郵件網關、威脅情報、

186、WAF、流量安全、終端安全、數據保護、容器安全等。并支持攻擊劇本編排，允許基于真實攻擊路徑下的攻擊模擬。推薦理由 結合 BAS 檢測和提高人員安全意識 精細化服務和易用性 攻擊路徑推演和可視化 AI 降噪技術深度集成 前瞻性的發展方向 適合場景 互聯網合規監管應對 安全防護驗證 影子資產管理 分子公司資產安全 互聯網數據安全攻擊面管理廠商推薦攻擊面管理技術應用指南85（7）推薦廠商-亞信安全 亞信安全科技股份有限公司（以下簡稱“亞信安全”），以護航產業互聯為使命，以安全數字世界為愿景，以“懂網、懂云、懂安全”為優勢基因，打造“云網安”一體的能力體系。亞信安全于 2022 年發布攻擊面管理解決方

187、案，方案涉及星海外部攻擊面管理服務平臺（EASM）、亞信安全-信端（TrustOne）/天穹 ImmunityOne、入侵與攻擊模擬服務平臺（BAS）、威脅情報等多款產品，涵蓋 CAASM、EASM 和 BAS。服務客戶分布于金融、政府、電力等關基行業。典型產品介紹亞信安全攻擊面管理解決方案，涵蓋外部攻擊面管理（EASM）、內部網絡資產攻擊面管理（CAASM），并結合威脅情報數據以提供更全面的安全保護。以攻擊者視角來查看企業攻擊面風險情況，協助企業以攻促防，常態化動態更新資產臺賬、收斂暴露風險，進而為企業安全運營提效。亞信安全攻擊面管理方案能力全景 推薦理由 紅方視角，攻擊視角理清數字資產 一

188、鍵操作和攻擊面排查即開即用，極具易用性 利用 AI 技術進行外部攻擊面數據降噪和決策規則 提供泄露數據快速下架處置，實現風險閉環 內部終端的聯動和豐富的虛擬補丁攻擊面管理廠商推薦攻擊面管理技術應用指南86 適合場景 企業暴露面資產摸底梳理“兩高一弱”專項檢查 勒索風險防護聯動治理 數據泄露風險排查和聯動治理：終端體檢聯動處置攻擊面管理廠商推薦攻擊面管理技術應用指南87（8）推薦廠商知其安科技北京知其安科技有限公司（以下簡稱“知其安科技”）2021 年，是一家致力于技術和產品創新驅動的新一代網絡安全企業。2022 年 8 月發布陸吾網絡資產攻擊面管理平臺，目前研發團隊規模 40+人，產品已服務近

189、百家金融、央企、智能制造、互聯網等客戶，典型產品介紹陸吾網絡資產攻擊面管理平臺，網絡資產攻擊面管理平臺，聚焦安全資產治理、資產風險治理、安全運營支撐三大類安全場景，通過對安全、運維、網絡、管理側的多來源資產數據重新融合，構建統一、全面、準確、保密的安全資產臺賬，幫助客戶理清安全資產，梳理監管報送清單，收斂潛在攻擊面，降低資產安全風險，顯著提升安全運營效率。推薦理由 資產數據質量治理 BAS 平臺聯動實現安全驗證 靈活和易用性 第三方產品快速集成能力攻擊面管理廠商推薦攻擊面管理技術應用指南88 適合場景 資產數據質量治理 防護度量和有效性驗證 應急響應中心快速分析受影響資產范圍 合規監管報送攻擊

190、面管理廠商推薦攻擊面管理技術應用指南89（9）推薦廠商知道創宇北京知道創宇信息技術股份有限公司（以下簡稱“知道創宇”）創立于 2007 年，由數位具有前瞻視角的安全專家創辦，是一家立足攻防一線，與客戶并肩戰斗，擁有“實戰對抗”能力，由大模型驅動的網絡安全和認知域安全企業。2013 年發布 ZoomEye，全球網空資產測繪平臺，2019 年發布 ZoomEye Pro、2021 年發布 ScanV 等產品，可全面覆蓋外部攻擊面管理和網絡資產攻擊面管理領域需求。目前研發團隊 50+人，主要客戶行業涉及運營商、電力、大型央企等行業。典型產品介紹 ZoomEye 是一個強大的網絡空間搜索引擎，專注于目

191、標和漏洞映射。它通過全端口掃描和持續探測，構建互聯網安全景觀圖，支持資產發現、風險分析、應急響應和網絡安全保證。促進研究人員和企業迅速進行網絡資產匹配，進行資產漏洞影響范圍分析、應用分布統計、應用流行度排名統計等，提升網絡安全能力。ZoomEye Pro 是一款面向企事業單位研發的網絡資產掃描與管理系統，可以全面采集內外網資產并統一管理。能夠快速更新高威脅漏洞插件并對全部資產進行漏洞影響面分析。具備資產發現能力快速精準、資產指紋信息豐富、資產分類清晰直觀、漏洞響應能力強的特點，可以從攻擊者視角持續發現內外網資產以及高風險問題，有效降低安全風險。ScanV 是從攻擊者視角審視企事業單位互聯網資產

192、暴露面與脆弱性的 SaaS 產品，為單位提供持續全量資產發現與管理、風險監測與治理能力，實現互聯網攻擊面的梳理與收斂，成為網絡安全合規與實戰對抗中不可或缺的安全保護手段。攻擊面管理廠商推薦攻擊面管理技術應用指南90 推薦理由 基于 ZoomEye 歷史數據、攻擊、暗網等全面情報數據 攻擊者角度的暴露面與脆弱性 AI 數據挖掘和情報評估、多語言情報收集 內外網資產數據利用 供應鏈安全、外部暴露風險指數和動態情報表等前瞻性的發展方向 適合場景 監控和治理互聯網暴露面 資產全生命周期安全運營 監管合規檢查 敏感數據泄露監控 供應鏈安全管理攻擊面管理廠商推薦攻擊面管理技術應用指南91（10）推薦廠商-

193、中國通服中國通信服務（以下簡稱“中國通服”）成立于 2006 年，現有 22 家設計院，15 家 IT 服務公司，依托覆蓋全國省、市、縣三級的跨專業落地支撐體系和安全技術團隊，為客戶提供貫穿項目建設全生命周期（評估，咨詢，設計，集成實施，涉密施工，監理，運維，應急，培訓）的網絡安全一體化綜合服務。中國通服于 2021 年發布了資產測繪與攻擊面管理平臺，2022 年發布了互聯網暴露面資產測繪平臺，主要服務于運營商，金融，能源等行業客戶。典型產品介紹 資產測繪與攻擊面管理平臺；基于網絡攻防實戰的視角，采用主動和被動相結合的方式全面發現企業網絡中的安全資產，通過實戰化、自動化、智能化的技術手段持續探

194、測網絡資產安全風險，讓資產安全可知、可見、可管、可核、可控?；ヂ摼W暴露面資產測繪平臺；采用分布式主動掃描引擎+資產指紋圖譜+漏洞檢測引擎等多重核心技術手段，實現暴露面資產及攻擊面從探測、識別到收斂的閉環管控，快速、準確、全面、動態的掌握全網的“暗”資產，自動繪制互聯網暴露面資產動態地圖，構建網絡安全防護新常態，筑牢抵御攻擊的第一道防線。推薦理由 運營商大網資源優勢 資產探測類型覆蓋范圍廣，效率高 可應對大型企業復雜環境 SOC 與攻擊面深度融合 貼合產品+服務攻擊面管理廠商推薦攻擊面管理技術應用指南92 專業的運營服務團隊 適合場景 內外網資產攻擊面的統一發現和管理 互聯網暴露面資產監測、評估 多區域大型企業資產管理 合規檢查 大型關基企業的安全管理