1、2022 中國金融行業 北京數字世界咨詢有限公司 2023.1攻擊面管理白皮書 北京數字世界咨詢有限公司 2023.12022 中國金融行業攻擊面管理白皮書2020 年，數世咨詢首創網絡安全三元論，后進化為“數字安全三元論”，該理論由信息技術、網絡攻防、業務應用三個支點與數據安全這個核心構成，其中：信息技術是數字安全工作開展的基礎，不清楚資產，何談保護？沒有網絡，就沒有網絡安全；網絡安全的伴生、服務和對抗本質，決定了它將永遠的場景化、碎片化和動態化；業務應用既是信息技術與網絡攻防的成本來源，也是兩者最終的價值所在。數字世界以網絡連接為基礎，以數據流動釋放價值，以人工智能塑造未來。數字安全以網絡

2、安全為基本手段，以數據安全為核心目的，支撐數字經濟的健康發展和國家社會的和諧穩定。數字世界，安全共生！數世咨詢作為國內獨立的第三方調研咨詢機構，為監管機構、地方政府、投資機構、網安企業等合伙伙伴提供網絡安全產業現狀調研，細分技術領域調研、投融資對接、技術盡職調查、市場品牌活動等調研咨詢服務。報告編委主筆分析師 劉宸宇 首席分析師 李少鵬 分析團隊：數世智庫 數字安全能力研究院 版權聲明本報告版權屬于北京數字世界咨詢有限公司（以下簡稱數世咨詢）。任何轉載、摘編或利用其他方式使用本報告文字或者觀點，應注明來源。違反上述聲明者，數世咨詢將保留依法追究其相關責任的權利。目錄前言 1關鍵發現 31定義及

3、描述 41.1攻擊暴露面 41.2攻擊面管理 41.3EASM 與 CAASM 51.4與現有安全解決方案的區別 52金融行業攻擊面管理需求現狀分析 82.1安全強合規，但缺少可落地的指導細則 82.2金融機構安全團隊往往面聊多個監管方的掃描與通報 82.3攻擊面管理的建設與運營，仍然需要事件驅動和推動 92.4業務變化快，更注重資產生命周期的多標簽動態管理 92.5業務屬性差異大，要完全實現“同業參考”是一個偽命題 102.6響應時效要求高，需要兼顧可觀測性與安全有效性 102.7攻擊面收斂難，需要專業技術與服務意識相結合 112.8共同成長，金融機構與安全廠商形成攻擊面管理的共生互助關系

4、123行業用戶場景 13目錄3.1分支機構資產納管 133.2實網攻防演練 133.3數據泄露溯源取證 143.4安全運營基礎設施 143.5后疫情時代的攻擊面管理 154關鍵能力164.1攻擊暴露面發現能力164.1.1外部信息攻擊面覆蓋164.1.2網絡資產攻擊面覆蓋 174.1.3脆弱性風險評估 194.2攻擊面數據融合能力 214.2.1多源資產數據接入 214.2.2數據融合與分析 224.3攻擊面管理平臺能力 224.3.1基于業務視角的資產屬性 224.3.2可觀測性 234.3.3資產數據輸出 244.4攻擊面專項收斂能力 254.4.1互聯網風險資產快速定位與下線 254.4

5、.2外部信息攻擊面收斂 26目錄4.4.3辦公網資產整體收斂 264.5能力建設建議：階梯式建設 275代表企業 285.1Mandiant 285.2Sevco Security 295.3魔方安全 316未來展望 346.1攻擊面管理作為行業共識，將成為安全運營必選項 346.2金融行業攻擊面管理將向“大集中”靠攏 346.3攻擊面管理方案的交付將以“平臺+服務”結合為主要方式 346.4對攻擊暴露面的實時可觀測性準確度會越來越高 35 2022 中國金融行業攻擊面管理白皮書 1前言金融行業具有關鍵基礎設施屬性，是國家與社會生活正常運轉的基礎與核心。金融行業具有領先的科技屬性，AI、區塊鏈

6、、云計算、大數據、5G 等新技術都能在金融行業中找到優秀的最佳實踐。同時，金融行業還具有極高的安全屬性，從信息安全到網絡安全再到數據安全，金融行業的安全需求始終以“強合規、高要求”走在各行業前列，由這些新需求帶來的供給側安全技術創新，也具有很強的示范性與可復制性。在關基屬性、科技屬性、安全屬性等三個屬性背景下，金融行業安全建設與運營，最首要場景需求是梳理潛在的攻擊暴露面并有效縮小這個攻擊面，使其收斂至可視、可查、可控的程度。這成為了金融行業中安全從業者要面對的第一個，也是最基本的一個問題。面對這一需求，供給側情況如何呢？我們先看國外，繼“網絡空間測繪”、“資產管理”等概念之后，Gartner

7、于 2021、2022 連續兩年在 Hype Cycle for Security Operations中提出了CAASM（網絡資產攻擊面管理），開啟了“攻擊面管理”時代。我們用以色列安全公司 Axonius 為例，作為一家專門從事網絡安全資產管理的安全企業，它奪得了 2019 年 RSAC 創新沙盒的冠軍，在奪冠當年，它的 slogan 是這樣說的：You cant secure what you cant see.三年后，它則明確提出了:From assets management to assets intelligence:crossing the CAASM此為一證。國內的安全供應商

8、也是如此，無論較早成立的以“資產測繪”2或“資產安全管理”為主要技術路線的企業，還是近兩年如雨后春筍般新成立的定位“攻擊面管理“的初創團隊，都在積極向攻擊面管理 ASM 這個賽道靠攏。然而與國外環境不同的是，國內金融行業雖然相比其他行業已經大多設立了首席安全官 CSO 或有專門的安全團隊，但話語權普遍不高。近年來國內安全市場很大一部分驅動力，來自于監管機構的合規要求和逐漸常態化的實網攻防演練，導致在應對潛在的攻擊暴露面時，有很多不同于國外的“獨特”管理手段，例如，發現風險資產后收斂的難度更大，常常需要借助安全重保與攻防演練的機會，對其進行收斂。綜上所述，數世咨詢認為在突出的現實需求與供給能力之

9、間，始終缺少一個以行業用戶訪談為基礎，以金融行業為代表的“攻擊面管理”報告對其做出梳理與闡述。鑒于此，我們協同國內攻擊面管理領域安全廠商魔方安全對銀行、證券、基金、資管及互聯網金融等數幾十家金融行業典型客戶開展了為期一個多月的調研工作，并在保護用戶隱私不泄露任何調研原始數據的基礎上，將調研成果整理成為各位讀者看到的2022 中國金融行業攻擊面管理白皮書。報告同時還收錄了該領域具有代表性的一些國際、國內能力企業，供各位讀者參考。鑒于時間緊迫，調研對象樣本有限，報告中難免有遺漏、偏頗之處，請各位讀者不吝指正。2022 中國金融行業攻擊面管理白皮書 3關鍵發現金融行業安全強合規，但與“攻擊面管理”直

10、接相關的合規要求始終缺少可落地的指導細則。金融行業攻擊面管理“同業參考”是一個偽命題。金融行業業務變化快，攻擊面管理更加注重資產生命周期的多標簽動態管理。金融行業的收斂響應時效要求更高，攻擊面管理平臺應具備較強的可觀測（可視、可查、可控、可度量）能力。金融行業攻擊面的收斂效果主要依賴于資產數據的完整性、可觀測性，以及與漏洞等脆弱性情報的關聯性，這些也都同時與機構的安全策略管理與安全有效性驗證存在正相關。攻擊面管理作為行業共識，將成為安全運營必選項。金融行業攻擊面管理將向“大集中”靠攏。金融行業攻擊面管理方案的交付形態，以“平臺+服務”相結合的方式為主。41定義及描述1.1 攻擊暴露面本報告中的

11、“攻擊暴露面”指潛在攻擊者對金融行業用戶機構開展網絡安全攻擊時可能利用的所有數字資產、外部信息、脆弱性風險等數據的集合，稱為該用戶機構的攻擊暴露面。資產的定義：首先明確網絡空間資產的定義，這里的資產是指賽博空間中某機構所擁有的一切可能被潛在攻擊者利用的設備、信息、應用等數字資產。具體對象包括但不限于硬件設備、云主機、操作系統、IP 地址、端口、證書、域名、Web 應用、業務應用、中間件、框架、機構公眾號、小程序、App、API、源代碼等。概括來說，只要是可操作的對象，不管是實體還是屬性。都可以稱之為“網絡空間資產”。圖例 1：常見攻擊暴露面數據緯度（本圖例由魔方安全提供）1.2 攻擊面管理如無

12、特別說明，本報告中的“攻擊面管理”特指金融行業用戶依托攻擊面管理平臺，結合安全運營服務，對機構自身及下屬分支機構的攻擊暴露面進行 2022 中國金融行業攻擊面管理白皮書 5發現、判別、確認，并協調內、外部第三方對攻擊面進行持續收斂的解決方案。圖例 2：金融行業攻擊面管理示意簡圖1.3 EASM 與 CAASM攻擊面管理分為外部攻擊面（External Attack Surface Management，縮寫為 EASM）和網絡資產攻擊面（Cyber Asset Attack Surface Management，縮寫為 CAASM）。EASM 強調外部攻擊者視角，針對暴露在公網的資產（包括互聯

13、網、云、物聯網、智慧城市等環境下的資產與風險），主要通過黑客探測的手法與情報來進行分析。CAASM 則強調內外部全局視角，通過 API 與其他系統集成的方式來解決持續的資產可見性和漏洞風險。1.4 與現有安全解決方案的區別 圖例 3：與現有解決方案的區別6攻擊面管理與傳統漏洞掃描及滲透測試服務的對比漏洞掃描和漏洞管理是網絡安全運營工作的基礎，從防御者視角出發，聚焦現有的 IP 資產臺賬，進行常規的巡檢與通報。但金融行業的業務具有多樣復雜、快速迭代的屬性，與之相伴的是企業的網絡邊界變得模糊，大量開源組件被廣泛應用，并衍生出 App、小程序和 API 等數字資產新形態，這些變化讓安全管理員遭遇巨大

14、的挑戰，傳統的漏掃工具和專項滲透測試均不能很好地應對，從而出現更多的影子資產（Shadow IT）。漏洞掃描類產品會根據 CVSS 評分體系對漏洞進行風險評級，方便安全管理員開展收斂工作。但對攻擊者而言，更關注能被有效利用的價值漏洞，這種視角差、信息差令安全管理員的精力無法投放到更有價值的工作當中。綜上所述，快照式、長間歇的工作方式無法滿足數字化業務和資產不斷變化的要求。相對傳統的滲透測試等安全服務手段，攻擊面管理在廣度、頻度和數據驅動響應與運營方面的實踐更優，也避免了高度依賴于人而導致的產出質量不穩定、資源投入大等問題。攻擊面管理與資產測繪及資產安全管理的區別“網絡空間測繪”的定義：針對賽博

15、空間中的數字化資產，通過掃描探測、流量監聽、主機代理、特征匹配等方式，動態發現、匯集資產數據，并進行關聯分析與展現，以快速感知安全風險，把握安全態勢，從而輔助用戶進行指揮決策，支撐預測、保護、檢測、響應等安全體系的能力，即為網絡空間資產測繪(CAM)。測繪是一種技術手段，用于獲取空間的數據實體，基本面向IP對象，端口與服務。對比網絡空間測繪，資產安全管理更進一步：更聚焦資產全生命周期安全管理，包括資產梳理、登記和上下線管理，強化工單與流程（登記、變更、資源分配、審核、通報），借助資產測繪等技術手段，建立風險治理機制和形成聯動管控模式。清晰完整的資產臺賬、分類分級、邊界和責任、資產多維屬性 20

16、22 中國金融行業攻擊面管理白皮書 7關聯分析、風險管理、資產全景態勢可視化分析，滿足不同角色使用的（高層領導、信息化、安全管理、安全分析、安全運營、業務部門）的統一視角，讓資產數據可管理、可運營。資產測繪是基礎手段，全面且清晰的資產臺賬，是安全建設的必答題，也是邁向高水平安全運營的必經之路。攻擊面管理聚焦在攻擊者視角，是一種比網絡空間測繪和資產安全管理更高維的資產安全管理的方法，融入了更多威脅因素，以保護組織數字資產安全為出發點，聚焦在攻擊者視角去審視網絡空間內不同形態種類的資產所組成的攻擊暴露面，同時特別強調“可觀測性”、“可運營”，這意味著資產的全面性可度量、風險可度量、響應處置可度量。

17、82金融行業攻擊面管理需求現狀分析在調研訪談中，我們與多位金融行業安全團隊負責人進行了溝通，梳理出金融行業攻擊面管理需求現狀的以下八大特點：2.1 安全強合規，但缺少可落地的指導細則網絡安全法、數據安全法、個人信息保護法、關鍵信息基礎設施保護條例等“三法一條例”中都對“金融”行業有明確的安全合規要求，銀保監會、證監會等行業監管機構出具了多項行業規定及要求，對行業機構提出更為具體的安全要求。不僅如此，證券公司分類監管規定（俗稱證券機構分類評級）中，更是將“網絡安全”列入“重大負面事項”，上升到“一票否決”的高度。因此相比其他行業，金融行業在強合規驅動下有較高的安全投入。本次調研發現，在行業合規要

18、求中專門針對網絡安全資產管理、攻擊面管理的相關指導細則并不多，這就導致整個金融行業的攻擊面管理現狀水平參差不齊且差距很大。對于安全預算較少的用戶，安全團隊傾向于優先滿足有明確條文的合規要求，間接降低了攻擊面管理的建設優先級，因此很多機構仍然以 excel 表格作為資產臺賬的管理手段；對于為數不多的安全預算較為充足的用戶，專門為攻擊面管理設立了專項預算；剩余大部分安全團隊為滿足這方面需求，往往需要參考年度整體安全規劃，結合其它安全需求，將攻擊面管理的建設一并落地。2.2 金融機構安全團隊往往面臨多個監管方的掃描與通報金融機構行業主體往往受到多個行業監管單位的交叉轄制。除了網信辦、工信部、公安部等

19、網絡安全監管機構外，銀保監會、證監會等金融行業監管機 2022 中國金融行業攻擊面管理白皮書 9構也會對下轄行業機構進行攻擊暴露面的掃描與通報。除此以外，個別央國企下屬的銀行，還會同時面臨國資委的安全監管要求。多個監管方的合規要求不盡相同，監管手段也有差異，有的是從合規角度，以行政手段提出要求，有的是從攻擊者角度以技術手段進行掃描通報。在這樣的監管態勢下，各金融行業機構的安全團隊，隨時會有被多家監管單位通報的幾率，因此就需要先行自發進行攻擊暴露面的梳理排查與收斂。一旦被通報，也需要及時做出響應，形成整改說明材料進行上報。2.3 攻擊面管理的建設與運營，仍然需要事件驅動和推動雖然攻擊面管理在金融

20、行業中已經得到了大范圍的普及和接受，但具體到安全建設與安全運營中，仍然需要借助各級實網攻防演練或是偶然發生的安全事件的“幫助”。一方面，安全團隊在上一年底做預算時，撰寫采購方案時，這些事件都是“借力”的重點，另一方面，安全團隊在資產摸排、漏洞修復、安全整改等攻擊面的收斂環節，也需要“借力”這些安全事件，將一些遺留問題加以集中解決。目前在缺少指導細則的合規背景下，仍有不少分管安全的領導對安全并不了解，重視程度也不夠，所以這一需求現狀還會持續相當長一段時間。2.4 業務變化快，更注重資產生命周期的多標簽動態管理金融行業始終走在業務創新的前沿，業務創新帶動信息基礎設施環境的變化，金融機構的資產數量、

21、資產屬性、資產狀態等攻擊暴露面始終處在動態多變之中，因此金融行業的攻擊面管理解決方案不能簡單被動“拴”在 CMDB 的人工維護上，而是要將有限的人力資源投入到資產的分類分級和多標簽管理等動態管理工作中，好鋼用在刀刃上。具體來說，在資產的生命周期中，安全運營團隊可根據資產的業務相關屬性、合規審計要求、潛在威脅風險等，對資產進行多維度的識別判斷、多標簽10的動態管理。例如，一個開源組件可能涉及到多個工程項目、系統應用、業務服務器等，安全運營團隊應當在該組件評審通過允許上線時起，就將其納入資產管理平臺，然后分別從威脅狩獵的角度、從攻擊向量的角度，通過多標簽和知識圖譜工具，對其資產狀態持續完善持續更新

22、，實現資產從上線到下線全生命周期的動態管理。2.5 業務屬性差異大，要完全實現“同業參考”是一個偽命題在調研中我們發現，即便金融業務和規模都很相近的兩家機構，攻擊暴露面存在如：組織架構、IT 架構、業務層級等多種不同的業務屬性，而這些業務屬性又是“收斂”的重要依據，必須梳理清楚。業務部門的參與度決定了屬性梳理工作的效率、完整性與準確性，這就導致兩家機構各自梳理后的資產業務屬性差異很大。此外，“家丑不可外揚”和同業競爭關系等技術之外的壁壘，也讓同業參考很難大范圍公開推行，只在關系較近的個人或小群體間溝通。這就導致目前金融行業內不同機構間的攻擊面管理水平參差不齊，差距很大，加之合規方面“缺少落地指

23、導細則”的現狀短時間內亦很難有所改變，金融機構仍然需要利用實戰攻防演練等運動式場景，通過“平臺+服務”的方式，提升攻擊面管理的相關能力。因此，攻擊面管理的業務屬性很難參考復制，甚至可以說，要想完全實現攻擊面管理的“同業參考”是一個偽命題。2.6 響應時效要求高，需要兼顧可觀測性與安全有效性 相比其他行業，金融行業要求更高的業務連續性、數據完整性、安全保密性，因此在發現潛在的攻擊暴露面后，其收斂的應急響應時效要求也更高。這就要求金融行業攻擊面管理解決方案要具備較高的可觀測性?？捎^測性是指在攻擊暴露面信息豐富、準確的基礎上，安全運營團隊通過 2022 中國金融行業攻擊面管理白皮書 11可視、可查、

24、可控、可度量的攻擊面管理平臺，對內外網資產進行類似“上帝視角”的實時觀測與管理，當發現攻擊暴露面時，第一時間可以收斂響應。當然，這只是一個理想狀態，現實安全運營中，不可能百分百實現。漏報、誤報等準確性問題都會對安全運營工作帶來阻力。因此，團隊還需要對現有安全建設的整體有效性進行持續驗證。安全有效性驗證能力越強，攻擊暴露面的可觀測性就越強。再者，通過提高可觀測性，也能夠幫助審視現有安全能力體系中的有效性問題。兩者是正相關的關系?？捎^測性是過程，安全有效性是結果。兩者兼顧，找到兩者的平衡點，攻擊面收斂的響應時效就會持續提高。2.7 攻擊面收斂難，需要專業技術與服務意識相結合訪談中我們發現，處在不同

25、安全建設階段的各類金融機構安全團隊，手里多少都具備一定的攻擊面管理工具或平臺產品。但在漏洞修復等收斂環節，經常會遇到研發部門不配合、個別領導不重視等現實問題。針對這一情況，安全團隊除了要具備適用于本機構的技術工具，還需要在與其他部門溝通過程中具備主動服務的意識，兩者結合，才有可能做好攻擊面管理。如何結合呢？還以漏洞修復為例。安全團隊日常會通過攻擊面管理產品從攻擊者視角做持續的的資產摸排，當某個漏洞事件爆發時，安全團隊第一時間將潛在收到漏洞威脅的資產列表篩選出來后，直接連同漏洞影響和修復建議，指定給相關的資產負責人。如此一來一方面省去了其他部門同事突擊資產排查的工作量，另一方面，安全團隊基于攻擊

26、者視角給出的漏洞影響和修復建議，降低了相關領導和其他非安全部門同事對此類安全事件的理解門檻。調研中我們看到，在這方面做的較好的安全團隊，其統一的攻擊面視圖甚至成為了網絡部門、運維部門甚至業務部門經常會來“求助”的重要資產臺賬。如此通過專業技術與服務意識的結合，既能提升攻擊面收斂的時效，還能體現出安全團隊的工作價值。122.8共同成長，金融機構與安全廠商形成攻擊面管理的共生互助關系在調研中我們還看到一種值得欣慰的現狀，多個金融機構的攻擊面管理經過幾年的建設后，與攻擊面管理安全企業形成了共同成長的局面。一方面用戶的新需求，通過安全企業的人工服務得到解決和驗證，之后這些新需求轉化為安全企業產品中的新

27、功能；另一方面不斷升級迭代的安全產品和服務又幫助用戶覆蓋著越來越多的資產維度和攻擊面，提升攻擊面管理的水平與時效?？傮w來看，雙方不斷磨合，一起提升著攻擊面管理的自動化、可視化、智能化程度。這一需求現狀，主要取決于攻擊面管理與用戶業務的強關聯性。少了任何一方，攻擊暴露面的梳理排查和收斂，都難以順暢的落地，因此雙方才會形成攻擊面管理的共生互助關系，后續隨著合規要求的進一步細化與技術發展，這一需求現狀還會持續下去。2022 中國金融行業攻擊面管理白皮書 13 3行業用戶場景經調研，金融行業用戶在采用攻擊面管理解決方案時，有分支機構資產納管、實網攻防演練、數據泄露溯源取證、安全運營基礎設施、后疫情時代

28、攻擊面管理等五個典型場景。3.1 分支機構資產納管金融行業監管機構對轄區內所有單位組成的攻擊暴露面開展管理工作，就是第一個典型場景分支機構資產納管。金融行業監管機構明確要求分支機構上報關鍵信息基礎設施資產，然而分支機構上報的資產信息普遍存在漏報、錯報或信息滯后的情況，因此，如銀保監會、證監會以及各金融業務機構的集團總部通過攻擊面管理解決方案將分支機構的潛在攻擊暴露面資產納入管轄范圍。具體到不同的使用主體：監管機構對下轄被監管各單位上報的資產進行核查、補充，以滿足后續的合規評級、安全通報、應急響應等需求；集團總部對各地分子公司、營業網點等分支機構的資產進行全面排查，掌握集團整體攻擊暴露面情況；當

29、然，分支機構也可以自行采購或建設攻擊面管理解決方案進行自查，然后將收斂后的資產信息上報給監管或集團總部，從而掌握主動權。3.2 實網攻防演練近年來，隨著國家級、地市級、行業級實網攻防演練活動逐步趨于常態化，作為重點關鍵基礎設施行業之一的金融行業，需要在各級攻防演練活動開始前對自身潛在的攻擊暴露面進行提前發現和收斂。常見的可能被攻擊者利用的暴露在互聯網上的新型數字資產有 GitHub、14網盤文庫、公眾號小程序等；此外可以幫助防守方發現軟件供應鏈、合作伙伴等更深層次的攻擊暴露面，例如開源組件、合作商 API 接口等。演練開始后，高危漏洞事件集中式爆發，攻擊面管理解決方案可在情報披露時對業務影響范

30、圍和暴露面進行預判，提前做好防護加固措施；當利用細節公開時，對外部攻擊面進行全面摸排，協助防守方第一時間做出收斂響應，及快速定位、處置失陷資產。3.3 數據泄露溯源取證由于行業特殊性，金融行業用戶數據往往是網絡犯罪者優先關注的對象。在日常安全運營中，若不幸發生了數據泄露，金融機構可以通過攻擊面管理解決方案從泄露數據（例如暗網、黑市中的樣本數據）向上溯源，還原攻擊鏈，進而找到最早的攻擊入口。一方面將相關設備、資產乃至人員信息作為舉證材料納入證據鏈，為下一步訴諸法律提供依據；另一方面，對其他同類資產進行橫向排查，避免遺漏尚未檢出的同類攻擊行為，確保泄露途徑已排查完整。最后，將所有符合此類攻擊鏈特征

31、的攻擊暴露面統一進行收斂，避免再發生同類數據泄露事件。3.4 安全運營基礎設施相比其他行業，金融行業具備更高的安全投入和安全建設水平，建有數量更多、成熟度更高的安全運營平臺或安全運營中心。自動化、接口化、可視化的攻擊暴露面發現與管理能力，是安全運營最重要的基礎設施。安全運營建設初期，自動化的攻擊面管理能力是安全運營的基礎能力之一，同時全面準確的攻擊暴露面也是其他各項安全投入的依據；安全運營建設過程中，接口化的攻擊面管理平臺能夠成為 SOC、SIEM 等平臺的底座；安全運營能力形成后的安全有效性驗證階段，攻擊面管理更是必不可少的基礎設施，安全團隊對設備、工具、人員、以及管理流程等內容進行安全有效

32、性驗證和量化評 2022 中國金融行業攻擊面管理白皮書 15估時，都需要用到可視化的攻擊面管理能力。3.5 后疫情時代的攻擊面管理新冠疫情給全球經濟和金融行業帶來的影響是顯著的，為了支撐遠程辦公，金融互聯網攻擊面不斷增加，更多的業務系統需要對互聯網開放，無論是通過端口映射將業務系統直接開放公網訪問，還是使用 VPN 打通遠程網絡通道，都是在原本脆弱的網絡防護邊界增加更多暴露面。接入網絡的人員、設備、系統、應用的多樣性呈指數型增加，企業的業務數據在復雜的人員、設備、系統、應用間頻繁流動，數據流動的復雜性、數據泄露和濫用的風險均大幅增加。因此，后疫情時代的攻擊面管理及收斂能力，關注的重點就不再僅僅

33、是傳統中心化的 IT 資產，而是擴大到更大范圍更多維度的數字資產。滿足的是數字資產無處不在，攻擊暴露面無處不在的安全需求。16 4關鍵能力針對金融行業的關基屬性、科技屬性、安全屬性等行業特點，數世咨詢認為，其攻擊面管理關鍵能力主要包括攻擊暴露面發現、攻擊面數據融合、攻擊面管理平臺、攻擊面專項收斂等四大能力。4.1 攻擊暴露面發現能力如前文定義部分所述，攻擊暴露面的發現要以攻擊者視角為主，涵蓋網絡資產、外部信息、脆弱性風險等維度，下面針對這三個維度分別闡述其能力要點。對于潛在攻擊者來說，“信息收集”是發起攻擊前必做的功課，而且從時間角度來看，占據了攻擊者大部分的時間精力。因此，對安全團隊而言，除

34、了直接管控范圍內的網絡資產，外部信息是另一個需要重點要關注的攻擊暴露面。為便于闡述，本報告將金融行業用戶的外部攻擊暴露面以外部信息、網絡資產、脆弱性風險評估等維度進行分類，并分別討論其關鍵能力點。4.1.1 外部信息攻擊面覆蓋機構信息收集（如行政架構、品牌、郵箱、網盤、文檔文庫等）潛在攻擊者首先會搜集用戶的機構信息，搜集維度包括但不限于總部及分支機構名稱、品牌、安全管理制度、業務運行時間、集團行政架構、各分支機構間的關系等等；針對高權限的 IT 管理人員，重點搜集姓名、郵箱、手機號、VPN賬戶、昵稱、社會關系等等；搜集渠道主要有各大搜索引擎、天眼查類平臺、網盤文庫、官網、公眾號、釘釘群、微信群

35、、代碼共享平臺等。因此，安全團隊可以通過外部攻擊面發現平臺，對此類信息做持續周期性的發現。先于攻擊者發現此類資產，為響應收斂爭取時間。2022 中國金融行業攻擊面管理白皮書 17源代碼監測（如 Github、碼云等）代碼共享平臺存在隱匿的攻擊暴露面，例如管理后臺URL、VPN賬戶密碼等，開發運維人員因缺乏安全意識，無意中將此類敏感信息上傳至 GitHub、Gitee等代碼共享平臺，為信息安全事故埋下導火索。攻擊者主要是以用戶機構的業務關鍵字、品牌名稱、公司名稱、IT 人員的個人 GitHub 賬戶等渠道搜集這類信息，因此安全團隊應以技術監測手段與內部行政管理相結合的方式，對此類攻擊暴露面進行持

36、續發現、收斂。外部接口（如 API、公眾號、小程序接口等）除了代碼平臺，還有一類常被忽視的攻擊暴露面是外部接口，如與合作伙伴或第三方平臺的 API 數據接口，與微信公眾號菜單對接的 URL、小程序或 H5中隱含的數據接口等。這類外部接口，開發測試使用過后，即隨著項目結束而被遺忘，極易成為潛在的攻擊暴露面。同代碼平臺監測一樣，安全團隊應當以“技術+管理”相結合的方式，對此進行持續發現、收斂。暗網監測（社工庫、泄漏數據）金融行業用戶數據與“錢”直接強相關，具有非常高的“黑灰產價值”，因此在黑市（特別是暗網中的黑市）十分搶手。攻擊者針對金融行業機構的網絡攻擊其目的也往往正是這些高價值的用戶數據。因此

37、，針對暗網實行持續的社工庫、泄露數據等監測，能夠為用戶機構的攻擊暴露面監測提供非常有價值的參考。例如，對暗網交易市場中的樣例數據進行抽樣比對，除了能夠直接判斷泄露數據真實性，還能夠為梳理數據泄露的路徑提供依據與證據（例如用戶數據分屬于某個支行網點），更能幫助安全團隊進而梳理出攻擊暴露面中的薄弱環節。4.1.2網絡資產攻擊面覆蓋主動掃描探測18對于存在總部和分支機構的場景，特別是營業網點眾多的銀行、證券等用戶，主動掃描測繪是部署成本相對較低、效果明顯的管理工具與手段，可以獲取絕大部分在互聯網側對外提供服務的資產信息，維度主要包括：IP 地址、DNS、域名、URL、端口服務、Web 應用等。在實網

38、攻防演練等場景中，可以幫助集團安全團隊發現分支機構私自上線的網絡資產。值得一提的是，主動探測不能影響用戶的業務連續性與穩定性，應當結合用戶的業務運行時間、IT 設備承受強度，綜合考慮資產指紋庫、節點分布、掃描時間等情況，以合理策略發起掃描。被動流量發現在用戶機構的出入口網關、內部核心路由等關鍵部位，旁路部署流量分析設備，實現被動的資產發現需求。被動流量發現的資產指紋信息相比主動掃描探測，可發現資產的種類數量相對少一些，但指紋匹配的準確度相對更高。即便對于加密流量而言，仍然可以通過資產指紋加密流量建模等方式，做到部分資產的準確發現。此外，被動流量發現可以不受業務時段限制，在金融行業交易等不便于使

39、用主動掃描探測方式的時段持續提供資產發現能力；此外還可以發現主動掃描測繪不易發現的臺賬外資產，例如主動掃描節點觸達不到的內網資產、相對偶發的測試資產等。云資產發現金融行業科技屬性加持下，業務的云化始終走在前列，但云的敏捷、靈活反而成為攻擊面管理中的難題：彈性公網 IP 臨時分配必然會引發“資產漂移”的現象，應用動態水平擴展會導致暴露面無法采用靜態評估的方式有效完成，多云異構也進一步考驗攻擊面管理平臺的兼容能力。2022 中國金融行業攻擊面管理白皮書 19因此，云資產的發現，可以通過對接云管平臺 API，對虛擬化實例、域名解析記錄、彈性公網 IP、負載均衡、WAF 防護目標等實例對象進行高頻同步

40、，實現跨供應商的云端資產納管，從云端視角提高攻擊暴露面的可見性。影子資產發現大部分安全隱患與風險來自于未知，Shadow IT(影子資產)，一般是指在IT組織所有權之外的IT設備、系統和應用。它是相對于上述“主動掃描探測”、“被動流量發現”、“云資產發現”之外的資產來說的。例如分子機構私自上線的接口或站點、“碰瓷”式的合作伙伴站點、釣魚網站等仿冒站點，都屬于這類資產。因此，對于影子資產，攻擊面管理的解決方案，將在上述三種資產覆蓋的基礎上，通過“資產線索”（關鍵字線索、logo 圖形線索）持續檢索整個互聯網空間或第三方數據倉庫，逐一比對現在有的臺賬記錄，從而發現臺賬中未被記錄的疑似資產數據，實現

41、對 Shadow IT(影子資產)的持續發現。用戶進行內部核查，研判后，最后再行決定是納管或是溝通、舉報、甚至訴諸法律等其他手段將其下線。4.1.3脆弱性風險評估弱口令弱口令(weak password)沒有嚴格和準確的定義，通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令。弱口令指的是僅包含簡單數字和字母的口令，例如“123”、“abc”等。近年來，賬戶密碼的不斷泄露導致暗網的密碼數據庫不斷增加，日益開放的網絡環境降低了邊界的可防御性，遠程設備的迅速涌入使互聯網絡上的用戶和終端身份的安全管理更加復雜?？梢哉f 金融行業的弱口令攻擊面仍然是在不斷擴大的。因此，攻擊面發現能力中，對攻擊面脆

42、弱性的評估，首先還是要20關注弱口令。發現方式相對也并不復雜，在發現管理后臺頁面、口令認證接口等類型資產時，相關產品或工具能夠進一步輔以口令字典進行測試即可。這里的字典要支持用戶上傳進行自定義，同時針對不同的資產發現場景和任務，修改不同級別的弱口令測試強度，不影響業務。漏洞風險以金融行業機構為目標的潛在攻擊者，往往更加依賴于新爆出的 0day 或1day漏洞。這就決定了在新的漏洞威脅出現后，安全團隊需要搶在攻擊者之前，更快、更全、更準地定位潛在受漏洞威脅的風險資產。近幾年無論是心臟滴血、永恒之藍還是 Log4j2 等漏洞的大范圍爆發，都讓金融機構的安全團隊度過一個又一個不眠之夜。面對這樣的情況

43、，攻擊面管理首先要做到在漏洞爆發之前，就對資產臺賬中的所有資產信息按照業務優先級進行標記，同時對所使用的系統、應用、中間件及資產的版本號等關鍵信息做到精細管理、持續更新。如此一來，在漏洞爆發時，才能第一時間做到資產快速篩選、PoC 快速分發、漏洞精準匹配、虛擬補丁臨時修復等快速檢測與響應，趕在攻擊者行動之前完成風險收斂。安全團隊需要通過工單、OA 等流程系統將該漏洞信息推送至業務及 IT 運維等部門，之后定期或不定期對包含漏洞風險的資產進行精準復測。此外，還需要對漏洞響應之后新加入臺賬的資產進行漏洞 PoC 測試，杜絕“新資產、老漏洞”的情況發生。以此實現漏洞風險的攻擊面持續收斂。軟件供應鏈風

44、險經過近幾年的攻防對抗演練，行業單位安全運營能力普遍得到提升，常規的攻擊路徑得到有效的暴露與封堵。攻擊者開始轉換思路，將目光瞄準了上游供應鏈。例如金融機構所使用的辦公軟件、有合作的軟件應用開發商、2022 中國金融行業攻擊面管理白皮書 21可能用到的開源代碼，甚至是金融行業經常使用的安全產品等等。對此，攻擊面管理解決方案可通過持續應用安全（CAS）等“安全左移”的方式，將上游的攻擊暴露面也納入收斂范圍。持續應用安全（CAS）是基于我國軟件供應鏈安全現狀所誕生的一種理念，主要解決軟件供應鏈中數字化應用的開發以及運行方面的安全問題，覆蓋應用的源代碼開發、構建部署、上線運行等多個階段，保障數字化應用

45、的全流程安全狀態，是安全能力原子化（離散式制造、集中式交付、統一式管理、智能式應用）在軟件供應鏈安全上的應用。因此在應用的開發階段，攻擊面管理能夠與 CAS 形成資產數據的關聯和融合，并經由統一調度管理形成體系化的解決方案，以達到幫助用戶整合資產數據、提升攻擊面管理效率的目的。4.2 攻擊面數據融合能力4.2.1多源資產數據接入從 2019 年的 RSAC 創新沙盒冠軍 Axonius，到今年（2022 年）的 RSAC 創新沙盒十強 Sevco Security，這兩家都是從事網絡資產管理的優秀創新企業，他們有一個共同點對接多源資產數據并進行交叉比對融合。由此可見，無論用戶的單獨一個部門亦或

46、是單獨某一家供應商，不可能覆蓋所有資產，因此，攻擊面管理解決方案一定要具備的能力是“多源資產數據接入”能力。對接的多源資產數據，包括但不限于 CMDB、終端管理平臺、AD 域等運維數據，以及 NDR、EDR、HDR（含 HIDS）等具備資產發現能力的安全產品及解決方案。這里要注意的是，由于金融行業產品迭代速度較快、金融科技創新程度較高等特點，多源資產數據對接的接口應當避免項目定制化，而是盡量采用標準化產品接口實現。接口應當是通用且可擴展的，當需要對接新的資產數據來源時，其接口仍然能夠支持。要做到這一點并不容易，需要攻擊面管理供應商在金融行業有多年積累，22既熟悉金融業務特點，又熟悉金融 IT

47、環境、軟件應用供應商，才可能在產品或解決方案的后端始終做好資產對接接口的適配，跟上用戶的需求迭代速度。4.2.2數據融合與分析多源資產數據接入匯總后，并非簡單的疊加，而是要進行持續的交叉驗證、去重/擴充、屬性補全、標記等操作。舉一個較常見的例子，同一臺邊界設備資產，同時具備內外網兩套資產屬性，有可能這臺設備在業務部門（內網）和安全團隊（外網）各自的資產臺賬中，看起來是完全不相關的兩個資產。類似這種情況，需要結合業務數據流、網絡流量、訪問拓撲等多個維度，綜合描繪出資產之間的關系鏈?；氐嚼又?，攻擊面管理產品或解決方案，要能夠描繪出從域名/公網 IP 到內網主機，再從內網主機到內網 IP/域名的資

48、產關系鏈。如此將原本不同部門的資產臺賬融合為統一的資產視圖，在面對新爆發漏洞或攻擊溯源時，可以對該資產進行一體響應，避免習慣上的“先外網后內網”導致的潛在風險。4.3 攻擊面管理平臺能力經過網絡資產發現、外部信息搜集、多源資產對接后的各類資產數據，最終統一聚合到攻擊面管理平臺。管理平臺應當至少具備以下三個能力：一是信息完善與關聯，二是可觀測性管理、三是數據輸出。4.3.1基于業務視角的資產屬性無論是監管機構還是金融機構自身，都需要掌握資產的全局數據，以滿足“強監管、強合規”的需求。因此，管理平臺應當支持用戶以行政管理視角，對資產所屬的分支機構和部門進行分配與登記；同時還要根據業務架構，對資產所

49、屬的業務線、系統應用、相關負責人等屬性進行關聯補充，最終體現出資 2022 中國金融行業攻擊面管理白皮書 23產的業務價值等級、業務連續性要求等等重要屬性。對安全團隊來說，管理平臺還應當具備一定程度智能化的“標簽”能力。所謂智能化，是指管理平臺支持以業務、部門、IP 范圍等維度，給資產批量化自動化打標簽，目的是減少平臺自身的數據維護工作量，提高安全運營效率。4.3.2可觀測性攻擊面管理平臺的“可觀測性”是指經過海量數據聚合后，根據專業經驗對數據進行消化解析，多維分析呈現的一種洞察能力。當攻擊者在突破邊界時，執行突破的動作可被觀測；攻擊者開始橫向移動時，活動范圍、細節過程可被觀測；攻擊者獲得靶標

50、后，整個行動過程和細節可被重放，所有攻擊向量和路徑均可被觀測。若讓攻擊面具備“可觀測性”，前提是需要先解決資產和風險的“可見性”。通過 4.1 4.2 章節描述的發現與融合能力，已經為“可見性”奠定基礎。不同資產來源，通過比對數據集，客觀描述不同安全工具下，自身對暴露面的覆蓋范圍。CMDB、主動掃描測繪、HIDS 等單一技術手段，只能獲得到部分暴露面視野，并不能代表真實、客觀的攻擊暴露面。只有多者結合，才能更好的獲得更佳的“可見性”。在差集數據中，檢索“CMDB 尚未覆蓋的無主資產”、“DMZ 中未部署HIDS 探針的脫管資產”、“下線未下架的僵尸資產”，“主動測繪發現的影子資產”等等。以上羅

51、列的場景，便是安全管理覆蓋面的間隙，在求證暴露面可見性時，體現的“可觀測性”。24 圖例 4：資產可見性示意簡圖（本圖例由魔方安全網絡資產安全管理平臺提供）此外，結合業務權重、告警可信度、漏洞優先級等維度，對整體視圖進行呈現，方便安全團隊負責人在把握整體資產安全態勢的同時，迅速發現攻擊暴露面中需要優先收斂的部分?？梢暬Y產信息在持續完善關聯的過程中，數據復雜度也在增加。目前業內通行的做法是以知識圖譜的方式進行可視化呈現。每個圖譜節點即是一個資產單元，每個資產單元可以以顏色深淺、節點大小等可視化方式進行區分，表明該資產的不同屬性與狀態?？梢暬晥D應當支持屬性篩選、無限下鉆等功能，以滿足風險資產快

52、速定位、攻擊路徑溯源等場景。這里值得一提的是，對于少部分無需二次確認即可收斂的資產，管理平臺可通過“一件下線”功能直接將其收斂，對于大部分需要內、外部相關部門二次確認的資產，應當提供接口與工單系統對接。后面的專項收斂能力部分還會有詳細闡述。最后，對上述所有資產數據以及工單中的修復時長、跟進復測次數等，還應當具備量化統計功能，以實現對攻擊面收斂的可度量能力。4.3.3資產數據輸出經過交叉融合、信息完善、聚類關聯后的資產數據，能夠對外輸出提供數據支持。2022 中國金融行業攻擊面管理白皮書 25首先，完備精準的資產數據，可以用于安全團隊上報給上級監管部門，滿足資產報備等合規要求。在告警通報、實網攻

53、防演練等場景中，還可以用于快速定位風險資產，為撰寫相關報告提供有力的資產數據支持，使安全團隊避免被動，掌握主動權，始終做到心中有數。其次，經過與資產關聯確認后的外部威脅信息，可以對接給漏洞管理平臺、HIDS 等，提升現有安全設備的價值，甚至輸出給 WAF、EDR 等安全產品，形成實時的阻斷響應能力。經過與資產關聯確認后的漏洞信息，還可以對接工單系統，推送至業務、網絡、運維等兄弟部門，督促相關負責人定期修復，通過后期不定期的漏洞復測，進而形成漏洞管理的閉環。最后，資產數據還可以作為后續長期安全建設的基礎性數據，輸出給安全運營中心等大型項目或平臺，為其提供豐富且精準的資產數據支撐。4.4 攻擊面專

54、項收斂能力關于攻擊暴露面的“收斂”，本次調研訪談的金融行業用戶中，大部分安全負責人都反饋，需要與風險資產相關的部門同事、風險應用相關的軟件開發供應商等進行大量的溝通、協調、研判、持續跟進等等安全技術之外的工作，這表明，攻擊面的“收斂”目前仍然處于管理手段為主、技術手段為輔的階段。在這樣的背景下，本報告將攻擊面的收斂能力以三個主要場景來闡述。4.4.1 互聯網風險資產快速定位與下線在實網攻防演練和日常安全運營中，最常見的“收斂”場景是為應對1day 漏洞而進行的風險資產快速定位與下線。此專項收斂需要具備漏洞預警、攻擊面管理平臺兩個基本能力。漏洞預警是便于用戶第一時間掌握 0.5day 或 1da

55、y 的漏洞關鍵信息。用戶可實時關注國際國內主要的漏洞庫、漏洞共享平臺、社區，有條件的用戶還可以對暗網中的漏洞交易平臺進行監測。在第一時間收到漏洞預警后，用戶重點26關注漏洞描述中受漏洞影響的系統、應用、版本號、影響范圍等關鍵信息。接下來在攻擊面管理平臺中，使用這些關鍵信息篩選定位出所有潛在威脅的風險資產，然后根據資產的業務優先級、所屬部門，下發不同的響應策略。在不影響業務連續性的前提下，確定漏洞修復方案前，也可通過工單系統，協調業務、運維等部門，對部分資產做臨時下線處理。最后一小部分受業務連續性要求，既不能下線又不能修復的資產，則通過“虛擬補丁/透明補丁”的方式臨時加固，待將來允許時，再行修復

56、。4.4.2外部信息攻擊面收斂對于外部信息攻擊暴露面，針對外部信息所在平臺不同，需要采取不同的收斂策略。對于外部接口類信息，例如公眾號小程序，收斂方式最為簡單，直接從機構內部關閉相關 API 接口即可；對于共享平臺類的外部信息攻擊面，例如代碼共享、文檔文庫共享等平臺，可以通過舉證申訴等方式，聯系平臺方進行信息下線處置；對于不具備舉證申訴條件的平臺，例如暗網交易市場等，則需要首先通過泄露樣本數據等進行攻擊路徑溯源，將外部信息攻擊面關聯至內部網絡資產攻擊面，亦或是某個內部員工，然后再做進一步的收斂處置。需要強調的是，無論采用上述哪種收斂策略，對于此類外部信息攻擊暴露面，重點是先于潛在利用這些信息的

57、攻擊者進行自查。搶得先機才有足夠的時間進行收斂。4.4.3辦公網資產整體收斂采用零信任“單包敲門”的方式，用戶也可以實現攻擊暴露面收斂。所謂“單包敲門”，即單包授權 Single Packet Authorization 的一種通俗說法，是 Software Defined Perimeter 軟件定義邊界的關鍵特征。2022 中國金融行業攻擊面管理白皮書 27這一方法有效將辦公網等互聯網業務以外的資產隱藏在零信任安全網關后面，實現“批量”收斂內網資產的效果。在調研中，有證券行業用戶就是采用的這種方式。當然，這一方法也有其局限性，例如對原有網絡架構的改動較大，對釣魚攻擊的防護效果也很有限，需要

58、結合其他收斂方式以及安全意識教育等手段，以達到更好的立體收斂效果。4.5 能力建設建議：階梯式建設以上各項能力，并不要求一蹴而就一步完成，建議有能力的用戶分階段完成：第一階段目標是解決“可見性”這一行業痛點，即基于攻擊者視角進行內外網的攻擊暴露面排查，達到“有效觀測”這一階段性目標，因為“你無法保護你看不見的東西”。第二階段洞察安全管理策略覆蓋度。進行根據資產的來源標簽挖掘安全策略間隙，如DMZ的HIDS覆蓋情況，深化資產的管理顆粒度（組件、容器、API等），多維資產數據梳理與關聯。第三階段聚焦有效管控、指標化運營。針對各類資產安全場景進行補強，制定度量指標結合內部流程，管對治好。第四階段強調

59、聯動，融入機構內部生態。與 CMDB+OA 配合，實現全生命周期的安全管理，對上線下線的資產進行有效管控。最后階段增強“可觀測性”。在對資產安全治理與運營的基礎上，“從實戰中來，往實戰中去”，通過網絡仿真、知識圖譜與攻擊預測算法，實現攻擊面的可視化管理，完成“平戰一體化”的理念升維，以支撐各類常態化的攻防演練活動。28 5代表企業 5.1 MANDIANT作為老牌網絡安全企業之一，Mandiant 積累了多年的安全運營與威脅事件分析能力。Google Cloud 收購 Mandiant 后，為其帶來了強大的數據處理、人工智能等新的能力支持。加之原本就優秀的威脅情報數據收集能力，Mandiant

60、 將威脅監測、事件分析、安全驗證、自動化防御、攻擊面管理等多個能力集成在歸一化 XDR 平臺“Mandiant Advantage”上，用戶可以獲得更加閉環高效的使用效果。其中的攻擊面管理 ASM 兼具資產全面、信息深度、情報關聯等特點。例如其全面、深度的資產信息詳情，除了具備深度且直觀的可視化頁面，還包含了資產設備對應的軟件應用、配置信息以及其他多種屬性。如此一來，安全運營人員在對資產進行識別、分類、打標簽等操作時，準確度和效率都更高。在 Mandiant 的優勢能力威脅情報方面，支持從實時更新的威脅情報 2022 中國金融行業攻擊面管理白皮書 29（Issues）中一鍵篩選關聯至潛在受影響

61、的資產，呈現時也是按照攻擊威脅的嚴重級別進行優先排序展示的，這在安全人員第一時間需要進行攻擊面收斂或事件響應時，非常高效?？偟膩碚f，Mandiant 的攻擊面管理，依靠資產信息的深度、威脅情報的關聯以及歸一化平臺的快速響應閉環，充分體現出了一家老牌安全公司的綜合安全能力。5.2 SEVCO SECURITYSevco Security（以下簡稱 Sevco）成立于 2020 年，總部位于美國。核心產品 Sevco 資產管理平臺，可通過集成現有資產管理平臺的資產清單，將多源資產管理軟件的數據融合，建立更全面的資產庫，以識別企業網絡中的風險資產，進而實時跟蹤資產庫中的資產狀態變化情況。Sevco

62、可通過資產的交叉查詢，檢索到企業內的安全防護盲點。（如上圖示意圖所示）不僅方便資產管理員進行查漏補缺，而且這些資產安全團隊需要優先關注的對象，可以有效的收斂企業的攻擊暴露面。30此外，Sevco 還會動態地對機構資產的屬性變化進行監控，通過對每個報告的資產狀態與之前報告的狀態進行比較，實時標記資產變化情況，檢測資產的變化主要包括兩方面：資產庫存變更和資產屬性變更。資產庫存變更包括：新增或刪除資產、歷史過時資產的監控；資產屬性變更包括：IP、主機名、MAC 地址的監控。Sevco 可以在資產管理頁面查看資產的狀態，通過對多方數據源的聚合分 2022 中國金融行業攻擊面管理白皮書 31析，最后給出

63、資產的最近活躍狀態。此外，Sevco 可以通過不同源提供的資產快照，分析資產的安全屬性，比如最近一次打補丁的時間、是否安裝 EDR 等信息；通過 UI 上展示的顏色深度表示上一次活躍的時間，顏色越深時間越久。還有其他功能上的創新點，本報告就不一一列舉了，文末的參考資料中有相關鏈接，讀者可自行查閱?？傊?，繼 2019 年 Axonius 奪冠之后，再次有安全資產管理（攻擊面管理）企業入選 RSAC 創新沙盒的十強，說明這個領域無論是在用戶需求側、廠商供給側，還是在投資機構眼中，都是一個持續受到關注的熱點領域。5.3 魔方安全深圳市魔方安全科技有限公司（簡稱魔方安全）由 CubeSec 網絡安全攻

64、防團隊于 2015 年 10 月創立，專注于網絡空間資產安全相關的技術研究和產品研發，包括：攻擊面管理（ASM）、網絡空間資產測繪（CAM）、漏洞管理（VM）、安全攻防服務等。魔方安全于 2015 年成立當年就推出了攻擊者視角的“外部攻擊面管理平臺”并以SaaS化形態服務于金融、運營商、交通、教育等行業用戶及大型企業。2020 年，魔方安全提出“資產測繪為起點、脆弱性管理為落腳點，安全運營為目標”的資產安全管理三階論，并發布資產安全管理解決方案和“數字資產風險監控 SaaS 服務”，結合安全服務，為政企單位客戶提供內外網資產安全與漏洞運營整體解決方案。據調研，魔方安全的外部攻擊面管理 EASM

65、、攻擊面可視化管理解決方案(VASM)符合本報告中對攻擊面管理關鍵能力的主要描述，具備數字資產可視32化、資產脆弱性關聯等特點。魔方采用的主動掃描探測+被動流量發現+資產適配器等技術，很大程度上還解決了 IP 化資產的探測覆蓋率和完整性這一業內難題，同時，“SaaS 平臺+安全代運營”的交付方式，是金融行業用戶的場景優良實踐。進一步以“可視化”這一能力點來說，魔方會采集現網中所有三層網絡設備的路由信息和 ACL 訪問規則，通過網絡仿真及智能計算、融合網絡上下文信息、資產和脆弱性三要素，應用知識圖譜及原生分布式圖數據庫，完成訪問關系和攻擊路徑的可視化，進行自動化蔓延推理式的攻擊路徑演算，從而實現

66、攻擊面的可視化管理。將用戶從龐雜的表單數據中解脫出來，所見即為重點，可視化輔助決策，是安全運營的高階形態。2022 中國金融行業攻擊面管理白皮書 33再以SaaS平臺+安全代運營的交付方式為例，這對金融行業客戶來說訪談中 90%甲方表示人手不足是解決安全資源有限的最佳實踐?！捌脚_產品+數據+甲乙方團隊共同治理”或許是當前“攻擊面管理”在中國市場落地生根，廠商與客戶獲得共贏最優雅的解法。34 6未來展望6.1攻擊面管理作為行業共識，將成為安全運營必選項在本次調研中，多家金融機構安全負責人都提到，除了各級實網攻防演練外，近兩年的日常安全運營中都發現境外 IP 對境內金融機構的掃描明顯增多，雖然沒有

67、產生真實的攻擊，但是有明顯的掃描動作。加之最近幾次較為惡劣的數字資產泄露事件的驅動，攻擊暴露面收斂已成為金融行業的普遍共識。團隊的安全運營工作，有條件的將以專項收斂推進，條件暫不成熟的，也會以“商業秘密保護”等方式，與審計、合規、法務等部門聯合推進，攻擊面管理將成為安全運營的必選項。6.2 金融行業攻擊面管理將向“大集中”靠攏近幾年由于業務發展需要以及新冠疫情帶來的客觀影響，很多金融機構的下屬事業部、業務部都有強烈意愿自行開展新的線上業務，導致新申請域名、業務平臺等數字資產“野蠻”發展，此類煙囪式的發展方式，既帶來資源浪費，也帶來越來越多的潛在攻擊暴露面。因此，越來越多的金融機構已經開始采用“

68、大 IT 模式”，將分支機構的業務及配套資產統一接口、統一上線、統一管理。雖然對業務的靈活程度會有一定影響，但集中到運維團隊、安全團隊手里后，攻擊面管理的 ROI 可以得到顯著提升。6.3 攻擊面管理方案的交付將以“平臺+服務”結合為主要方式目前行業內攻擊面管理項目普遍以平臺的產品形式進行交付，我們在調研過程中發現資源有限依舊是行業同性難題，訪談中90%甲方表示人手不足?！捌脚_產品+數據+甲乙方團隊共同治理”或許是當前“攻擊面管理”在中國市場落地生根，廠商與客戶獲得共贏最優雅的解法。2022 中國金融行業攻擊面管理白皮書 35未來一段時間，攻擊面管理的落地方案將由標準化平臺產品負責大部分常見的

69、數字資產，再結合人的服務解決業務差異性，從而覆蓋更為完整的攻擊暴露面。這里的“服務”部分，將多由相對初創階段的外部團隊負責，“服務”積累下來的資產指紋和收斂經驗，會逐漸固化到攻擊面管理產品中，在用戶與廠商的共同成長中，攻擊面管理的成效也會越來越顯著。6.4 對攻擊暴露面的實時可觀測性準確度會越來越高雖然缺少合規細則，人工服務也不可避免，但攻擊面管理的實時可觀測性、準確度會越來越高。伴隨傳統技術棧的升級，容器化、DevOps（CI/CD）、微服務等云原生技術的應用，數據的獲取、分析、處置，都會有很大改善。安全團隊相比以前可以實現更全面的數據采集，這就為攻擊面管理中“可觀測性”的提供了更為有利的技術基礎與數據基礎，再輔以安全有效性驗證的不斷正向反饋，可見、可管、可控的準確度會越來越高。參考資料：https:/