网易首页 > 网易号 > 正文 申请入驻

《攻击面管理技术应用指南》报告发布及代表性厂商推荐

0
分享至

云计算的快速应用和远程办公方式的兴起,使得现有的联网架构出现更多安全盲点,企业组织的网络攻击面迅速扩大。然而大多数企业组织跟踪相关安全变化、清点数字化资产的能力却难以跟上其发展需要。在此情况下,攻击面管理(Attack Surface Management,简称“ASM”)技术应运而生,并且受到行业用户广泛关注。

为了更好地了解攻击面管理技术的发展态势和应用价值,总结攻击面管理技术的建设应用经验,发现当前有代表性的攻击面管理技术及解决方案,安全牛以第十版《网络安全行业全景图》中“攻击面管理”细分领域收录数据为基础,进一步开展了《攻击面管理技术应用指南》报告研究工作。2023年12月22日,报告正式发布。

本次报告中,安全牛分析师通过问卷调查、企业访谈、用户评价等形式,综合调研了21家国内提供攻击面管理相关技术产品和服务的供应商,覆盖EASM、CAASM以及DPRS等典型攻击面管理技术类型,并从品牌影响力、市场应用、技术先进性、产品可用性和服务支持能力5大维度,评估收录了目前领域中的10家代表性国内厂商(见下表),并对其产品应用特点进行了总结分析。

报告关键发现

  • 攻击面管理并不是一个新的技术,而是将多种已有安全技术融合在一起,聚焦于攻击风险管理的思路和解决方案,需遵循以风险策略为中心、业务驱动、持续可见、自动化和平台集成等原则建设应用;

  • 研究发现,目前国内主流攻击面管理方案在资产发现、漏洞管理方面技术成熟度较高,但是在风险优先级判断、供应链安全、多场景适应、数据挖掘深度等方面有待进一步提升,也是未来企业选型攻击面管理方案时应重点关注的因素;

  • 安全牛认为,攻击面管理并不适合所有类型的企业采购应用。企业在不同的安全建设阶段,应有不同的关注重点,并采取不同的风险管理方法。只有在企业完成基础性安全合规建设,进入持续检验安全防护措施和运营策略的有效性时,对攻击面管理的需求才会显著体现;

  • 做好攻击面管理对企业本身的安全运营能力有较高要求,需要持续监测网络环境变化与新出现的风险,攻击面管理的过程和结果应该能够被安全管理人员和决策者清晰地全面地看到和理解,以便及时调整和优化攻击面管理的策略和方案;

  • 目前,国内攻击面管理市场处于快速增长的阶段,2022年我国攻击面管理市场规模约为4.6亿元(产品+服务),预计到2026年,攻击面管理的市场规模将超过为14.5亿元,复合年增长率约为28%,增长原因主要包括网络安全环境复杂严峻、合规要求更加严格、实战化攻防演练需求等。

攻击面管理能力建设

在国标《GB T 20984-2022 信息安全技术信息安全风险评估规范》中,描述了信息安全风险评估的要素包括资产、脆弱性、威胁和安全措施,基本要素之间的关系是威胁利用资产存在的脆弱性导致风险,该标准能够帮助企业有效开展信息安全风险评估工作,同时也可以作为攻击面管理能力建设的参考。

参考上述标准,安全牛建议,企业在开展攻击面管理核心能力建设时,应该重点关注资产识别、攻击面识别、风险分析、收敛和验证以及持续监控能力。

图:攻击面管理核心能力和建设关键点

01

资产发现能力

资产发现能力是指通过发现、存储和管理企业内外部各类资产,全面掌握企业网络资产情况。资产识别是攻击面管理的基础,只有全面了解网络中所有的资产,才能更好地进行攻击面管理。

02

攻击面识别能力

攻击面识别能力是指识别可能被攻击者利用的漏洞、错误配置、弱口令,或者可能发生的数字风险,以及第三方引发的风险,只有发现真实的攻击面风险,才能有效地进行控制。

03

攻击面分析能力

攻击面分析能力是攻击面管理的核心能力之一,攻击面分析技术应收集并利用威胁情报,分析并确定攻击面的优先级。

04

攻击面收敛与验证能力

攻击面收敛就是通过减少攻击面和潜在攻击路径,确保能够满足企业的安全需求的安全性的方法。攻击面验证则是评估攻击面收敛后安全控制的有效性,促使闭环流程管理,及时调整措施,确保安全措施的有效性。

05

持续监控能力

持续监控能力是指对网络中的所有资产和攻击面进行实时监测,持续监控是攻击面管理的重要环节之一,包括资产和攻击面的整体可视化,到异常情况的发现和告警,这些环节都需要结合具体的业务需求和安全策略进行设计和实施。

攻击面管理技术实现

攻击面管理并不是一个新的技术,它是将多种已有安全技术融合在一起,聚焦于攻击风险管理的思路和方法。构建攻击面管理的技术框架包括基础环境、基础数据、中台能力、ASM应用,这些基础技术共同支撑了ASM的CAASM、EASM和DRPS的应用领域,与人员、平台以及管理服务一起实现了攻击面管理的网络安全管理、安全合规、攻击面收敛等场景的应用。

图:攻击面管理建设框架

根据攻击面管理的能力建设要求,其方案中需要具备的关健技术主要包括资产识别技术、攻击面识别技术、风险分析技术、威胁情报、攻击面收敛策略和验证技术、以及自动化和人工智能等技术,可以帮助企业实现提升网络安全风险管理和控制水平。

攻击面管理实施挑战与建议

调研发现,在攻击面管理方案的建设过程中,企业用户经常会遇到项目复杂度高、风险分析不准确、资产发现难度大、攻击类型难分析、集成部署困难等实施问题,具体包括:

挑战一、组织不同部门之间会存在数据孤岛多、陈旧设备多、安全人员不足等情况,造成了攻击面管理项目的实施场景复杂、实施成本高。

安全牛建议:提前做好全面需求分析,在此基础上进行一体化的架构设计,搭建统一平台,实现系统和设备自动采集,融合归一,提高效率,解决部门数据孤岛;同时,积极利用服务商提供的大模型专家知识库,提高风险识别的能力。

挑战二、攻击面风险分析结果不准确。大部分企业用户没有明确的风险评级标准或评级指标,无法对风险级别进行准确的设定,导致攻击面风险分析结果不准确,需要安全专家人工进行分析。

安全牛建议:首先,企业应该基于组织的实际业务环境,结合行业最佳实践、合规要求,制定风险评估标准和指标;其次,企业应该与服务商共同设定产品风险指标,并根据实施的结果和经验,逐步进行优化和调整;第三、可以通过攻击路径模拟,实现攻击风险的真实度量,并根据度量值对风险进行准确排序。

挑战三、数据挖掘深度不够。攻击面的攻击路径和手段复杂多变,实际场景存在多种网络环境,但现在的安全产品对复杂攻击路径还存在解析能力不足、关联分析能力不足等问题,进攻路径动态变化也会增加风险分析的难度。

安全牛建议:第一、选择升级为具有人工智能和机器学习的新一代安全分析工具,自动识别新的攻击模式,预测可能的攻击路径,以及进行大规模的数据分析,帮助提升产品对复杂攻击路径的解析和关联分析能力;第二、可以采用威胁情报服务,获取更多关于攻击手段和攻击路径的信息,从而提供更有针对性的防御措施。

挑战四、适应场景较少,对于物联网、工业互联网、视频app等新媒体的环境很难进行攻击面的识别。

安全牛建议:针对新的环境或平台需要新的威胁模型,同时根据威胁模型调整安全策略,如在物联网设备上部署安全控制,可利用人工智能和机器学习技术分析网络流量,识别可能的安全威胁。

挑战五、对第三方服务商的供应链攻击面安全管控能力较弱。供应链攻击面安全是指保护供应链中的所有环节,以防止对供应链的完整性、认证、保密性和可用性产生威胁。

安全牛建议:首先,建立详细的供应链清单或地图,制定白名单。对白名单供应商开展严格的安全审查,并进行合同条款管理;同时,利用供应商威胁情报,感知供应商风险威胁,如安全事件、硬件或软件的篡改,信息的泄露或篡改,以及服务的中断等可能的威胁。

挑战六、现有攻击面管理解决方案在与第三方安全工具的集成协同方面,普遍会存在问题。

安全牛建议:用户在选择攻击面管理方案时考虑与现有设备和系统的兼容性和集成性,优先选择已经预集成或使用标准化API接口的产品。

国内代表性厂商分析

本次报告从品牌影响力、市场应用、技术先进性、产品可用性和服务支持能力5大维度,对当前市场上实际能够提供攻击面管理方案和服务的国内安全厂商进行了评估分析,并收录其中具有较高应用代表性的10家厂商(排名不分先后,按首字母序排列)。

华顺信安

华云安

绿盟科技

魔方安全

奇安信

矢安科技

360数字安全

天融信

亚信安全

知道创宇

目前,《攻击面管理技术应用指南》报告已经在安全牛商城上架,获取完整版本报告,请点击识别下方二维码:

合作电话:18311333376

合作微信:aqniu001

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
七一勋章算什么级别?含金量多少?

七一勋章算什么级别?含金量多少?

匹夫来搞笑
2026-07-01 17:18:55
湖人一下公布四签约!得格莱姆斯不错,凯斯勒存疑,另2笔不看好

湖人一下公布四签约!得格莱姆斯不错,凯斯勒存疑,另2笔不看好

篮球资讯达人
2026-07-02 00:35:11
伊朗最担心的事出现了?库尔德人与革命卫队爆冲突,十余人死伤

伊朗最担心的事出现了?库尔德人与革命卫队爆冲突,十余人死伤

新姐看世界
2026-07-01 15:53:46
欧国联坑惨了欧洲队!天天窝里横,一到北美全不会踢球了!

欧国联坑惨了欧洲队!天天窝里横,一到北美全不会踢球了!

探史
2026-07-01 12:15:59
为什么导师喜欢娶自己的博士?

为什么导师喜欢娶自己的博士?

钧言堂
2026-06-30 22:56:43
苏提达陪泰王亮相凯旋门,谢天谢地王后擦掉粗黑眼线妆,不再拉胯

苏提达陪泰王亮相凯旋门,谢天谢地王后擦掉粗黑眼线妆,不再拉胯

陈意小可爱
2026-07-01 17:03:36
离谱!湖人梭哈组三巨头吃掉4.75亿薪资,未来7年已无首轮可交易

离谱!湖人梭哈组三巨头吃掉4.75亿薪资,未来7年已无首轮可交易

新杀猪的秀才
2026-07-02 00:02:14
我国人均GDP已超1.3万美元,将跨入高收入国家阵营!

我国人均GDP已超1.3万美元,将跨入高收入国家阵营!

番外行
2026-05-25 15:17:18
真狠!连跌三年从49跌到7又横盘两年,社保却从3400万加到5400万

真狠!连跌三年从49跌到7又横盘两年,社保却从3400万加到5400万

长风价值掘金
2026-07-01 14:53:36
洪都拉斯总司令替父回中国寻根,66岁首次回广东,遇见87岁亲哥哥

洪都拉斯总司令替父回中国寻根,66岁首次回广东,遇见87岁亲哥哥

文史达观
2026-07-01 16:05:27
2799,小米疯了...

2799,小米疯了...

放毒
2026-07-01 16:06:16
西安一商场发生人员坠楼事件?警方回应:正在办理案件,具体情况尚不清楚

西安一商场发生人员坠楼事件?警方回应:正在办理案件,具体情况尚不清楚

新浪财经
2026-07-01 23:03:05
88万的“机器老婆”,吓退中产单男

88万的“机器老婆”,吓退中产单男

鸣金网
2026-07-01 11:30:04
陈建斌有个毛病改不掉,那就是见前任吴越当是一个没事人一样

陈建斌有个毛病改不掉,那就是见前任吴越当是一个没事人一样

手工制作阿歼
2026-07-01 08:48:48
《四渡》票房一路猛涨口碑却翻车,汪海林痛批:战争片拍成过家家

《四渡》票房一路猛涨口碑却翻车,汪海林痛批:战争片拍成过家家

小徐讲八卦
2026-07-01 10:59:31
近500万粉吃播宝宝米乐翻车!拿娃健康换流量太离谱

近500万粉吃播宝宝米乐翻车!拿娃健康换流量太离谱

一口娱乐
2026-06-30 09:15:46
心理学:别人夸你“看起来真年轻”,千万别答“哪有哪有”,机智的人只需一句话就能让对方更愉快

心理学:别人夸你“看起来真年轻”,千万别答“哪有哪有”,机智的人只需一句话就能让对方更愉快

心理观察局
2026-07-01 08:31:08
杨紫和于正的瓜,炸了!

杨紫和于正的瓜,炸了!

黎兜兜
2026-07-01 00:45:32
桥炸了,抢修队也端了,白俄断信号自保!几十万俄军成瓮中之鳖?

桥炸了,抢修队也端了,白俄断信号自保!几十万俄军成瓮中之鳖?

万物知识圈
2026-07-01 14:26:35
伊朗收到川普的第一笔大礼  泽连斯基的头号对手露头

伊朗收到川普的第一笔大礼 泽连斯基的头号对手露头

西楼饮月
2026-07-01 20:36:06
2026-07-02 01:03:00
安全牛 incentive-icons
安全牛
信息安全新媒体
4670文章数 5976关注度
往期回顾 全部

科技要闻

Claude Code被曝“植入木马”识别中国用户

头条要闻

六旬父亲背8个土鸡蛋接考后续:儿子报考大学已确定

头条要闻

六旬父亲背8个土鸡蛋接考后续:儿子报考大学已确定

体育要闻

卖球衣救子的门将,把德国扑出了世界杯

娱乐要闻

77岁牛群公证裸捐全部财产,清贫独居坚持月捐

财经要闻

新氧贷款:宣传年化15%,实际顶格24%

汽车要闻

同比暴涨188.4% 方程豹6月热销35607台

态度原创

数码
旅游
时尚
本地
公开课

数码要闻

华硕a豆高速固态U盘上架:280-959元

旅游要闻

距离迪士尼不到2公里,藏着浦东的百年水乡,很多人却不知道

月入3万,时代红利砸向文科生

本地新闻

强烈建议,全国高校都向这所大学看齐!

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版