帶你了解，何爲網絡安全“攻擊面(miàn)管理”

【2022年國(guó)家網絡宣傳周系列科普】

近年來，新興技術迅速發(fā)展帶動了網絡資産邊界快速拓展，也增加了企業資産暴露面(miàn)，而基于供應鏈的新型攻擊則大大降低了攻擊成(chéng)本。在多重因素的驅動下，網絡安全防禦策略也在與時俱進(jìn)，攻擊面(miàn)管理也開(kāi)始被(bèi)行業所關注。讓我們一起(qǐ)了解一下攻擊面(miàn)管理的小知識吧。

什麼(me)是攻擊面(miàn)？

近日發(fā)布的《中國(guó)攻擊面(miàn)管理市場研究報告》（以下簡稱研究報告）指出，攻擊面(miàn)是指未經(jīng)授權即能(néng)訪問和利用企業數字資産的所有潛在入口的總和。

其中，包括未經(jīng)授權的可訪問的硬件、軟件、雲資産和數據資産等，同樣(yàng)也包括人員管理、技術管理、業務流程存在的安全弱點和缺陷等，即存在可能(néng)會被(bèi)攻擊者利用并造成(chéng)損失的潛在風險。

但不是所有資産暴露面(miàn)都(dōu)可以成(chéng)爲攻擊面(miàn)，隻有可利用暴露面(miàn)疊加攻擊向(xiàng)量才形成(chéng)了攻擊面(miàn)。

什麼(me)是攻擊面(miàn)管理？

攻擊面(miàn)管理是一種(zhǒng)從攻擊者的角度對(duì)企業數字資産攻擊面(miàn)進(jìn)行檢測發(fā)現、分析研判、情報預警、響應處置和持續監控的資産安全性管理方法，其最大特性就是以外部攻擊者視角來審視企業所有資産可被(bèi)利用的攻擊可能(néng)性。

主要包含外部攻擊面(miàn)管理（EASM）、網絡資産攻擊面(miàn)管理（CAASM）、數字風險保護服務（DRPS）等内容。

什麼(me)是攻擊面(miàn)管理框架體系？

攻擊面(miàn)管理框架體系自下向(xiàng)上分别爲基礎技術、安全能(néng)力和應用場景。基礎技術爲支撐攻擊面(miàn)管理的技術能(néng)力集合，多種(zhǒng)技術組合形成(chéng)攻擊面(miàn)管理的能(néng)力體系，根據不同的業務場景需求采用不同的能(néng)力組合，形成(chéng)不同的應用場景下的攻擊面(miàn)管理解決方案，爲用戶提供有針對(duì)性的攻擊面(miàn)閉環管理能(néng)力。

什麼(me)是攻擊面(miàn)管理成(chéng)熟度模型？

研究報告中還(hái)提到了建立攻擊面(miàn)管理的成(chéng)熟度模型，主要是工具階段的被(bèi)動防禦、平台階段的主動防禦、流程化階段的對(duì)抗防禦、先知階段的優先防禦四個層級；提出了暴露面(miàn)獲取、脆弱點發(fā)現、攻擊面(miàn)挖掘、情報獲取能(néng)力等攻擊面(miàn)管理要具備的12個能(néng)力域，從檢測發(fā)現、分析研判、情報預警、響應運營的閉環管控過(guò)程分解了響應的29個能(néng)力子項，從子能(néng)力的具備和完善情況來評價攻擊面(miàn)管理的有效性。

發(fā)展前景怎麼(me)看？

目前，國(guó)内外一大批傳統網絡安全團隊，正在進(jìn)入攻擊面(miàn)管理創新領域。未來攻擊面(miàn)管理將(jiāng)從傳統場景擴展到新興技術場景，并提供跨領域、跨技術平台的數字資産及其攻擊面(miàn)管理能(néng)力，更關注企業内部業務風險和第三方風險的管理，爲用戶提供統一的攻擊面(miàn)管理入口，并提供一緻的安全運營體驗。