攻击面管理(ASM)全面指南:从概念到最佳实践

本文深入解析攻击面管理(ASM)的核心概念、重要性、类型及挑战,涵盖数字、物理、社交工程和第三方攻击面,并提供ASM工具选择标准和最佳实践,帮助企业有效缩小攻击面并提升安全态势。

什么是攻击面管理?企业指南

攻击面管理在概念上很直接。这个自解释的术语归结为标记和保护威胁行为者可能攻击企业IT基础设施的入口点。

但简单到此为止。攻击面管理(ASM)要求企业持续扫描和识别可能的暴露点,推荐修复步骤,并监控组织的IT环境以应对新出现的威胁。目标是发现无论存在于何处的IT资产,并为网络安全专业人员提供对潜在漏洞的可见性。这些漏洞可能源于企业内部的物理IT资产、暴露于互联网的数字资产、第三方供应商的基础设施和扩展的供应链。

任务艰巨,但回报至关重要:对IT环境的持续监控帮助首席信息安全官(CISO)和其他网络安全专业人员缩小攻击面,解决安全漏洞并防止攻击。

云安全平台提供商Upwind的首席安全和战略官Rinki Sethi表示,AI采用带来的数据爆炸使得ASM系统成为必要。“你正在处理如此多的信息,”她解释说。“[确定]哪些需要修复或解决需要某种技术。没有人工方式。” Sethi于2025年6月加入Upwind,此前曾在Twitter和金融运营平台公司Bill担任CISO角色。

攻击面管理的重要性

ASM近年来变得越来越重要。COVID-19大流行期间数字转型和远程工作的加速显著增加了攻击面。云和边缘计算的扩展使用也是如此。最近,AI使用的激增在大型语言模型(LLM)及其训练数据方面创造了新的漏洞。

IT的扩展范围和复杂性需要资产的全面概述,并增加了攻击面管理作为网络安全实践的需求。

另一个考虑因素是不断演变的攻击向量列表,旨在利用遍布IT资产中的漏洞。勒索软件即服务、针对关键基础设施的国家级威胁行为者、网络钓鱼攻击、恶意内部人员和后量子密码学只是企业关注的几个问题。ASM的持续监控使网络安全管理人员处于更主动的地位,帮助他们解决漏洞并为下一次攻击做好准备。

“ASM擅长展示攻击者第一眼会看到关于你组织的信息,”Gartner分析师Pete Shoard说。“它提供了攻击者对你组织外部或数字资产的视角。”

比较攻击面与威胁面与漏洞管理

术语攻击面和威胁面经常互换使用。在某些行业领域,攻击面命名似乎有更广泛的认可。例如,提供公共和私营部门广泛使用的网络安全指南的美国联邦政府机构NIST发布了攻击面的定义,但没有威胁面的定义。NIST的定义基于NIST SP 800-53 Rev. 5等文件,这是一个网络安全和隐私框架。

然而,一些网络安全供应商区分攻击面和威胁面。例如,Palo Alto Networks将攻击面定义为包括“组织内所有可能的漏洞,无论是否被利用”。该供应商将威胁面描述为“特别关注网络犯罪分子当前针对的漏洞”。

同时,ASM和漏洞管理是相互关联的领域,具有相同的总体目标,即减少攻击面并改善组织的安全态势。攻击面管理采取更广泛的视角:该实践在动态威胁环境中寻找潜在弱点,而漏洞管理倾向于关注已知漏洞。但两种方法可以协同工作,覆盖即时风险同时避免预期问题。

攻击面的类型和组件

组织的攻击面是安全漏洞可能发生的所有点的完整列表。攻击面类型包括以下内容。

数字攻击面。 该领域围绕软件漏洞和网络连接的入口点。组件包括:

  • 应用程序编程接口。
  • 基于云的基础设施。
  • 面向互联网的资产。
  • 配置错误的软件。
  • SaaS应用程序。
  • 影子IT/影子AI。
  • Web应用程序。

物理攻击面。 该类别涵盖硬件漏洞和物理访问点。组件包括:

  • 台式机、笔记本电脑和其他端点。
  • 企业存储系统。
  • 操作技术和物联网系统。
  • 可移动媒体。
  • 服务器。
  • 服务器房间。

人类/社交工程攻击面。 该领域涉及利用人类行为和社交工程实践访问系统和数据的攻击。组件包括:

  • 商业电子邮件妥协。
  • 深度伪造。
  • 网络钓鱼/鱼叉式网络钓鱼。
  • 短信网络钓鱼。
  • 语音网络钓鱼。

第三方攻击面。 该领域包括企业的供应商、 vendor合作伙伴和其他提供技术产品或服务的实体。它还涉及第三方供应商。组件包括:

  • 云提供商漏洞。
  • 软件依赖。
  • 供应链漏洞。
  • 供应商管理的资产。
  • 供应商的法规合规状态。

攻击面类型和组件经常重叠。例如,网络钓鱼可以被视为数字和人类攻击面。

攻击面管理的挑战

企业和其网络安全领导者在制定ASM策略时必须考虑以下因素。

庞大而复杂的IT资源 也许ASM的首要挑战是有太多的面需要管理。企业IT足迹继续增长,其复杂性也是如此。

鉴于当今技术的异质性和复杂性,企业面临困难的监督任务,罗切斯特理工学院Golisano计算与信息科学学院软件工程系助理教授Nidhi Rastogi说。“并非每个人都有核心知识或专业知识来整合这些不同的环境,”她说。

不断演变的攻击向量 根据KuppingerCole Analysts 2025年5月关于攻击面管理的报告,企业面临的攻击向量,从云错误配置到零日漏洞,“种类和数量都在增长”。

传统的反应性网络安全方法无法有效应对不断扩展的复杂攻击向量。“尽管反应性网络安全措施仍然常见,”报告指出,“但它们留下了重大空白,因为它们只在损害发生后响应。”

企业中AI的兴起 包含最新LLM的IT环境有更多需要监控的内容,Rastogi说。“攻击面正在扩大,因为AI扮演如此关键的角色,”她解释说。“当你说AI时,它意味着模型以及训练这些大型模型的数据[和]为这些语言模型提供动力的GPU。”

Capital One Software产品开发、数据安全解决方案副总裁Leon Bian也指出AI引入了快速演变的攻击面。他引用模型、API、数据管道和训练环境作为潜在入口点。“威胁可能包括提示注入、模型反转、数据投毒和对敏感训练数据的未经授权访问,”Bian说。

Capital One Software是金融服务公司Capital One的企业软件业务。

需要扩展ASM 根据Bian,AI系统的攻击面可能处理高度敏感的逻辑和数据,但许多这些组件在传统攻击面管理范围之外操作。这一挑战要求企业扩展ASM以覆盖AI资产,他说,指出任务包括跟踪模型部署位置和保护API。

“保护AI系统,”他说,“必须成为任何现代ASM策略的核心部分——更好的是,任何网络安全计划。”

解决ASM的‘最后一英里’ “攻击面管理产品的部署不是困难部分,”Sethi说。“如果你与从业者坐下来,最困难的部分是我称之为最后一英里。你有这些工具给你信号,所以你知道哪里有问题。安全从业者一旦知道问题后做什么?”

所需行动包括验证特定信号是否确实是实际问题,确定谁拥有问题并在组织的服务级别协议内跟踪其解决,Sethi说,补充说这些任务在安全团队内是高度手动的。“那需要大量时间,”她说。“那是真正需要解决的部分。”

攻击面管理的最佳实践

企业可以采用最佳实践来应对不断扩展的攻击面和网络威胁。CISO和其他网络安全管理人员应考虑这五种方法。

1. 选择适当的ASM方法 选择正确的ASM方法实施是基本最佳实践,Shoard指出。企业必须理解其最重大的关切和旨在预防的攻击类型。

影子IT是这方面的常见主题,Shoard说。不知道其所有资产位于何处的企业也不知道什么暴露给攻击者。在这种情况下,外部攻击面管理可能是起点。根据Gartner,EASM工具和流程发现面向互联网的资产并标记威胁行为者可能利用的漏洞。

Shoard说,关注内部人员或缺乏良好配置管理数据库可见性的企业可能转向网络资产攻击面管理(CAASM)产品,这些产品关注内部资产和暴露以及外部问题。担心泄露凭据或品牌模仿攻击的企业可能采用数字风险保护服务,他补充说。这些工具寻求保护数字资产免受数据泄露和声誉损害。

2. 控制‘工具蔓延’ ASM技术有多种形式,相邻技术也有助于保护攻击面。组织应寻求不 contribute to tool sprawl or technical debt的ASM产品,PwC数据风险和隐私实践合伙人Mir Kashifuddin说。

确实,最近的研究表明企业已开始将网络安全支出集中在ASM和相关技术上。咨询公司Wipro 2025年6月发布的“2025年网络安全状况报告”指出,企业正在“整合预算并将资金分配给攻击面管理内的部门”。部门包括CAASM、暴露管理、持续威胁暴露管理、渗透测试即服务和其他ASM产品。

简化正在成为战略 imperative,Wipro网络安全和风险服务实践合伙人Vinodh Kumar Allam说。整合工具和平台,以及统一的资产管理和威胁检测策略,改善监控并集中控制,他补充说。

3. 控制ASM的范围 ASM产品可能收集大量数据,Shoard说这可能创造比解决的问题更多的问题。企业应集中使用ASM技术。“核心最佳实践之一是非常有方向性,”Shoard建议。“不要寻找你没有资源或 desire to fix的问题。”

4. 替换过时的安全模型 随着攻击面扩展,旧的威胁建模方式可能不足。“我们过去有攻击树,”Rastogi说,指的是用于显示攻击者可能危害IT资产方式的分层图。“我认为今天不适用,因为攻击面在扩大。”

相反,Rastogi建议NIST的AI风险管理框架,它提供类似于攻击树的方法和理解复杂攻击向量和攻击面的方式。“我认为这是我们可以开始研究如何管理这种环境的第一个地方,”她说。

5. 认识ASM的局限性 攻击面管理工具高度假设性,并将根据例如它发现的软件版本号识别问题,Shoard说。但技术不一定验证此类发现。

“不要孤立信任ASM告诉你的任何东西,”他警告。“你不能盲目接受发现。”相反,企业应将ASM视为识别哪些潜在暴露需要更深扫描和评估是否存在真正安全漏洞的有价值起点,他指出。

如何选择攻击面管理工具

ASM是一个复杂领域,网络安全领导者在选择工具时必须考虑几个评估因素。以下是标准示例:

  • 与其他网络安全工具的集成。 KuppingerCole Analysts研究分析师Osman Celik强调集成作为评估因素的重要性。“扩展ASM以修复你可能有的所有问题是不现实的,”他说。“客户需要首先查看的事情之一是ASM是否能够提供与其他网络安全工具的连接器。”他特别提到与安全编排、自动化和响应、IT服务管理或其他检测和响应工具的集成。

  • 与上游扫描器的链接。 Shoard指出与上游扫描器(如暴露评估平台)的API集成。“你不想从ASM获取所有发现并手动导入到评估的下一阶段,”他说。

  • 第三方风险能力。 Celik说第三方风险管理(TPRM)能力变得越来越重要,尽管目前不是常见实践。“你将更好地了解合作伙伴 landscape,”他提到TPRM功能。“现在没有一家公司独自做生意。”

  • 事件票证生成。 客户应寻找ASM工具生成案例或事件票证的能力,Shoard说。票证帮助安全组织记录发现并跟踪问题解决,他补充说。

  • 修复功能。 修复攻击面管理工具发现的问题是客户的重要功能。“修复能力是有效ASM的核心,并 consistently cited as a top customer priority,”根据KuppingerCole Analysts 2025年5月的ASM报告。

  • 创新。 技术评估者还应考虑ASM平台对创新的承诺。这可能意味着明智使用AI或扩展自动化能力等发展。Sethi看到ASM的未来在AI中。AI代理,她指出,有潜力承担今天人类手动处理的表面管理任务。这些任务范围从提交票证到修复问题。

现有ASM产品“将进行扫描,发现问题,但它们将之后的一切留给你——手动操作部分,”Sethi说。“其中一些工具不提供足够上下文关于开发人员或DevOps人员需要做什么来修复这些东西。”

在这种情况下,AI代理可以从人类安全人员通常访问的来源提取所有必要信息。例如,安全分析师可能在组织内联网上查找资产所有者或访问网站以验证ASM的建议修复。

“你应该能够自动化所有那[和]有一个代理决定需要做什么,”Sethi说。人类可能仍在循环中并给工具批准提交票证,分配给所有者并指向SLA,她补充说。

同时,Celik说他看到自动修复创新的早期迹象。他说ASM供应商的修复能力通常涉及提供建议、关于如何缓解漏洞或主动关闭威胁的逐步指导。然而,人类需要遵循这些步骤。但现在,少数供应商在这一领域追求自动化。

“有一些解决方案已经提供自动修复,没有任何安全团队成员参与,”Celik说。“其中一些非常有前途。”

创新帮助企业准备网络安全中不可避免的变化。KuppingerCole Analysts在其ASM技术提供商评估中包括创新。“那些在创新上得分更高的供应商,”Celik说,“更可能未来 proof。”

John Moore是Informa TechTarget的作家,覆盖CIO角色、经济趋势和IT服务行业。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次