攻击面是指组织暴露在互联网上的全部数字资产，它们可能被网络攻击者利用，成为突破口，包括硬件设备、应用程序、SaaS服务、云上资源、网站、IP地址、社交媒体帐户以及第三方供应商的应用系统等。

随着企业数字化转型的发展，往往有大量资产暴露在攻击者的面前，其中一些源自影子IT和仍在整个组织中使用的淘汰技术，商业并购活动也会产生出大量未被清点的数字化资产。此外，许多企业现在依靠远程工作模式度过疫情危机并保持竞争力，这导致难以监管的IT设备快速增加。这些因素使得企业很难以人工方式准确管理攻击面并保持同步，需要借助先进的技术手段来实现管理目标，供给面管理（ASM）解决方案应运而生。

01

攻击面管理方案选型指标

攻击面管理（ASM）是一套旨在发现、分类和评估组织资产安全状况的方法。通过ASM评估，可以为安全团队在实施保护加强机制方面指出正确的方向。一款有价值的ASM解决方案，需要能够从外部攻击者的视角，以持续的系统化流程去发现安全风险和漏洞。它通常包括这四个部分：

1. 识别可能引发网络攻击的所有本地和云端资产，并查找其中的安全漏洞；
2. 基于可能遭受攻击的容易程度和攻击可能造成的损坏范围，对这些资产进行分类；
3. 确定高风险资产的修复优先级，落实相应的处置措施，并验证修复效果；
4. 持续监控攻击面，不断发现新的安全缺口。

目前并不存在功能上面面俱到的ASM方案，企业需要根据自身的实际应用需求来选择最合适的产品。在选型决策时，企业可以重点关注以下选型指标：

• 资产发现能力。ASM方案需要能够自动化地发现企业所有数字资产，特别是那些还未知的数字资产，并对其进行风险评级，以创建一个完善的风险修复策略；
• 威胁可用性分析。ASM方案应该具有综合报告和威胁可利用性的洞察力，而不是简单的数据提取，组织管理者需要的是能够支持决策的意见，需要的是从海量数据分析中得出的结论；
• 确定资产防护优先级。对于需要解决的问题，安全运营团队不可能做到面面俱到，需要集中力量解决更危险的问题；
• 资产标记选项。ASM方案需要能够对资产进行标记，资产管理及治理是企业做好攻击面管理工作的前提；
• 以攻击者视角。ASM方案需要能够模拟出真实黑客攻击的想法和手段，对组织进行攻击面管理指导工作；
• 自定义资产管理范围。用户能够根据业务的变化灵活调整资产数量；
• 易于使用。具有友好的产品界面，能够尽可能的自动化运行，并可灵活调整产品监测范围；
• 误报率低。尽可能避免误报对客户业务工作的影响。

02

热门攻击面管理工具盘点

01

Randori

如果企业对识别、清点和分析攻击面的精确度要求很高，那么Randori Recon方案是理想的选择之一。它是一款较为成熟的产品，可从攻击者的视角自动发现资产。该解决方案使用创新的Target Temptation系统确定数字资源的优先级，以帮助企业了解先要保护什么。

应用特点分析

• 能够较准确地发现暴露在IPv4、IPv6网络上的资产，以及云上资源；
• 能够对发现的企业资产进行自动标记；
• 能够给出完善的管理分析报告，以及防护建议；
• 操作简便，易于上手；
• 管理界面有待完善，以提高界面直观性；
• 缺少为其他团队成员留下注释的选项；
• 对主机名和IP没有给予应有的关注。

02

SpectralOps

对于许多开发团队来说，能够完全专注于编写代码只是美好的想法。盲区、配置失误、暴露的凭据和易受攻击的基础架构部件会带来太多的干扰，无法专注于任务。SpectralOps，利用AI技术在整个CI/CD过程中自动监控、分类和保护资产。它可以实时识别可利用的API密钥、凭据、令牌、机密和错误配置，跨多个公共来源检测供应链漏洞和专有代码，并让用户可以自由地构建自定义检测器、执行自己的缓解策略。

该平台与编程语言无关，支持500多个堆栈，与流行的开发系统（包括Azure DevOps、AWS CodeBuild、Jenkins和CircleCI）广泛集成。当遇到数据泄露时，SpectralOps会立即通过Slack、Jira或用户选择的其他通知服务向工作人员及时提醒，以防止最糟糕的情况发生。

应用特点分析

• 易于设置，可以实现快速扫描；
• 对开发人员友好的应用界面，具有直观的可视化试图；
• 可以轻松集成，并有较完善的客户应用支持；
• 定制模式有点混乱。

03

Coalfire

这款ASM工具是在2021年4月问世，在发现和监控公司外部攻击面方面表现不俗。依托Coalfire公司在风险管理和渗透测试方面二十年的背景，它拥有了一套完整的服务体系，可发现本地和云基础架构环境中的各种薄弱环节，并根据可见性和归属性对检测到的漏洞进行分类，确定优先级，并监管修复工作。

Coalfire攻击面管理的独特之处在于，它会结合人工服务共同验证客户的安全状况，而资产跟踪和监控完全自动化。这款解决方案对需要遵从法规的企业来说是不错的选择。

应用特点分析

• 供应商在安全服务领域有丰富经验，综合报告分析能力突出；
• 可提供有关如何解决特定漏洞的指导；
• 有较出色的客户支持和服务能力；
• 产品比较新，误报率有待进一步降低。

04

UpGuard

UpGuard攻击面管理攻击在多个方面表现出色，除了提供典型的ASM功能外，它还配备创新的数据泄漏发现引擎，可以深度搜索开放的互联网空间，获取从客户的供应链系统中秘密泄露的数据，包括凭据和身份文件。另一个特点是，具有完善的风险评分和安全评级系统，该系统使用经过实战考验的专有算法，准确评估组织的数字态势。

应用特点分析

• 有良好的方案应用信誉；
• 较完善的IT基础架构扫描发现能力；
• 可用于无缝集成的API；
• 算法更新后，风险评分可能会大幅波动；
• 比较专业化，对于新用户来说有点难以上手。

05

SearchLight

SearchLight是从实际攻击者的视角，由外向内地开展攻击面管理，可高效地检测数据泄漏、被冒充的域、暴露的敏感代码、漏洞、错误配置的设备、敞开的端口、证书问题及其他易被利用的应用系统。该工具还善于暗网监控和威胁情报利用，能够实现供应商基础架构筛选、漏洞监控和恶意攻击者跟踪。

在确定关键资产和风险后，该解决方案能够与专业安全服务团队协同工作，提供丰富的攻击面上下文分析和科学的行动策略。

应用特点分析

• 可监控数百万个数据源，快速查找暴露的资产；
• 能够识别品牌仿冒；
• 具有较先进的威胁情报能力；
• 暗网监控使其重要宣传点，但实际效果待验证。

06

ImmuniWeb  Discovery

ImmuniWeb  Discovery是攻击面管理领域的一款明星级工具，结合使用AI和开源智能情报信息（OSINT），从黑客的视角观察企业资产暴露情况。它不断披露、分析和分类组织的数字环境，包括错误配置的IT资产、泄露的数据以及充斥着恶意软件的系统。该解决方案还可以提供第三方供应商风险评分机制，以阻止供应链攻击风险。

应用特点分析

• 能够快速发现各种数字资产；
• 能够给出风险管理的优先级分析和建议；
• 在移动端应用表现还不完善；
• 部分用户觉得管理配置界面不够友好，有点混乱。

07

CyCognito

CyCognito通常被称为初创公司（自2017年以来才成立），它的主要特点在于，可以在易于使用的平台中支持整个ASM周期，包括从站在攻击者视角的自动侦察到漏洞修复的援助。这款工具会根据业务上下文情况综合分析，比如资产的所有者、所存储数据的重要性以及暴露的攻击途径。这种类型的分析可以使确定风险的优先级来得更准确。另外值得注意的是，CyCognito已经开始使用机器学习技术和自然语言处理来发现第三方资产以及因并购或合资而积累的资产。

应用特点分析

• 由一家快速发展的初创公司开发，产品决策链条高效简洁；
• 有众多创新的应用功能；
• 产品成熟度不高，尚未达到非常稳定的运行状态。

08

Reflectiz

Reflectiz专注于监测管理通过第三方应用程序引入的Web攻击面，可以快速检测和显示基于Web的攻击面。Reflectiz还带有内置的隐私合规功能，能够将应用违规检测纳入其攻击面管理解决方案中。

应用特点分析

• 内置合规解决方案；
• 不需要安装软件，性能表现较好；
• 仅实现基于客户端的攻击面管理。

参考链接：

https://spectralops.io/blog/top-8-attack-surface-management-solutions/