您的企业需要监控未知的攻击面吗？答案是肯定的！因为未知的攻击面中含有大量未知的潜在漏洞。但是，随着企业适应和扩大云计算应用规模，他们使用的资产和平台将不可避免地增长和变化，这使得攻击面蔓延也成为当今大多数安全团队必须面对的挑战。这也正是攻击面管理（ASM）技术的用武之地。

ASM关键功能

研究机构Forrester将ASM定义为“不断发现、识别、编目和评估实体IT资产暴露的过程”。根据定义可以看出，ASM是一个复杂的领域，涉及多个网络安全领域，包括：

• 数字资产发现和识别；
• 攻击面监控；
• 数据泄漏检测；
• 数字足迹管理；
• 数字化风险监控；
• 外部攻击面管理。

而为了更好地理解ASM，我们需要首先重点了解ASM不是什么：

根据以上的概念对比，研究人员认为一套完善的ASM方案应该包括以下关键功能：

• 自动化识别外部攻击面可见性的缺口；
• 发现组织已知和未知的数字化资产、系统和影子IT；
• 从组织全局视角全面评估各分支机构和部门的安全风险；
• 实现持续的数字化应用可观察性和风险管理；
• 识别外部可见性缺口；
• 基于数字化业务风险的漏洞发现和优先排序。

ASM方案选型建议

在诸多市场因素的共同驱动下，ASM应用正在迅速兴起。它提供了对已知和未知资产的持续发现、测试和优先级排序，以及对全球外部攻击面的暴露。越来越多的公司使用ASM技术来弥补传统漏洞管理工具和渗透测试服务之间的安全性缺口。而网络安全行业中目前也不乏ASM供应商，它们主要分为以下类型： 

• 基于安全专家团队的ASM服务：很多传统的渗透测试服务和漏洞评估服务都是依赖专业人员人工来测试网络安全性，并以月度或季度为基础提供服务；
• 纯技术ASM解决方案：通过攻击面管理工具或扫描器来查看互联网上的内容，并使用风险评分来优先考虑危害性更大的风险；
• 混合ASM服务：将人类直觉与自动化技术结合起来，以发现更多漏洞并过滤优先级警报。

企业需要基于自己的整体安全目标和管理需求来选择合适的ASM供应商，以下评估因素可以帮助企业安全领导者选型ASM供应商，并加快决策。

01商业名誉

这个供应商是否是ASM领域的新玩家？其在进攻性安全能力构建方面有着成熟的历史实践和案例积累？通常情况下，选择有经验的ASM供应商意味着更便捷的建设流程、快速高效的支持团队以及可靠的建设方法来增强安全性。

02令人信服的价值证明

价值证明（POV）是一种网络安全方案选型时的标准实践，通过深入研究大量技术或服务方面的特定用例，可以证明服务商所提议策略的有效性。因此，企业在选型时，比较潜在供应商之间的POV，往往会有助于安全团队评估谁更能满足他们的ASM应用需求。

03POC测试 

在正式确定ASM供应商之前，必须通过指导演示或网络研讨会对ASM工具进行关键性能力测试，这不仅可以让您的团队实际体验产品的可用性和易用性，还能具体提出有关产品功能的尖锐问题，并比较出不同ASM工具之间的差异和特性。

04第三方验证

获得第三方研究/测评机构的认可是确认ASM平台有效性可靠途径之一。这些第三方组织的分析师会对来自技术提供商的信息进行事实审查，以识别具有创新性的解决方案。

为了更好地了解ASM服务商和技术方案的具体功能和特点，建议企业在选型时进一步询问以下问题：

• 您认为的攻击面管理中最重要的任务有哪些？谁是潜在的威胁行为者？
• 系统是否支持持续性地管理？可以多久运行一次安全性渗透测试？
• 对攻击面相关数据的采集是否全面？采集数据的及时性和时效性如何？
• 当企业中有新的数据资产上线时，是否能够及时发现并管理？
• ASM方案能够帮助企业进行持续性渗透测试？具体的做法是什么？
• 是否支持自动化的暴露面补救工作？是如何支持的？
• 如何管理风险警报的数量？是否会存在报警疲劳？
• ASM技术应用后是否会存在影响业务开展的风险因素？
• 攻击者最有可能利用哪些暴露？我应该首先修复哪些漏洞？

参考链接：https://www.netspi.com/resources/guides/how-to-use-attack-surface-management-for-continuous-pentesting/