攻擊面是指組織暴露在互聯網上的全部數字資產，它們可能被網絡攻擊者利用，成為突破口，包括硬件設備、應用程序、SaaS服務、云上資源、網站、IP地址、社交媒體帳戶以及第三方供應商的應用系統等。

隨著企業數字化轉型的發展，往往有大量資產暴露在攻擊者的面前，其中一些源自影子IT和仍在整個組織中使用的淘汰技術，商業并購活動也會產生出大量未被清點的數字化資產。此外，許多企業現在依靠遠程工作模式度過疫情危機并保持競爭力，這導致難以監管的IT設備快速增加。這些因素使得企業很難以人工方式準確管理攻擊面并保持同步，需要借助先進的技術手段來實現管理目標，供給面管理(ASM)解決方案應運而生。

1、攻擊面管理方案選型指標

攻擊面管理(ASM)是一套旨在發現、分類和評估組織資產安全狀況的方法。通過ASM評估，可以為安全團隊在實施保護加強機制方面指出正確的方向。一款有價值的ASM解決方案，需要能夠從外部攻擊者的視角，以持續的系統化流程去發現安全風險和漏洞。它通常包括這四個部分：

識別可能引發網絡攻擊的所有本地和云端資產，并查找其中的安全漏洞;

基于可能遭受攻擊的容易程度和攻擊可能造成的損壞范圍，對這些資產進行分類;

確定高風險資產的修復優先級，落實相應的處置措施，并驗證修復效果;

持續監控攻擊面，不斷發現新的安全缺口。

目前并不存在功能上面面俱到的ASM方案，企業需要根據自身的實際應用需求來選擇最合適的產品。在選型決策時，企業可以重點關注以下選型指標：

資產發現能力。ASM方案需要能夠自動化地發現企業所有數字資產，特別是那些還未知的數字資產，并對其進行風險評級，以創建一個完善的風險修復策略;

威脅可用性分析。ASM方案應該具有綜合報告和威脅可利用性的洞察力，而不是簡單的數據提取，組織管理者需要的是能夠支持決策的意見，需要的是從海量數據分析中得出的結論;

確定資產防護優先級。對于需要解決的問題，安全運營團隊不可能做到面面俱到，需要集中力量解決更危險的問題;

資產標記選項。ASM方案需要能夠對資產進行標記，資產管理及治理是企業做好攻擊面管理工作的前提;

以攻擊者視角。ASM方案需要能夠模擬出真實黑客攻擊的想法和手段，對組織進行攻擊面管理指導工作;

自定義資產管理范圍。用戶能夠根據業務的變化靈活調整資產數量;

易于使用。具有友好的產品界面，能夠盡可能的自動化運行，并可靈活調整產品監測范圍;

誤報率低。盡可能避免誤報對客戶業務工作的影響。

2、熱門攻擊面管理工具盤點

Randori

如果企業對識別、清點和分析攻擊面的精確度要求很高，那么Randori Recon方案是理想的選擇之一。它是一款較為成熟的產品，可從攻擊者的視角自動發現資產。該解決方案使用創新的Target Temptation系統確定數字資源的優先級，以幫助企業了解先要保護什么。

應用特點分析

• 能夠較準確地發現暴露在IPv4、IPv6網絡上的資產，以及云上資源。
• 能夠對發現的企業資產進行自動標記。
• 能夠給出完善的管理分析報告，以及防護建議。
• 操作簡便，易于上手。
• 管理界面有待完善，以提高界面直觀性。
• 缺少為其他團隊成員留下注釋的選項。
• 對主機名和IP沒有給予應有的關注。

SpectralOps

對于許多開發團隊來說，能夠完全專注于編寫代碼只是美好的想法。盲區、配置失誤、暴露的憑據和易受攻擊的基礎架構部件會帶來太多的干擾，無法專注于任務。SpectralOps，利用AI技術在整個CI/CD過程中自動監控、分類和保護資產。它可以實時識別可利用的API密鑰、憑據、令牌、機密和錯誤配置，跨多個公共來源檢測供應鏈漏洞和專有代碼，并讓用戶可以自由地構建自定義檢測器、執行自己的緩解策略。

該平臺與編程語言無關，支持500多個堆棧，與流行的開發系統(包括Azure DevOps、AWS CodeBuild、Jenkins和CircleCI)廣泛集成。當遇到數據泄露時，SpectralOps會立即通過Slack、Jira或用戶選擇的其他通知服務向工作人員及時提醒，以防止最糟糕的情況發生。

應用特點分析

• 易于設置，可以實現快速掃描。
• 對開發人員友好的應用界面，具有直觀的可視化試圖。
• 可以輕松集成，并有較完善的客戶應用支持。
• 定制模式有點混亂。

Coalfire

這款ASM工具是在2021年4月問世，在發現和監控公司外部攻擊面方面表現不俗。依托Coalfire公司在風險管理和滲透測試方面二十年的背景，它擁有了一套完整的服務體系，可發現本地和云基礎架構環境中的各種薄弱環節，并根據可見性和歸屬性對檢測到的漏洞進行分類，確定優先級，并監管修復工作。

Coalfire攻擊面管理的獨特之處在于，它會結合人工服務共同驗證客戶的安全狀況，而資產跟蹤和監控完全自動化。這款解決方案對需要遵從法規的企業來說是不錯的選擇。

應用特點分析

• 供應商在安全服務領域有豐富經驗，綜合報告分析能力突出。
• 可提供有關如何解決特定漏洞的指導。
• 有較出色的客戶支持和服務能力。
• 產品比較新，誤報率有待進一步降低。

UpGuard

UpGuard攻擊面管理攻擊在多個方面表現出色，除了提供典型的ASM功能外，它還配備創新的數據泄漏發現引擎，可以深度搜索開放的互聯網空間，獲取從客戶的供應鏈系統中秘密泄露的數據，包括憑據和身份文件。另一個特點是，具有完善的風險評分和安全評級系統，該系統使用經過實戰考驗的專有算法，準確評估組織的數字態勢。

應用特點分析

• 有良好的方案應用信譽。
• 較完善的IT基礎架構掃描發現能力。
• 可用于無縫集成的API。
• 算法更新后，風險評分可能會大幅波動。
• 比較專業化，對于新用戶來說有點難以上手。

SearchLight

SearchLight是從實際攻擊者的視角，由外向內地開展攻擊面管理，可高效地檢測數據泄漏、被冒充的域、暴露的敏感代碼、漏洞、錯誤配置的設備、敞開的端口、證書問題及其他易被利用的應用系統。該工具還善于暗網監控和威脅情報利用，能夠實現供應商基礎架構篩選、漏洞監控和惡意攻擊者跟蹤。

在確定關鍵資產和風險后，該解決方案能夠與專業安全服務團隊協同工作，提供豐富的攻擊面上下文分析和科學的行動策略。

應用特點分析

• 可監控數百萬個數據源，快速查找暴露的資產。
• 能夠識別品牌仿冒。
• 具有較先進的威脅情報能力。
• 暗網監控使其重要宣傳點，但實際效果待驗證。

ImmuniWeb Discovery

ImmuniWeb Discovery是攻擊面管理領域的一款明星級工具，結合使用AI和開源智能情報信息(OSINT)，從黑客的視角觀察企業資產暴露情況。它不斷披露、分析和分類組織的數字環境，包括錯誤配置的IT資產、泄露的數據以及充斥著惡意軟件的系統。該解決方案還可以提供第三方供應商風險評分機制，以阻止供應鏈攻擊風險。

應用特點分析

• 能夠快速發現各種數字資產。
• 能夠給出風險管理的優先級分析和建議。
• 在移動端應用表現還不完善。
• 部分用戶覺得管理配置界面不夠友好，有點混亂。

CyCognito

CyCognito通常被稱為初創公司(自2017年以來才成立)，它的主要特點在于，可以在易于使用的平臺中支持整個ASM周期，包括從站在攻擊者視角的自動偵察到漏洞修復的援助。這款工具會根據業務上下文情況綜合分析，比如資產的所有者、所存儲數據的重要性以及暴露的攻擊途徑。這種類型的分析可以使確定風險的優先級來得更準確。另外值得注意的是，CyCognito已經開始使用機器學習技術和自然語言處理來發現第三方資產以及因并購或合資而積累的資產。

應用特點分析

• 由一家快速發展的初創公司開發，產品決策鏈條高效簡潔。
• 有眾多創新的應用功能。
• 產品成熟度不高，尚未達到非常穩定的運行狀態。

Reflectiz

Reflectiz專注于監測管理通過第三方應用程序引入的Web攻擊面，可以快速檢測和顯示基于Web的攻擊面。Reflectiz還帶有內置的隱私合規功能，能夠將應用違規檢測納入其攻擊面管理解決方案中。

應用特點分析

• 內置合規解決方案。
• 不需要安裝軟件，性能表現較好。
• 僅實現基于客戶端的攻擊面管理。