从攻击面缩减到风险控制：开启网络资产的全方位保护

Gartner指出，网络资产攻击面管理 (CAASM) 是一种新兴技术，它使安全团队能够解决持续的资产可见性和脆弱性挑战。CAASM解决方案从现有工具和数据源聚合数据，为组织提供完整攻击面的连续多维视图。

CAASM能够消除盲点，为安全运营团队提供快速跟踪，以实现主动的网络安全和风险管理。Gartner预计到2026年，凭借CAASM，95%以上的组织资产可见性将从目前不到1%增长到20%。

安全态势新变化

IT环境巨变

从线下机房到多个数据中心、云上资产；从PC设备、局域网到网络设备、业务应用、云服务、容器；

安全挑战升级

从漏洞管理到影子资产发现、资产脆弱性分析、数据泄露、软件供应链安全；

攻防不对称

网络攻击速度快、漏洞突破时间短，老旧组件隐患高；往往攻击方成功入侵后，防守方才发现弱点。

与此同时，安全运营的现状呈现出三个主要特征：

资产状态不清晰

受网络环境复杂、资产类型多元、业务更新频繁的影响，将全量资产信息统一收集和管理难度极大；

攻击面分布不明确

对于安全风险的感知大多来自于各类安全设备，安全设备自身彼此独立，难以形成全局视角的资产安全管理视图；

风险消除不及时

风险消除涉及安全管理、业务归口、IT运维多方协同配合，如果存在流程不完善或沟通不畅的情况，导致风险消除受阻。

安全态势更加复杂，

而安全运营面临多项挑战的情况下，

该如何破局？安小默有新招！

针对资产攻击面不断扩大、资产清单不完整、安全设备多样、数据不统一、资产变化难以感知的困境，默安科技提供了完善的安全解决方案。

默安科技推出的网络资产攻击面管理平台（简称CAASM平台），帮助企业全面清点网络资产，平台通过openAPI的方式与各类安全产品、网络设备集成，实现资产的集中视图，多源异构漏洞的集中闭环处置，安全引擎的集中管控、统一调度、联动响应。

图 CAASM平台产品架构图

默安CAASM是什么？和巡哨（智能资产风险监控系统）有什么区别？

Gartner《2021安全运营技术成熟度曲线》提出攻击面（ASM）的理念，核心是通过新兴技术，帮助安全团队解决资产可见性和脆弱性问题。

CAASM是面向企业综合管理内外网资产的综合解决方案，它可以借助现有的安全能力集成，结合外部攻击面（EASM）、端点检测与响应（EDR）等各类安全产品以及云平台的能力及数据，来盘点网络资产信息，收敛资产攻击面。

默安科技巡哨可以帮助企业发现未知资产、监控资产安全风险等；巡哨作为CAASM平台的一个安全能力引擎，为平台提供资产发现、漏洞扫描等能力；同时基于CAASM平台灵活的的插件化架构设计，支持低成本或0成本切换符合企业需求的能力引擎。

默安CAASM平台具备哪些能力？

绘制企业全量的资产视图

绘制资产视图主要是通过主动发现和被动发现两种类型，其中主动发现可通过默安科技巡哨（智能资产风险监控系统）、第三方扫描器进行主动扫描和定时探活；被动发现则是定时获取来自CMDB、EDR、云平台、空间测绘平台的资产，再由平台将多源数据进行融合、标准化、归一化处理，最终形成最完善的资产清单。

维护准确且细致的资产台账

CAASM平台通过对资产细致的分析和分类，形成综合性资产台账，对资产的细粒度划分包括资产类型、映射关系、端口详情、组件服务、进程信息、系统账号、漏洞信息等；可以快速定位冗余的资产，帮助企业优化资源分配，梳理资产间的关系，降低企业被攻击的风险，并减少维护和安全成本。

持续检测及响应

CAASM平台结合威胁情报信息，可以更快速的检测到潜在的威胁。通过定时任务实时监控并分析受影响资产，提高风险发现的效率，保证更迅速地采取措施应对安全事件。能够提高企业对威胁的察觉和响应能力，有助于减少潜在的安全漏洞和不必要的损失。

多源漏洞数据管理

CAASM平台具备多引擎漏洞数据智能聚合的能力，聚合来自不同引擎的漏洞扫描结果。对不同引擎的相同漏洞进行合并，扩大漏洞信息字段，提供全面、准确的漏洞视图，并针对性地采取相应的补救措施。

漏洞优先级评估

攻击面持续监控的过程中需要制定漏洞修复优先级，尽可能第一时间消灭不可抵抗的安全风险；漏洞风险计算摒弃了基于CVSS评分的排序，而是融合了业务属性从业务重要度、漏洞可信度、资产暴露面、规避防护措施等多个维度出发，关联上下文环境、最新的漏洞情报进行动态评估。

安全风险闭环

CAASM平台通过扫描和评估网络资产，能够及时发现资产的漏洞风险，并跟踪漏洞修复进度和修复结果。这有助于企业提高漏洞的闭环能力，确保漏洞得到及时修复，减少被攻击的风险。通过自动化的漏洞管理和跟踪，企业可以更好地管理漏洞修复过程，并保持网络的安全状态。

某头部券商成功案例分享

需求与痛点分析

安全设备多样，增加关联负担，缺乏安全设备统一调度；

资产来源多样，资产清单不完整，缺乏完整资产台账；

多源安全数据缺乏联动性，输出资产、漏洞数据不统一，数据存在重复、优先级不明确的问题，缺乏多源异构漏洞全生命周期管理。

默安科技提供的解决方案

打通工具平台

企业日常使用的平台包括CMDB、漏扫、EDR、威胁情报平台等，提供统一的安全引擎管理功能，安全管理员可以实现根据当前业务场景、资产类型、安全需求选择合适的扫描引擎及扫描策略，无需切换多个安全设备，提高工作效率。通过统一的管理界面，有效降低管理负担。

建设带有安全属性的SCMDB资产台账

平台集成多个数据源，将带有资产业务属性的CMDB作为基准数据，支持配置安全设备上的资产同步规则（同步时间、过滤条件）。补全资产安全信息，细化资产颗粒度。

漏洞全生命周期管理

平台集中下发扫描任务到各个安全引擎，扫描完成后，各个引擎的漏洞会根据内置规则聚合后同步到平台上。可以快速获取去重后的资产漏洞风险，并持续跟踪漏洞修复进度和修复结果。实现各部门、各业务条线的漏洞收集与运营管理，在安全运营过程中满足高水平的漏洞治理要求，提升对安全漏洞或事件的响应指标。

带来的客户价值

提升资产可见性，优化资产资源

通过识别和监控所有网络资产。包括硬件、软件、云资源等，发现隐性或未授权的资产；通过资产查询识别不再需要或冗余的资产，优化资产分配，降低维护成本，提升安全性。

持续风险评估，提高风险闭环能力

持续评估资产相关的潜在安全风险，通过了解资产的漏洞和弱点，采取适当的措施来消除风险，通过扫描和评估网络资产，及时发现资产漏洞并持续跟踪漏洞修复进度和修复结果。

统一调度计划

对资产、暴露面、漏洞、情报集中管理，对各类安全工具统一接入管理，建立实战化安全运营体系。

默安科技凭借多年在智慧安全运营领域的实践与积累，推出的CAASM平台帮助企业全面清点网络资产，将多个安全引擎的安全数据集中管理，查询融合数据，综合对比安全风险并及时补救问题，打造完善的攻击面管理体系；CAASM产品不局限于单一的终端、服务器、网站、域名、应用等维度，而是将所有网络资产进行整合，多数据源交叉验证，用户可以快速查询到所有结果并作出更准确的判断，帮助企业在安全运营过程中满足高水平的安全风险治理要求，从而提升企业的整体安全性。

引用来源：

Making the Case for Cyber Asset Attack Surface Management (CAASM) ，Noetic Cyber，www.noeticcyber.com