全文共2086字,阅读大约需4分钟。
网络安全对抗中,资产是攻防双方的争夺的阵地。资产不仅包括硬件设备如服务器、路由器,还涵盖软件系统、数据资源以及网络基础设施等。攻击面是指所有可能被攻击者利用的可访问点,包括外部、内部所有的资产脆弱点。本文将从网络资产范围和资产风险场景入手,介绍CAASM(Cyber Asset Attack Surface Management)网络资产攻击面管理的思路和功能,以及AI和SOAR在资产管理中的应用。
一
网络资产范围
为了有效管理这些资产并减少攻击面,我们首先需要对资产进行分类和界定。一般来说,网络资产按照所属的网域可以分为以下几个方面:
图1 网络资产分布示意图
边界资产:DMZ(边界网络)连接内网与外部网络,包括防火墙、路由器、VPN网关及公网服务等。这些资产直接暴露于外部,是攻击者的首要目标。作为第一道防线,边界资产不应存储任何机密数据,因此收敛其暴露面尤为关键。
内网资产:内网资产位于组织私有网络内部的全部资产,包括服务器、工作站、打印机、交换机等,主要通过主动探测、被动流量、端侧发现。由于不直接面对外部网络,其安全能力建设常被忽视。然而,一旦边界被突破,内网资产的安全性将成为重中之重。
泛云资产:随着云原生应用的普及,企业大量服务托管于公有云。云资产包括虚拟机、数据库、存储桶及DevOps组件等。尽管云服务商提供基础安全保障,但组织仍需负责云资产的配置和管理,以防因误配置或权限不当引发的风险。
供应链资产:供应链资产指第三方供应商提供的服务和组件。例如,开发团队为调试便利,将客户真实数据(如姓名、订单号及支付API密钥)嵌入测试用例并提交至公开仓库,因权限疏忽导致敏感数据暴露。
二
网络资产风险场景
传统资产安全管理聚焦漏洞识别与修补,而CAASM更关注资产本身的暴露状态、配置问题及业务背景。比如资产运营中经常提的“三无七边”资产,“三无”指的是无人管理、无人使用、无人防护情况的业务/网站/系统/平台,“七边”指的是测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统。基于此梳理一下资产风险场景,帮助安全团队全面理解潜在威胁:
三
网络资产攻击面管理(CAASM)
网络资产攻击面管理(CAASM,Cyber Asset Attack Surface Management)是一种先进的安全管理方法,旨在帮助组织全面识别、监控和管理网络资产的攻击面。Gartner将其定义为“通过与现有工具的API集成,提供统一的资产视图,帮助组织识别所有内部和外部资产,查询整合数据,发现漏洞范围和安全控制差距,并进行修复”的新兴技术。与传统漏洞管理聚焦修补已知漏洞不同,CAASM更关注资产本身的暴露状态、配置问题和业务背景,提供动态、全生命周期的资产管理能力,以应对复杂风险场景,其工作流程示意如下图所示:
图2 网络资产攻击面管理工作流程
CAASM的核心能力:
3.1全面资产发现
CAASM的首要能力是自动发现并清点全部网域的资产,包括终端、服务器、云服务、IoT设备、应用程序以及第三方供应链暴露的资产。通过对多个资产源的融合,动态实时更新资产台账,整合组织内包括内网、边界、云和供应链的资产到统一的视图。
3.2资产智能深度识别
在复杂多变的网络环境中,精准识别和管理资产是安全防护的基石。借助 AI 技术,CAASM 实现了从资产识别到分类的全流程自动化,构建全面的资产画像。对所有未知资产进行聚类,减少资产数据数据处理,利用大模型指纹自动生成技术,为资产生成唯一标识,提高识别精度。资产自动分类将识别结果映射到标准资产库,实现多维度、多领域的资产视图。
3.3自动化编排
资产的自动化运营可以利用SOAR(Security Orchestration, Automation, and Response,安全编排、自动化和响应)的思路实现,通过集成资产收集工具、编写剧本来提升资产运营的效率。实现从资产发现、识别、告警到响应的全流程智能化,为安全运营赋能,用剧本驱动资产管理,让资产风险“动态清零”。
3.4持续监控与威胁情报整合
CAASM通过周期性持续运营,确保资产视图的动态性与完整性。与传统静态漏洞评估相比,CAASM利用自动化工具和实时数据集成,以固定周期动态更新资产台账。并且结合漏洞管理、补丁管理及外部威胁情报,实现资产与风险的实时关联,发现异常资产、未授权访问及漏洞资产。通过持续监控与智能分析,CAASM不仅提升资产管理的精准性,还增强组织的整体安全韧性,从资产维度上助力从被动响应转向主动防御。
四
总结
资产管理常被视为“昨天”的问题,然而随着技术迭代和云化趋势的加速,其复杂性持续困扰着安全运营团队。在大模型时代,这一难题或许能迎来彻底解决。通过大/小模型的智能应用,企业可以实现资产标签的自动化与精准化,让每项资产都被清晰分类并标记“身份”。AI 还能辅助挖掘资产间的依赖关系,从海量数据中提炼出攻击面风险的关键洞察,提高资产运营效率。与此同时,SOAR 技术的引入使资产发现、管理和响应的实现资产管理自动化。通过将 CAASM(网络资产攻击面管理)与 AI 和 SOAR 相结合,企业能够构建一个“可见、可管、可防”的全生命周期资产安全管理体系。这种融合不仅有效收敛资产攻击面,还推动了“主动防御”策略的实现,让安全运营更高效、更具前瞻性。
欢迎对CAASM感兴趣的朋友与我们交流探讨!此外,我们免费提供一次资产梳理服务,有需求的朋友可随时联系我们,共同提升资产安全管理能力。
参考文献
[1].https://www.balbix.com/resources/gartner-take-on-evolving-caasm-the-future-of-cyber-asset-management/
[2].https://www.gartner.com/reviews/market/cyber-asset-attack-surface-management
[3].https://www.paloaltonetworks.tw/cyberpedia/what-is-soar
[4].https://www.runzero.com/blog/new-era-exposure-management/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...