CAASM+AI+SOAR：重新定义网络资产安全管理

为了有效管理这些资产并减少攻击面，我们首先需要对资产进行分类和界定。一般来说，网络资产按照所属的网域可以分为以下几个方面：

边界资产：DMZ（边界网络）连接内网与外部网络，包括防火墙、路由器、VPN网关及公网服务等。这些资产直接暴露于外部，是攻击者的首要目标。作为第一道防线，边界资产不应存储任何机密数据，因此收敛其暴露面尤为关键。

内网资产：内网资产位于组织私有网络内部的全部资产，包括服务器、工作站、打印机、交换机等，主要通过主动探测、被动流量、端侧发现。由于不直接面对外部网络，其安全能力建设常被忽视。然而，一旦边界被突破，内网资产的安全性将成为重中之重。

泛云资产：随着云原生应用的普及，企业大量服务托管于公有云。云资产包括虚拟机、数据库、存储桶及DevOps组件等。尽管云服务商提供基础安全保障，但组织仍需负责云资产的配置和管理，以防因误配置或权限不当引发的风险。

供应链资产：供应链资产指第三方供应商提供的服务和组件。例如，开发团队为调试便利，将客户真实数据（如姓名、订单号及支付API密钥）嵌入测试用例并提交至公开仓库，因权限疏忽导致敏感数据暴露。

传统资产安全管理聚焦漏洞识别与修补，而CAASM更关注资产本身的暴露状态、配置问题及业务背景。比如资产运营中经常提的“三无七边”资产，“三无”指的是无人管理、无人使用、无人防护情况的业务/网站/系统/平台，“七边”指的是测试系统、试验平台、退网未离网系统、工程已上线加载业务但未正式交维系统、与合作伙伴共同运营的业务或系统、责任交接不清的系统、处于衰退期的系统。基于此梳理一下资产风险场景，帮助安全团队全面理解潜在威胁：

网络资产攻击面管理（CAASM，Cyber Asset Attack Surface Management）是一种先进的安全管理方法，旨在帮助组织全面识别、监控和管理网络资产的攻击面。Gartner将其定义为“通过与现有工具的API集成，提供统一的资产视图，帮助组织识别所有内部和外部资产，查询整合数据，发现漏洞范围和安全控制差距，并进行修复”的新兴技术。与传统漏洞管理聚焦修补已知漏洞不同，CAASM更关注资产本身的暴露状态、配置问题和业务背景，提供动态、全生命周期的资产管理能力，以应对复杂风险场景，其工作流程示意如下图所示：

CAASM的核心能力：

CAASM的首要能力是自动发现并清点全部网域的资产，包括终端、服务器、云服务、IoT设备、应用程序以及第三方供应链暴露的资产。通过对多个资产源的融合，动态实时更新资产台账，整合组织内包括内网、边界、云和供应链的资产到统一的视图。

在复杂多变的网络环境中，精准识别和管理资产是安全防护的基石。借助 AI 技术，CAASM 实现了从资产识别到分类的全流程自动化，构建全面的资产画像。对所有未知资产进行聚类，减少资产数据数据处理，利用大模型指纹自动生成技术，为资产生成唯一标识，提高识别精度。资产自动分类将识别结果映射到标准资产库，实现多维度、多领域的资产视图。

资产的自动化运营可以利用SOAR（Security Orchestration, Automation, and Response，安全编排、自动化和响应）的思路实现，通过集成资产收集工具、编写剧本来提升资产运营的效率。实现从资产发现、识别、告警到响应的全流程智能化，为安全运营赋能，用剧本驱动资产管理，让资产风险“动态清零”。

CAASM通过周期性持续运营，确保资产视图的动态性与完整性。与传统静态漏洞评估相比，CAASM利用自动化工具和实时数据集成，以固定周期动态更新资产台账。并且结合漏洞管理、补丁管理及外部威胁情报，实现资产与风险的实时关联，发现异常资产、未授权访问及漏洞资产。通过持续监控与智能分析，CAASM不仅提升资产管理的精准性，还增强组织的整体安全韧性，从资产维度上助力从被动响应转向主动防御。

资产管理常被视为“昨天”的问题，然而随着技术迭代和云化趋势的加速，其复杂性持续困扰着安全运营团队。在大模型时代，这一难题或许能迎来彻底解决。通过大/小模型的智能应用，企业可以实现资产标签的自动化与精准化，让每项资产都被清晰分类并标记“身份”。AI 还能辅助挖掘资产间的依赖关系，从海量数据中提炼出攻击面风险的关键洞察，提高资产运营效率。与此同时，SOAR 技术的引入使资产发现、管理和响应的实现资产管理自动化。通过将 CAASM（网络资产攻击面管理）与 AI 和 SOAR 相结合，企业能够构建一个“可见、可管、可防”的全生命周期资产安全管理体系。这种融合不仅有效收敛资产攻击面，还推动了“主动防御”策略的实现，让安全运营更高效、更具前瞻性。

欢迎对CAASM感兴趣的朋友与我们交流探讨！此外，我们免费提供一次资产梳理服务，有需求的朋友可随时联系我们，共同提升资产安全管理能力。