戰小欢
发布于 2025-12-17 / 31 阅读
1
0

攻击面管理(ASM)发展现状与实践解析

一、从“资产不可见”到“攻击面失控”

在大量真实攻击事件中,一个反复出现的事实是:

攻击并非始于高难度 0day,而往往始于一个“没人知道还活着的资产”。

例如:

  • 已下线系统遗留的二级域名

  • 测试环境公网暴露

  • 被遗忘的云主机

  • 第三方外包临时搭建的业务页面

传统安全体系以边界防护、漏洞修复、告警响应为中心,但前提是:
👉 你必须先知道“它存在”。

这正是攻击面管理(Attack Surface Management, ASM)出现的根本原因。


二、ASM 概念回顾:CTEM、EASM 与 CAASM 的关系

1. CTEM:持续威胁暴露管理(方法论)

Gartner 在 2022 年提出 CTEM(Continuous Threat Exposure Management),强调安全应是一个持续闭环:

  1. Scoping(确定资产与威胁范围)

  2. Discovery(发现暴露面)

  3. Prioritization(风险优先级)

  4. Validation(攻击验证)

  5. Mobilization(推动修复)

👉 ASM 是 CTEM 中“发现与评估”的核心执行能力。


2. EASM:从攻击者视角看企业

EASM(External ASM)关注的是:

互联网上,攻击者能看到你的什么?

包括:

  • 公网 IP / 域名 / 子域

  • 端口与服务暴露

  • Web 漏洞、组件漏洞

  • 仿冒站点、钓鱼域名

  • 信息泄露痕迹


3. CAASM:从内部视角看资产全貌

CAASM(Cyber Asset ASM)关注的是:

企业内部到底有哪些资产?它们状态如何?是否被保护?

通过整合:

  • CMDB

  • 云平台

  • 终端 / 主机 / 容器

  • 身份与账号系统

  • 安全设备数据

解决“资产分散、系统割裂、责任不清”的问题。


三、ASM 核心能力拆解(结合真实场景)

1. 资产发现:看见“未知的存在”

📌 案例 1:被遗忘的测试系统成为攻击入口

背景
某互联网企业在一次红蓝对抗中,被成功入侵。事后溯源发现,攻击入口并非生产系统,而是:

  • 一个 三年前上线的测试系统

  • 域名仍可访问

  • 后端连接了真实数据库

  • 长期无人维护

ASM 的价值体现

  • 通过域名与证书关联,发现历史遗留子域

  • 识别系统运行状态与暴露端口

  • 标记为“影子资产 + 高风险”

👉 问题不在“漏洞多复杂”,而在“资产是否被看见”。


2. 资产关系拓线:攻击者不会只看一个点

攻击者往往通过:

  • DNS 解析关系

  • 证书信息

  • 邮箱、备案、IP 注册信息

一步步“顺藤摸瓜”。

📌 案例 2:从一个官网子域,拓出整条攻击链

背景

  • 攻击者发现某企业官网的一个子域

  • 通过证书 SAN 字段,发现多个隐藏子域

  • 其中一个子域暴露了运维后台

ASM 的价值体现

  • 自动进行资产关联拓线

  • 构建企业资产关系图

  • 提前暴露潜在攻击路径


3. 脆弱性与暴露风险识别

ASM 并非只做“资产盘点”,而是直接指向风险。

📌 案例 3:弱口令 + 高端口 = 真实入侵

背景

  • 某企业运维端口开放在 30000+ 高端口

  • 未被传统扫描器重点关注

  • 但存在弱口令

ASM 能力

  • 全端口暴露监测

  • 弱口令模拟检测

  • 风险优先级评定(资产重要性 + 可利用性)

👉 最终在攻击发生前完成整改。


4. 信息泄露与暗网监测

📌 案例 4:代码仓库泄露引发连锁风险

背景

  • 开发人员误将配置文件提交至公开代码平台

  • 包含 API Key 与内部地址

ASM 能力

  • 持续监测 GitHub / Gitee / 论坛 / 网盘

  • 发现敏感信息泄露

  • 关联真实资产,评估可利用性

👉 不是“有没有泄露”,而是“泄露是否可被攻击利用”。


5. 风险优先级:不是所有漏洞都要立刻修

真实环境中,安全团队的痛点是:

漏洞修不完,但人力有限。

ASM 通过:

  • 资产重要性

  • 漏洞可利用性

  • 是否暴露公网

  • 是否已有攻击利用迹象

进行风险排序,帮助团队把精力用在“最该修的地方”。


四、ASM 从“发现问题”到“辅助防护”

部分成熟 ASM 产品,已进一步延伸到防护侧。

📌 案例 5:0day 爆发期的“时间差防御”

背景

  • 某组件爆发高危 0day

  • 官方补丁尚未发布

  • 攻击已在野利用

ASM 联动能力

  • 快速定位受影响资产

  • 提供临时缓解策略

  • 联动 WAF / 防护组件

  • 在补丁前降低风险窗口

👉 ASM 正在成为“防御前置能力”。


五、ASM 的实践趋势

1. 从扫描工具 → 安全运营能力

ASM 不再是一次性扫描,而是:

  • 持续监测

  • 持续评估

  • 持续收敛攻击面


2. 从“资产视角”走向“攻击路径视角”

未来 ASM 将更关注:

  • 攻击路径模拟

  • 风险链路可视化

  • 与 XDR / SOAR 深度融合


六、结语:ASM 解决的不是“新问题”,而是“老问题”

攻击面管理并没有发明新的安全威胁,它解决的是一个长期被忽视的问题:

你无法防守你看不见的地方。

当攻击者已经具备:

  • 自动化扫描

  • 情报整合

  • 快速利用能力

防守方也必须具备:

  • 全量可见

  • 持续发现

  • 快速决策的能力

ASM,正是这一转变的基础能力。


参考:

攻击面管理 (ASM) 技术详解和实现:https://www.secrss.com/articles/40332

What is ASM?:https://www.ibm.com/cn-zh/think/topics/attack-surface-management


评论