2023年，“攻击面管理（ASM）”成了业界顶流。作为网安行业关注度最高的技术之一，“攻击面管理”迅速成了行业的话题之王：从甲方到厂商，从高管到技术，似乎人人都在讨论。

“攻击面管理”概念最早被提出是在2018年，但彼时该技术并没有得到广泛认可和共鸣。直到2021年，Gartner 首次在《Hyper Cycle for Security Operations，2021》报告中正式将“攻击面管理”定义为新兴安全技术。

有了权威咨询机构的强力背书，“攻击面管理”开始被业界所熟知，但此时更多的从业者只是抱着一颗好奇的心，远没有被业界广泛接受。

此后，不少专业机构和安全厂商陆续从多个角度，发布了攻击面管理相关技术研究和安全产品，导致攻击面管理的热度持续攀升。传统的安全公司、互联网安全厂商以及新兴创业厂商，都越来越多地将攻击面管理作为重点发展的方向，一时间颇有“天下谁人不识君”的热闹场景。

这种热闹甚至已经达到了“噱头炒作”的程度，那么，攻击面管理究竟是炒作还是真的有实力？为什么大家都如此笃定，它会成为解决当下网安难题的“杀手锏”？

攻击面管理，仅仅只是资产吗？

攻击面管理，始于企业资产管理，而资产管理需求的快速膨胀，始于全球数字化转型浪潮。

所谓“攻击面管理”，是指“以攻击者的角度对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的一种资产安全性管理方法。”

2022年，全球数字化转型进入了深水区，越来越多的传统型企业从线下走上了云端。而在数字化转型过程中，企业的基础架构正在不断重构,网络资产类型和组成呈现出日益复杂的趋势。

和传统IT资产不同的是，数字资产一直处于动态变化之中，大大增加了发现互联网资产的时间和难度。

而不论是此前轰动一时的，号称“网安核弹”的Log4j漏洞事件，还是近年来日益疯狂的勒索攻击事件，都表明传统安全防护体系难以确认企业已经暴露的IT资产。诸如资产自动扫描仪等设备大多存在明显的盲点，所能发现的资产还不到50%。

而攻击面管理概念所描绘的蓝图，完美解决了上述问题。因此，早期的攻击面管理最常见的场景就是网络资产攻击面管理，这也是网安行业最为关注的技术价值点。

但如果仅仅停留在互联网资产层面，那么对“攻击面管理”的利用无疑是走入了误区。根据Gartner给出的定义，攻击面管理涉及了三个新兴的技术创新领域，分别是网络资产攻击面管理（CAASM）、外部攻击面管理（EASM）以及数字风险保护服务（DRPS）。

采访中，腾讯安全腾讯安全威胁情报资深专家高睿指出，攻击面管理不仅仅是一个工具和一种功能，而更应该是被视为一个由工具驱动的项目，利用它将相互冲突的优先级事项聚集在一起，这是这是传统安全体系难以实现的目标。

因此，在腾讯安全看来，攻击面管理完全可以广泛应用至业务风险管理，与企业业务深度结合，与业务风险管理融为一体。

例如，攻击面管理可作为威胁发现者，及时了解用户已发生的业务风险，包括互联网与暗网中与用户相关的黑灰产活动，用户的信息泄漏情况，网站或APP仿冒等；还可以化身为业务 “检查危害结果的法医” ，判断用户资产是否流通黑市，有仿冒品出现，出现不合规发布内容，业务服务存在篡改、暗链等。

高睿进一步表示，攻击面管理还可以在即将开启的重保、攻防演练项目中广泛应用，抢先红队一步，提前发现发现高危风险资产&服务场景，监测影子资产，识别未纳管关联资产&服务场景等。

腾讯安全攻击面管理TIX-ASM正在开启试用活动，扫描下方二维码即可参与。

攻击面管理被吹到爆，凭什么？

众所周知，攻击面管理最大的特性，就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性。

这和传统防御型安全产品的视角迥然不同。在攻防双方严重不对等，攻击威胁日益严峻，攻击手段日趋复杂的当下，攻击面管理似乎可以消除这种长期不对等的态势；也让传统安全难以解决的，复杂的网络安全问题有了一个全新的解题思路。

此时我们再回到开头提到的问题，攻击面管理真的会成为数字化世界的“杀手锏”吗？当我们就这一问题询问高睿时，却得到了一个非常有意思的答案：对，也不对！

对是因为攻击面管理很有可能真正给网络安全带来一次变革：基于攻击者视角的主动防守才能真正发现企业面临的网络安全风险，而传统以防御为主的安全体系将会被颠覆。

不对是因为，任何一项新兴技术的落地都有其先决条件，只注重形式而舍弃内在，为了噱头而落地技术，最终只能是徒有其表。对于攻击面管理来说，威胁情报和数据是其绕不开的两个核心因素。

1、威胁情报与攻击面管理

腾讯安全认为，攻击面管理与威胁情报有着相辅相成的的关系。众所周知，威胁情报主要关注攻击者的手段，而攻击面管理关注被攻击的对象，所以在数据层面可以将攻击事件线索分为三大维度：基础类情报（经典威胁情报）、攻击面情报、业务安全情报，以便识别用户在资产暴露面和内容暴露面的相关风险。最终达到提升攻击面管理全面性的目的。

从产品的维度来看，腾讯安全威胁情报中心TIX拥有齐备的产品矩阵，攻击面管理平台TIX-ASM是其中非常重要的组成部分。而攻击面管理核心能力，通常集中在以下四个维度：

发现高危风险资产和服务的能力；

识别未纳管的相关资产和服务的能力

追踪外网信息，包括在暗网中泄露的数据；

监测内容合规性和服务健康状况的能力。

2、海量实时数据支撑

攻击面管理，是攻防对抗的第一线，所以严重依赖于海量最新风险数据的实时处理。而现代化网络攻击的最大特点之一就是基于大量数据的立体化攻击。因此想要真正获得攻击者视角，就必须像攻击者一样，具备海量的、时效性较强数据进行支撑。

同时还要对数据进行深入地关联、分析和研判，从而真正发掘出企业暴露在互联网上的攻击面。如果数据采集和分析的能力不过关，攻击面管理也难逃“巧妇难为无米之炊”的尴尬境地。

3、智能化分析与应对

结合攻防手段以及海量多维的情报数据，可以实现第一时间对风险识别，但与此同时又会带来“安全运营能源疲于应对”的难题。

因此，腾讯安全认为攻击面风险发现，需要更完善的分析与应对能力。其落地的生成式预训练Transformer模型可有效提升内容暴露面和仿冒资产的识别效能，同时在API安全方面提供了全新的检测方案，使得用户整体攻击面风险的检测范围、效果得到了全面提升。

另外，结合此人工智能模型，还提供了“网安助驾模式”，辅助安全运营人员进行风险分诊和相应策略草拟，有效降低了技术应用的门槛和安全风险的响应效率。

6月6日深圳站，腾讯安全与嘉宾共话安全

威胁情报和数据恰好是腾讯安全的长处。

威胁情报方面，依托其在云、管、端及业务侧积累的安全产品和数据，腾讯现拥有国内最完整的情报数据触点，建立了夯实情报生产基础。

数据方面，腾讯电脑管家、腾讯手机管家等C端产品的恶意样本数据，每天高达3万亿条，产生的数据量级超200万台云主机安全数据。

事实上，腾讯安全攻击面管理平台 TIX-ASM基于数据挖掘、网络空间测绘、无感知半连接技术、指纹库等技术，已经可以实现三位一体全面监测，三位分别指资产威胁面（漏洞风险、暴露风险等）、社工入侵面（信息泄漏、钓鱼欺诈等）、内容合规面（敏感内容、篡改外链等）。通过腾讯安全攻击面管理平台，助力企业用户快速梳理自身资产并收敛攻击面。

更多攻击面管理的内容，尽在6月6日，FreeBuf企业安全俱乐部·深圳站 数据安全·安全运营高峰论坛。

届时，腾讯安全运营资深专家孙亚东将以“如何发挥安全原子力效能助力企业发展”为主题进行演讲，阐述攻击面管理为什么成为行业关注度最高的技术，现场分享腾讯安全攻击面管理真实客户案例。此外，腾讯安全还将全面分享攻击面管理方面的技术与经验，以及其倾力打造的安全运营与管理体系，敬请期待。