数世咨询：2023攻击面收敛能力指南

继以色列安全初创公司Axonius作为一家专门从事网络安全资产管理的安全企业夺得2019年RSAC创新沙盒的冠军后，老生常谈的“网络空间测绘”、“资产管理”等概念重新走进安全从业者的视野并逐渐火热起来，Gartner于2021、2022连续两年在Hype Cycle for Security Operations中收录CAASM(网络资产攻击面管理)后， “攻击面管理”时代正式到来。

国内的安全供应商也是如此，无论较早成立的以“资产测绘”或“资产管理”为主要技术路线的企业，还是近两年如雨后春笋般新成立的定位“攻击面管理“的初创团队，都在积极向攻击面管理ASM这个赛道靠拢。

然而与西方不同的是，近年来国内安全市场在这一领域的驱动力仍主要来自于逐渐常态化的实战化攻防演练。

这就导致了一方面我们的攻击面管理基础较为薄弱，从机房的老旧设备到云端的新业务，潜在的攻击暴露面始终存在，另一方面我们针对这些攻击暴露面的动作仍然是周期性、运动式的。

这就决定了国内“攻击面管理”产品与解决方案在落地时，单纯的“管理”并不能完全满足需求，还需要重点关注“收敛”这一动作。

但与此同时国内的CSO岗位制度尚未健全，安全团队话语权普遍较弱，“收敛”往往会涉及到网络、运维、研发甚至业务等兄弟部门的沟通协作，技术外的成本一直很高，因此如何借助实战化攻防演练这一绝好机会，对攻击面进行集中式专项“收敛”成为突出的现实需求。

报告出品/作者：数世咨询