文章总结： 本文阐述了资产攻击面管理（CAASM）的概念，指出其是Gartner提出的安全风险治理思想，旨在解决甲方看不清家底的问题。核心是通过攻击面梳理、资产梳理、风险分析和风险治理四步，将零散的安全动作整合为可重复、可度量、可持续的闭环流程，从而系统化地管理安全风险。 综合评分： 88 文章分类： 安全建设,安全运营,解决方案,红队,内网渗透

谈谈资产攻击面管理

原创

catfishfighting

透明魔方

2025年12月16日 18:00 上海

经常在干活儿时听到安全厂商给我的甲方们灌输资产攻击面管理的概念。

在培训-交流-例会-报告中此起彼伏的出现。

那这个概念是谁提出的呢？不可能是安全厂商同时自创的吧？

我追根溯源了一下，此概念是Gartner在2021年7月提出的。资产攻击面管理本质还是属于安全风险治理体系。就是一个现代化安全运营的思想和工作流，不是什么神秘的黑科技。

为什么安全厂商要给我的甲方们灌输资产攻击面管理的概念。嗯，我感觉这个又可以写一篇文章了，简单来说就是从厂商的逻辑来看：

这是一个“完美”的销售策略

不过，对甲方来说，这个概念确实准确的描述了大量甲方的核心问题，击中了痛点。因为一些甲方其实是看不清家底的。

那这个资产攻击面怎么管理呢？

简单来说就是四步走：

第一步：攻击面梳理（站在敌人视角画好进攻路线图）；

第二步：资产梳理和管理（把自己家的锅碗瓢盆全数清楚，结合日常生活做好物品管理）；

第三步：风险分析（比如红蓝自己模拟或实战打一架）；

第四步：风险治理（把打出来的窟窿用工单一个个补上）。

其实就是主打安全能力的系统化、流程化、持续化。将零散的安全动作，整合成一个可重复、可度量、可持续的闭环。

1.攻击面梳理

先不要急着加高城墙，站在攻击者的角度，分析有哪些攻击路线。

注意，不要对任何一条攻击路线掉以轻心，老祖宗给了我们太多经验。三国演义里就有很多例子，关羽守荆州时，把东和孙权的“防火墙策略”删了，还抽调守军去北伐，吕蒙直接白名单过江（把士兵藏进商船，扮成百姓），一晚上把荆州“资产”全端走。

攻击路线我们可以从外网、内网、第三方等分类来数。 外网：对外开放的端口、应用API、邮件入口、VPN…… 内网：办公网里的运维隧道、运维堡垒机、漏洞如SQL注入……

第三方：外包运维、SaaS 供应商、 USB 一条条路线标清楚，才知道该在哪埋钉子。

2.资产梳理和管理

资产是被攻击的主要对象，好比城池、兵马与粮草，攻城者必先探明目标。我们要摸清自己的“家底”——包括主机、域名、API、数据、文档等，形成完整的资产清单。 结合已梳理的攻击路线，再借助 SOC 等安防手段，在每个攻击面下做好资产标记与管控，就像在每个关隘设置哨卡、登记往来，确保无一遗漏。

资产标记的本质，是构建一套所有安全工具都能理解的“通用语言”和“坐标体系”。没有准确的标记，SOC看到的将是混沌的数据洪水。

3.风险分析

在摸清各切面资产之后，需对每条可能的入侵路径进行风险推演。可将安全队伍分为“红”“蓝”两方，模拟真实袭防场景，逐项记录风险点。通常可从以下几个维度入手：

• 暴露面：哪些城门开着？哪些旗帜太显眼？

  对外开放的端口、服务、API接口；网段信息；在公网泄露的源代码、员工邮箱、技术文档等敏感信息。

• 系统漏洞：城墙可有裂缝？城门是否老旧？

  操作系统、中间件、开源组件、应用代码中存在的已知漏洞（CVE/CNVD）；配置错误导致的弱点。

• 基线配置：守军巡逻是否合规？烽火台能否及时点火？

  操作系统、数据库、网络设备的合规配置检查；安全日志是否完整收集；入侵检测系统（IDS）规则是否有效；告警响应是否及时。

• 访问控制：口令是否易猜？令牌会不会被仿造？

  弱密码策略；多因素认证（MFA）是否启用；令牌泄露风险；会话管理安全性。

• 权限分配：城内各营区是否隔离？校尉能否擅开粮仓？

  网络隔离（VLAN、微隔离）情况；账号权限是否遵循最小化原则；是否存在越权访问漏洞（水平/垂直越权）。

• 数据保护：密信是否加密？舆图会不会被抄走？

  数据存储与传输加密（TLS/磁盘加密）；数据分类分级；数据库脱敏；数据泄露防护（DLP）措施。

4.风险治理

推演出的风险必须一一整治。可借助 SOAR 系统，像传令兵下发军令、跟踪执行；通过零信任架构，针对不同切面：

外网：该闭的端口闭，该隐的服务隐，只留必要之门，并设重兵把守。

关闭非必要端口，利用WAF/云防火墙隐藏真实服务。在入口部署下一代防火墙（NGFW）、Web应用防火墙（WAF）、入侵防御系统（IPS）等。

内网：强化身份核验，隧道加密，堡垒机严守操作审计。

强化身份核验：全面推行零信任网络访问（ZTNA），所有访问须持续验证。隧道加密：VPN、运维通道强制使用强加密协议。操作审计：堡垒机（跳板机）对所有运维操作进行录屏与指令审计。

第三方：严格管控接入权限，定期审查合作方安全状况，外来器具一律严查。

管控接入权限：为第三方供应商设置专属VPN账号与严格权限边界。定期审查：对SaaS供应商、外包运维方进行安全资质与实践审计。外来器具严查：实施严格的移动存储设备（USB）管理策略，部署终端防病毒与EDR。

最终做到：攻击路线有钉（每个攻击面都有相应的监测与防护措施），资产变动有账（资产动态更新，所有资产变化可追溯），风险出现有警（安全运营中心（SOC）实现7×24小时监控与告警），治理过程有踪（所有风险从发现、派单、整改到验证，全流程线上化、可度量）。

THE END

🧩 我最近在研究网络安全管理平台（SOC/SIEM）相关技术，并准备写入论文，如果你：

• 使用过某款平台（不限厂商）
• 是运维/安全分析师
• 是安全专家
• 是开发过相关模块的研发工程师

非常欢迎加入我的交流群，互相交流。

📍 加我微信：catfishfighting （备注：SOC，不备注我就默认拉安全大群了）

📋 加群需要请大家先填写一份简单的安管平台功能调查问卷

一起学习，一起进步 🙌

查看原文：《谈谈资产攻击面管理》