文章总结： 本文为外部攻击面管理(EASM)采购指南，详细阐述EASM通过自动发现、监控互联网资产（域名、IP、服务等）帮助组织识别漏洞与风险的核心功能，涵盖可见度、安全分析、辅助功能三类特性，并从目标设定、发现机制、用户互动、风险优先级、数据及时性等维度提供产品选择建议，强调结合业务需求选择适合的解决方案以实现有效攻击面管理。 综合评分： 83 文章分类： 解决方案,产品介绍,安全建设,安全运营,威胁情报

外部攻击面管理（EASM）采购指南

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年3月21日 06:36 河南

为您的组织选择合适的EASM产品指南，以及您需要考虑的安全特性。

外部攻击面管理（EASM）是识别、监控并减少可通过互联网访问的资产中漏洞的过程。本指南将帮助系统所有者选择适合其组织的EASM产品。厂商在设计和开发EASM解决方案时也可能发现这些指导非常有用。

什么是EASM？

攻击者不断扫描组织的IT系统（硬件、软件、服务和云资产），寻找可用来获取访问权限或窃取数据的弱点。潜在接入点的总和称为“攻击面”，攻击面管理（ASM）是识别、监控并减少组织所有数字和物理资产漏洞的过程。

外部攻击面管理（EASM）是ASM的一个子集，专注于保护可从互联网访问的在线资产。EASM产品提供自动发现外部攻击面，帮助您了解风险及必要时应采取的行动。EASM产品对大多数消费者来说，进入ASM的门槛低于“内部”漏洞扫描的成本和专业能力。

由于EASM产品从外部视角扫描你的在线存在，它们为网络防御者提供了从攻击者视角看到攻击面的视图。这包括可能针对你的攻击者，以及那些扫描整个互联网以无差别入侵漏洞的人。EASM产品通过确保你对在线系统拥有与潜在攻击者相同甚至更好的可视性，从而有助于保持“防御优势”。

EASM产品可以有效快速理解整体外部攻击面，并持续监控其新风险。负责维护多项互联网可访问服务的组织应考虑EASM产品，作为其漏洞管理体系的一部分，尤其是在这些服务中断会影响业务或客户时。

内部与外部ASM

EASM类别中的一些工具提供外部和内部监控的结合，有时称为“网络资产攻击面管理”（CAASM）或简称ASM。要全面了解内部和外部攻击面，可能需要将软件代理部署到网络中，或与云供应商集成。这可以包括与现有的端点检测与响应（EDR）能力集成，以丰富从外部视角收集的数据。

注：本指南重点关注不需额外部署或集成的EASM产品，尽管许多产品会提供这些选项。如果您要求关注内部风险，应参考NCSC关于漏洞扫描工具和服务的单独指南。

EASM产品是如何运作的？

EASM 产品通过连接产品提供的域名和 IP 地址来工作。这些连接通常较轻，发送和接收数据量仅为识别技术和服务所需的最少量。这可能包括尝试连接多个不同端口上的资产（有时称为端口扫描），以识别服务器上运行的所有不同服务。它还包括模拟普通用户与你的在线服务互动的行为，比如浏览网页。

有些EASM产品是独立产品，而另一些则将EASM功能集成到现有平台中。虽然EASM产品的具体功能会有所不同（如下文所述），但它们都执行以下功能：

在几乎所有情况下，使用EASM产品并不会增加对您在线服务的风险。如果你的服务暴露在互联网上，它们已经每天被各种互联网扫描服务、研究人员以及潜在的恶意行为者扫描。EASM产品从外部视角进行的任何扫描和分析，攻击者同样可能进行。采用EASM产品能确保你知道哪些服务可以被外部看到并攻击，从而优先处理防御。

使用EASM产品的优势

虽然可以手动监控外部攻击面，但EASM产品将多种功能整合成自动化服务，解决维护持续更新视图的实际挑战，并且通常提供易于使用的界面。如果您还没有对资产进行全面记录（包括软件版本、生命周期跟踪和风险评估），EASM产品可以帮助您快速启动。

EASM产品将支持你的漏洞管理流程，特别是在识别资产和快速发现漏洞方面。EASM 产品能够识别比需要修补的特定软件漏洞更广泛的攻击面弱点，例如在 MITRE 的通用漏洞枚举数据库中列出的漏洞。这可能包括不应通过互联网访问的暴露服务、DNS错误配置以及电子邮件安全漏洞。所有这些问题，包括软件漏洞，都是你攻击面中的脆弱点。因此，EASM产品通常将发现称为“问题”或“风险”，而非漏洞，尽管这也可能包括软件漏洞。

EASM产品提供持续监控和自动资产发现，通常每日更新。这种定期监控体系为您提供最新信息，是成功管理漏洞的关键，因为它缩短了暴露到发现之间的时间，最终实现漏洞缓解。

最后，EASM产品提供整个攻击面的可视化，帮助你识别组织内的异常现象。这可能包括指向遗留供应商的旧配置、本应停用的服务，或仅限内部的暴露服务。通过这种方式，EASM产品可以支持满足并监控您的业务及安全政策合规性。为了充分利用EASM，你应当将产品提供的技术洞察与你对业务运营方式的独特洞察结合起来。

EASM产品的特点

EASM产品的用户体验和功能差异很大，因为开发者针对不同领域使用不同技术的客户定制了解决方案。话虽如此，EASM功能可分为以下三类。

可见度与洞察

这些功能提供攻击面可视化，用户可以直接访问或查询以识别异常。

参见可见性和洞察示例藏起来

• 资产发现：对在线资产的全面发现和可见化，主要是由贵组织拥有或关联的域名（包括子域名）和IP地址。
• 技术识别：对贵组织所使用的技术的可见性，以及可能的具体型号或版本，如网络服务器软件、防火墙或SaaS产品。
• 服务识别：对暴露服务如SSH、FTP、数据库或Web服务器的可视化。
• DNS配置：DNS记录的可见性以及所有域资产的配置。
• 网络存在感：深入查看任何暴露的网站，包括解析网页、识别技术或截图。
• 证书：对贵组织使用的TLS证书的可见性，包括供应商、有效期监控及额外分析。
• 供应商识别：了解贵组织依赖的技术供应商，包括软件供应商、云服务、ISP、邮件服务提供商。

安全分析

功能帮助分析攻击面，识别风险或问题以采取行动（通常附有修复建议和解释性参考）。

参见安全风险示例藏起来

• 软件安全：识别未打补丁或不支持的过时软件、具体的易受攻击的错误配置或其他已知问题。
• 电子邮件安全：检查防伪装控制措施，如SPF、DMARC和MTA-STS。
• 网页安全：检查网页服务器配置、使用安全HTTP头、外部依赖。
• DNS安全：识别易被接管的域名，如悬挂的CNAME或其他弱DNS配置。
• 暴露服务：识别暴露在互联网上的服务，如数据库，或缺乏必要认证或其他弱配置的服务。
• 漏洞评估：检查系统是否易受特定漏洞侵害，通常通过已知漏洞的良性变体进行测试。
• 威胁情报：识别与已知资产相关的威胁情报或泄露证据。

辅助功能

支持进一步探索攻击面、理解风险和优先处理行动的附加功能。

参见支持函数示例藏起来

• 工作流程功能：

  改进工作流程的功能，如为问题添加评论、标记同事、设置状态字段或将问题分组为动作。

• 仪表盘和视图：

  提供多种方式查看收集到的攻击面信息，允许用户探索数据并识别异常。

• 历史与趋势：

  跟踪风险和指标随时间变化，或能够回顾某一日期的攻击面状态，以便轻松比较和跟踪改进。

• 摘要报告功能：

  制作可下载的报告，概述攻击面，包括规模、使用技术、最高风险及趋势分析。

• 原始数据导出：

  导出安全问题列表，例如以CSV格式。

• 第三方集成（输出）：

  包括将数据流集成到SIEM工具中，或在外部工作流工具中自动创建工单的能力。

• 第三方集成（输入）：

  将数据提供到EASM工具中的集成，例如自动加载资产数据库、云库存或其他供应商的信息。这可以丰富工具中的数据，显著提升资产发现覆盖率。

• 可配置优先级：

  能够根据贵组织的风险承受能力调整特定问题的严重性或优先级。

• 分层组织访问控制：建立父子关系，使组织可以查看跨多个组织的数据，但无法看到彼此的数据（对子公司或为多个客户提供安全服务的公司非常有用）。

如何选择EASM产品

选择适合贵组织的EASM取决于多种因素，包括：

• 贵组织的规模和性质
• 你现有的记录保存和对在线资产的理解
• 你当前的监控或漏洞扫描水平
• 您当前面临的安全挑战

没有“放之四海而皆准”的标准。选择EASM产品的关键在于确定哪种产品最能满足贵组织的具体需求。你还应注意，随着组织的发展，最适合你的EASM可能会随着时间变化。

本节提供了一组问题，供你自己（以及你正在合作的任何潜在EASM供应商）咨询，帮助你选择最合适的产品。

1. 你想实现什么？

想想你当前面临的安全挑战，以及外部监控如何支持你。请考虑上述不同的EASM功能和特性。你可能有许多优先事项，可能包括：

• 看到你整个攻击面的地图
• 建立准确的数字资产记录
• 针对合规要求的具体监测
• 确保部署电子邮件防伪装控制措施
• 优先考虑你知道有多重风险的支持

你使用EASM产品的目标越具体，就越有可能选择适合你的产品。虽然每个组织都不同，但下面我们列出了一些典型需求的情景。

示例A：小型企业

组织A是一家没有内部技术支持的小型企业。他们有自己的域名，运营一些网站、电子邮件和一些由第三方开发的在线服务。

组织A希望专注于确保其在线资产不易受攻击，可能是由于缺乏维护，未能保持软件更新。他们希望拥有一个EASM产品，能够提供清晰易懂的风险建议，以及关于他们需要采取的行动的可作信息。

示例B：中小企业

组织B多年来创建了多个子域名，用于托管各种网络服务，其中许多已不存在。该组织知道并非所有子域名都已正确退役，可能会留下一些子域名易被网络犯罪分子接管。

组织B希望专注于识别和移除这些旧子域名。他们希望有一个EASM产品，能够很好地发现子域名，并检测出多种不同场景中域名易受侵袭。

示例C：大型企业

组织C拥有庞大的IP地址空间，承载着业务中许多不同的服务。他们知道存在于其整个区域的老旧且易受攻击的软件和服务，而安全团队并不知道这些。

组织C希望专注于识别大量IP地址中被弃用的易受攻击服务。他们希望打造一款能够支持大IP范围、擅长服务识别，并能提供风险导出以与其他团队分享的EASM产品。

2. 攻击面是如何被发现的？

EASM产品的一个重要功能是持续自动发现你的攻击面。发现通常会融合多种技术和非技术数据来源，包括DNS和认证信息等公开信息。

EASM产品可能提供额外的API连接器，以便与供应商（如云服务提供商）集成，以更好地覆盖您的资产。你应该考虑哪些集成（如果有的话）是你监控中获得最大价值的。

有效的自动化发现会在展示前验证或“信心评分”发现，并允许您排除任何超出范围的发现。

3. 谁将访问该工具或需要查看信息？

考虑谁需要访问EASM产品的信息。不同用户可能需要访问不同的信息。考虑谁需要了解错误配置或漏洞，以及将采取哪些行动。如果你要向第三方IT供应商或安全公司发送信息，考虑你可能需要哪些导出功能。

同样，考虑谁需要了解发现的攻击面信息，包括IP地址、域名（包括子域名）、证书、网站、服务以及其他外部发现的项目。不同的工具会有不同的方式来显示这些信息。你应该考虑是否打算将数据导出到现有工具中，还是需要EASM工具内的额外功能来实时查看和分析数据。

大多数 EASM 产品都具备导出功能，可以提供不同类型的文件，方便无法直接访问 EASM 工具的用户分享。如果你打算向外部发送信息，要求查看你考虑的供应商的示例输出。这可能包括：

• 关于单一问题的详细信息（通常导出为PDF文件），方便发送给同事或第三方，以便他们采取补救措施解决问题
• 为董事会层面的理解设计的概览，通常配有图表和指标
• 完整的问题列表（包括类型、严重程度和实例），通常导出为CSV文件，可在Excel及其他常用工具中打开

4. 你将如何与工具互动？

大多数EASM产品都提供通过网页浏览器访问的界面。有些可以集成到你现有的工作流程或工单系统中。想想你想如何使用EASM工具。你希望它通过电子邮件提醒等方式向你推送信息吗？还是你只想在选择时登录查看信息？

许多额外的EASM平台功能只能通过登录网页界面访问。对于经验较少的用户，推荐以这种方式使用产品。对于已有成熟安全监控的组织，考虑将EASM产品的数据流导入现有的SIEM工具是否有帮助，并检查与EASM提供商的兼容性。

你对自己的业务政策和背景有最好的理解。询问任何潜在的EASM供应商，他们提供了哪些工具和功能，帮助你浏览EASM数据。考虑如何识别那些可能不会自动被视为风险，但对你的业务来说不可接受的问题或异常。

5. 你将如何优先处理已识别的风险？

EASM产品通常能识别大量严重程度不一的问题。考虑如何优先考虑这些风险，并决定先采取哪些行动。你可能希望根据以下因素进行优先排序：

• 攻击面中问题所在
• 被利用的可能性
• 可能发生的影响

你的EASM产品应帮助你专注于对组织最重要的事项，并优先处理你的行动。这可能包括：

• 提供任何发现攻击面及所有发现的明确来源
• 结合威胁情报，或使用CISA的已知被利用漏洞（KEV）目录注释CVE漏洞
• 提供准确的发现，并明确标记任何信心较低的部分
• 允许去除假阳性
• 能够接受或忽略特定的风险实例或风险类型
• 工作流程功能或外部工作流程集成
• 与云服务提供商、证书授权机构或DNS提供商集成，帮助快速识别需要采取行动的地方

6. 数据需要多么及时？

EASM产品的主要优势之一是监控的连续性。该数据的更新程度取决于底层扫描数据的频率及后续分析。数据越最新，所需时间越短：

• 识别并解决风险
• 减少组织暴露的时间
• 验证你的行动已经解决问题

考虑数据的及时性对你有多重要。这可能包括按小时、每日或每周更新。请注意，工具内所有类型的检查更新频率可能不相同，因此请务必向潜在的EASM供应商咨询具体需求。有些产品还提供按需扫描，可以立即检查问题是否已解决。

| | | — | | 注：理解攻击面的弱点需要对组织使用的各种软件和服务有最新了解，了解当前的漏洞类型，并理解攻击者使用的技术。您所选的EASM供应商必须紧跟新的攻击类型和风险，快速响应新的优先级威胁，并持续更新其检测能力和平台功能。 |

7. 你是否还需要脆弱性评估？

EASM产品可以提醒你，如果你的系统可能受到已知且带有CVE编号的漏洞影响。这通常通过确定你所使用的技术版本，并将其与已知易受攻击的版本进行交叉核对来实现。这些警告会告诉你软件是否过时需要补丁。

漏洞评估或漏洞扫描是通过精心设计的非恶意负载验证，检查上运行系统是否确实易受特定漏洞侵害的做法。

部分EASM产品可以集成漏洞扫描工具，或提供漏洞评估作为附加功能。由于扫描影响增加及法律要求，通常需要额外的配置和权限。

考虑您是否要求脆弱性评估作为EASM优惠的一部分。在启用此类功能之前，你应了解组织对可能触发其他安全软件（如入侵检测系统）的扫描反应。询问任何潜在的EASM提供商，如何快速识别他们的流量，这样安全团队就不会浪费时间去调查扫描是否可能成为攻击。

| | | — | | 注：如果你选择不使用EASM产品的漏洞扫描，你仍然可能收到来自扫描仪和网络各处无差别攻击者的此类流量。 |

设计良好的EASM产品对扫描负责任。它们限制了对扫描服务的影响，无论是带宽还是入侵，并允许用户调整公差。特别是在漏洞扫描方面，流量应易于识别，即源自 EASM 产品，包括提供源 IP 并在适当位置标记流量（例如 HTTP 用户代理）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《外部攻击面管理（EASM）采购指南》