❝攻击面管理(ASM,Attack Surface Management)是这两年安全行业很火的概念,强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁,最终实现消除外部威胁的目的。
❞
攻击面管理(ASM,Attack Surface Management)是这两年安全行业很火的概念,强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁,最终实现消除外部威胁的目的。
攻击面管理和漏洞扫描、漏扫管理、资产管理、零信任类的产品都有一些关系,从理念的角度:
ASM 强调 “持续发现” 和 “持续扫描”
ASM 的资产采集像知识图谱,在持续扫描的过程中逐渐补全,具备自动进化能力,每次扫描相较于上一次的效果都会更优
ASM 更关注 “暴露面”,更关注 “资产变动”
攻击面管理以资产和漏洞的总体可见性为基础,需要“持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击向量。
国内华顺信安、长亭科技、魔方安全、华云安都在做攻击面管理产品,一直没有机会实际使用到产品。前段时间看到长亭推出了云图极速版攻击面管理工具,提供 SaaS 化的使用方式,专业版每个月 2000 块,体验版每个月只需要 5 块钱的价格,之前有活动,白嫖了一个月的专业版,于是直接体验了一下,简单说下使用体验吧!
所谓极速版,我理解是个 “青春版”,年轻人的第一个攻击面管理,在私有化部署的版本之上,裁剪了一些功能,提供给中小企业使用,满足 SaaS 化轻量级交付的需求。
长亭云图地址:https://rivers.chaitin.cn/landing/atlantis
界面比较小清新,首页是个展示统计数据的 Dashboard,根据长亭的定义,把数据分成了三类
「资产」:企业主体、备案过的主域名、子域名、IP 地址
「暴露面」:开放的端口、网站(其实就是 Web 服务)、Web 组件
「安全风险」:主要是漏洞
第一次打开的时候界面提示需要 “录入扫描对象的企业主体”,然后啥也不用做就自动开始扫描了,云图会根据企业主体自动查找相关的域名和 IP 信息。
从使用体验上来说,长亭师傅们的设计思路估计是想走极简风,只需要简单的操作就能立马用起来(实际上 “青春版” 也没有太多可以操作和配置的空间)。
在扫描任务里能看到云图实际把扫描分了 8 步
整个扫描过程大概持续了半小时,资产发现的还算比较全,最后发现了 34 个漏洞,其中有 4 个高危漏洞,没啥误报,就是有几个漏洞虽然 URL 不一样,但实际是重复的,长亭师傅们赶紧来修 Bug 了。
贴一个漏洞详情的截图给大家看看细节。
总体来说使用体验还不错,上手没什么成本,最后还扫到一些漏洞。
本来想体验一下企业版,不过企业版价格作者钱包撑不住了,但从介绍材料来看,企业版和 “青春版” 的主要区别在于:
对企业来说,管理漏洞只是安全部日常工作中很小的一环,人力精贵,动辄扫出成败上千个漏洞的工具用起来十分头疼,要花大量时间处理误报,推到研发整改到成本也很高,即使不是误报也需要去判断漏洞是否是互联网可利用的。攻击面管理很好的解决了这个问题,做好分类分级,优先解决互联网可见的公开漏洞非常重要。
相较于传统漏扫而言,攻击面管理的准确性更高,输出的安全风险基本都是 “真实可利用” 的漏洞。
云图 “青春版” 比起传统漏扫,对关注真实安全结果的中小企业要友好的多,省下了要周期性做漏扫的精力,省下了要识别误报的精力,2000 一个月的价格对企业来说都是小钱。
现实中,大部分中小企业只关注合规安全,甚至没有专职的安全工程师,云图 “青春版” 对这些企业来说不一定是最好的选择。
体验地址:https://rivers.chaitin.cn/landing/atlantis