在数字化时代，政企网络空间犹如一座庞大而复杂的数字城堡，承载着海量的信息资产与关键业务。然而，随着信息技术的不断革新，网络攻击手段日益复杂多样，政企网络安全面临着前所未有的严峻考验。资产测绘与攻击面管理作为网络安全领域的关键环节，正逐渐成为守护这座数字城堡的坚固壁垒。

为了深入探讨这一话题，安全牛特邀云盾智慧资产测绘与攻击面管理总监马福峰进行了一次深度对话。作为业内资深专家，马福峰将为我们揭示当前资产和攻击面管理的挑战，阐述资产测绘与攻击面管理的必要性，探索资产测绘与攻击面管理的前沿洞察。

您认为当前攻击面安全风险管理主要有哪些特点和挑战？政企用户最关注哪些痛点？在这样的背景下将资产测绘与攻击面管理结合起来具有哪些优势？

我们认为，攻击面是攻击者对基础设施或者数字资产进行持续高频动态监控，以达成某种攻击目标而发现的资产中可被利用的有效攻击路径；攻击路径依托的是资产。

随着数字化转型推进，企业的网络架构和服务越来越多元化，不再局限于本地部署，还包括云、容器、物联网等。攻击对象不再局限于物理设备，还包括应用、网络、身份、物联网、云等。这种复杂性使得安全团队很难全面了解和管理所有潜在的攻击点。

在这种背景下，当前攻击面风险呈现以下三个特点：一是云计算等新业务催生了新的资产形态，资产变广、边界变大，且可见性不足，传统资产管理方式难以为继；二是攻击面碎片化，系统和业务场景复杂，攻击点分散，难以集中找到攻击路径；三是威胁持续存在，攻击者持续窥视，伺机下手。

用户需要一个全新的具有全局视角的资产视图，实时掌握资产变化，全面了解和管理所有潜在的攻击点，并对风险进行等级评定。

资产管理水平决定了网络安全运营能力的上限。将资产测绘与攻击面管理结合起来构建攻击面管理产品优势很明显：与资产测绘的产品相比，它增加资产安全风险评估；与攻击面管理相比，它又增强了安全资产管理的能力，且能持续监测资产的变化情况。最终该系统会给用户提供一个全景资产和安全风险感知全视图。

两者结合具备以下不可替代优势：

• 全方位的资产识别和持续资产动态监测，基于资产视图的实时安全风险评估给漏洞修复，以及修复的优先级提供参考，提高漏洞修复率和安全运营人员的效率。

• 实时资产监测和安全、风险评估，助力于政企满足安全合规要求，实现安全响应的及时性。统一资产和安全信息视图沟通界面，打破部门之间的信息壁垒，提高了跨部门之间的协作效率。

用户在谈论自身业务的安全问题时，因为自身业务和平台的多元性，也不再从单一方面讨论解决办法，他们已经用体系化的思维来考虑自身的网络安全问题：为了防止自身单位敏感数据泄露，应该从什么角度、用什么样的产品来弥补资产安全防护的短板。

用户心态的变化带来产业层面的变化。之前的方案更多是将资产测绘、攻击面管理和漏洞扫描等分别提供给用户，在发现这样做由于不同部门关注点不同，导致沟通配合难度大等问题后，供应商开始将这些产品和功能结合起来，把资产关系关联起来，以画像的形式为用户的各个部门提供统一界面的资产风险情况，面对统一界面讨论、分析问题，从而高效应对各种风险。

现在，产品结合趋势也愈加明显：ASM从互联网获取数据，SIEM（安全信息和事件管理系统）进行日志分析，两者联动实现自动响应、事件关联操作。比如，ASM 发现敏感信息传至SIEM 或态势感知平台，以判断有无非法渗透行为；SIEM在收到监管指令或威胁情报后，通报ASM以进一步挖掘关联资产，制定防御策略。

在企业加速数字化转型的背景下，资产边界日益模糊，您认为ASM系统如何帮助政企有效应对资产可见性和持续管理的挑战？

在重保的攻防演练中，一旦被攻破，通常要被问到几个关键问题：

1. 它是谁：谁的资产，谁在用？
2. 是什么：这是什么服务/资产？有什么作用？有没有安全风险？
   
3. 在哪：这些资产在哪？还有没有关联资产？这些关联资产用在哪？
4. 何时：这个资产什么时候上线的？上线后都有哪些变化？什么时候发现的风险，风险何时修复？
5. 为什么：为什么要启用这个服务？为什么要开这些端口等？为什么没有安全措施？安全漏洞为什么没有及时修复？
6. 合规么：对外服务是否合规？有没有满足资产数据保护等级要求？

针对这些问题，安全部门可能回答不上来，但是又没有办法。

我以一个地铁集团的案例来说明。这个集团的业务系统从上个世纪90年代至今一直在建设中，基础设施系统跨度达三四十年，涉及工控、IT信息/管理系统等多个庞大的业务系统，很难界定资产以及风险的边界。他们的生产网和管理网是完全隔离的，不同系统归属不同部门。他们经常会收到监管部门的通报，说明系统是存在安全隐患的。他们希望打通系统，但又担心会有风险。这是一个很典型的案例。后来我们在现场做了资产摸排，挖出很多他们之前不知道的关联域名、IP、端口等，这让他们非常震撼。

这就需要先做好资产测绘。这也是我们云盾智慧为何要将资产测绘和攻击面管理结合起来，打造一个ASM系统的原因所在。云盾慧御ASM从攻击者视角对企业数字资产进行探测、分析研判、风险检测和持续监控，为各行各业用户提供给一个科学的资产安全性管理方法。

您认为用资产测绘与攻击面管理构建政企网络安全体系时，解决方案应该具有哪些特色？云盾智慧的慧御具有怎样的优势？

攻击面管理是攻防对抗实战化产物，也可以被称为“主动防御”。做好资产测绘需要具备多方面能力，包括准确的探测识别能力、全面的业务理解能力、先进的数据分析能力（如利用AI关联分析）等。

这是一个系统工程，基本流程包括：先进行IP存活性探测；然后进行服务识别，了解开放了哪些端口、运行了什么服务；接着进行域名关联分析，发现IP上绑定的所有活跃域名；之后进行漏洞扫描；最后通过AI等技术进行关联分析，形成资产画像。

因此融合资产测绘与攻击面管理理念构建网络安全体系时，解决方案应该具备以下特色：

1. 全面的资产发现与可视化，支持跨平台、地域测绘资产，并动态跟踪其变化；

2. 主动的攻击面识别和管理，并对攻击面进行风险评估、分级和分类管理；
   

3. 持续合规检测和管理，根据网络安全法和合规要求进行合规评估，自动形成合规评估报告和整改建议；

4. 继承威胁情报和安全联动，与现有网络安全体系中的设备协同，不仅能发现攻击面，更要与现有设备联动收敛攻击面；

5.  高效的协同和信息共享能力，让不同部门之间使用同一个沟通语言和界面对称网络安全防御体系中遇到的问题。

6. 高度定制化、可扩展性且易部署。根据用户业务特点，发展速度等进行规划。

一个好的综合医院，不仅体检要做得好，还应该能治病。云盾智慧就是这么一个公司。云盾智慧本身是攻防一体的安全公司，具有丰富的经验。

云盾智慧的产品特色是从用户体系化防护需求出发，帮助用户从旁观者视角审视网络安全建设中的策略和设备的作用，全面满足资产发现、变化跟踪、多平台支持、联动防御、灵活部署等需求。

具体来说，我们的慧御资产测绘与攻击面管理系统相当于医院的体检部门，可以全面检查用户的互联网资产状况；慧御云防护系统相当于医院治病部门，结合相关的安全防护产品针对体检出来的问题进行治理，真正做到了联防联控防御体系一体化。

对于正在规划和建设ASM的政企用户，您认为应该如何设定建设目标和路径？应该注意哪些关键因素？

当前，政企用户已在防御理念上发生转变：从被动防守向主动防御变化，而且安全运营也向常态化和精细化迈进。

用户实施资产测绘和供应链管理方案的目标和路径，与自身现有的安全体系，以及要保护的业务目标有关。

要进行资产重要性评估和风险级别判定，因为企业所处行业特点、资产所承载的业务系统类型以及所处网络位置等，都会影响资产自身的重要性和关联漏洞的危险级别。

要建立主动防御的安全意识，现在很多单位虽有安全要求，但仍因为员工安全意识不足而被攻破，所以前期对员工的培训非常必要。

要基于核心业务全面识别资产，并通过产品实现攻击路径的可视化，通过扫描探测、人工智能AI 关联分析等技术形成资产画像，提供可视化能力。

在落地实施时，先整体调研分析单位的资产防护状况、保密程度，形成合适的方案；然后选择并落地适用的工具，根据保密等级选择 SaaS 化系统部署模式，和本地设备实现联动；最后还要进行演练，验证系统效果，确保落地生效。

随着等保2.0、关保等合规要求的深化，ASM系统如何帮助政企客户满足相关合规要求？在合规建设方面有什么建议？

当前网络安全领域有一个越来越明显的趋势，那就是“合规就是实战，或者越来越贴近实战”的趋势。但是，政企在合规建设时面临诸多挑战，比如说随着新技术、新应用的采用，人员的流动、业务系统配置的更改等，攻击面不断变化；未知资产存在合规风险。

而资产测绘与攻击面管理结合起来，可以在互联网上发现更多隐藏风险，帮助用户满足合规要求。

• 从全局视角审视用户资产，构建并维护互联网资产记录系统，构建安全合规基线，并持续监控，了解风险变化；
  
• 资产测绘与攻击面管理会以更大的视野审视单位的资产，防止供应链风险影响合规状态；
• 逐步减少攻击面，减少安全运营工作量，识别出以前未知的资产和风险后，就能立即制定相应的安全和合规流程，从而收敛攻击面，明确资产归属。

您认为接下来人工智能等新兴技术将给资产测绘与攻击面管理带来怎样的机遇与挑战？接下来市场和应用因此会出现怎样的趋势？

 “攻击者也在使用人工智能寻找攻击对象的潜在攻击路径”。

AI对安全行业的影响是革命性的。研究结果显示，攻击者利用AI，从发起攻击到窃取数据的时间已经从2021年的44天缩短到2024年的小时级。但防守方响应安全漏洞的周期仍然需要6天。这种攻防不对等的差距在AI时代会进一步扩大。

我们看到AI给攻击面管理带来三个主要机遇：首先，提升识别范围和精度，AI可以帮助我们更全面、更准确地识别资产；其次，提高分析能力，通过机器学习分析海量安全运营数据；最后，增强预判能力，基于已有规则学习生成新的规则，提前发现潜在威胁。

举例来说，我们在漏洞检测方面做过一个实验。利用AI生成了1000多条新的扫描规则，测试发现80%的规则都能发现有效问题，这大大提升了漏洞发现能力。根据 Gartner 的最新报告，全球攻击面管理市场预计将在未来五年内以超过15%的年均增长率持续扩张。

从国内来看，我观察到以下几个趋势:

1. 安全左移：企业更注重将安全能力前置；
2. 持续合规：从一次性合规转向持续性合规；
3. AI赋能：各地政府在建设算力中心，为AI赋能安全提供基础支撑；
4. 合规扩展：从单一企业合规扩展到运营商、区域性合规。

这些趋势都将推动资产测绘与攻击面管理市场的进一步发展。