攻防之道，在于知己知彼

守在明，攻在暗

很多防守方在对决博弈之前

【资料图】

就已经将弱点暴露在外

自己却全然未觉

你有多少未知影子资产暴露在外？

这些资产随时可能成为

攻击者长驱直入的突破口

一旦攻入

来不及反应就已被攻下

观己。据统计，2022年累计数据泄露事件超3200起，较2021年上升近一倍，数据泄漏事件的主要渠道包括：匿名社交平台、网盘文库、代码托管平台、蜜罐+黑产工具、暗网以及黑产论坛和公共媒体等。数据泄露的平均成本高达435万美元，创历史新高，这一数据相比2021年增加了2.6%。83%的企业发生过多次数据泄漏事件，其中因供应链安全导致数据泄漏占比19%，云端数据泄漏占比45%，凭据泄漏导致的"重大风险"增长迅猛，数据泄露、影子资产导致企业网络攻击面扩大。

观敌。当攻击者无法直接从目标单位资产进行攻击时，就有可能会渗透到软件/业务供应商的网络中，自2020年初以来，有组织的软件供应链攻击数量增加了4倍。Gartner预测，到2025年，45%的组织将经历对其软件供应链的攻击。

防御盲区一直都在。企业想“摸清家底”，却通常只面向自身传统IT资产进行安全排查、部署防御，而攻击者则通过影子资产、开源情报、组织信息等外部暴露信息寻找可利用的攻击路径，“摸不清”这些暴露在外的弱点，防御盲区必成大患。

知攻，方可知防。从攻击者的视角出发，找到自身面向外部的薄弱点，构建起常态化、真实化的安全治理能力，能够快速、全面、清晰地管理企业面临的攻击威胁，才能在攻防博弈中占得先机。这就是外部攻击面管理。

明确定义，为外部攻击面管理“正名”

2018年，外部攻击面的概念被Gartner首次提出，作为一种有效应用于安全运营的新兴技术，受到了持续的关注。亚信安全认为，外部攻击面是所有可被攻击者利用的数字资产和对应攻击向量的集合，因此需要具备全面且强大的攻防能力、漏洞研究能力、网络资产测绘能力、威胁情报能力等多重实力，同时结合云、网、边、端的安全治理优势，才能够形成有效应对当前复杂网络环境的外部攻击面管理。

数看威胁。进行外部薄弱点综合分析，参考股权关系、供应链关系、资产主动扫描、资产测绘数据、PDNS、开源情报等众多信息，形成资产暴露指数、攻击利用难度指数、攻击影响范围等，量化不同资产的风险值，从而可视化、可参考、可对比这些安全威胁依据；

优化排序。深度刻画资产属性，根据资产暴露程度、资产重要性、资产供应关系、应用底层架构、历史漏洞情况、攻击路径、POC/EXP等各类参数来计算资产风险权重，同时结合专家模式进行综合风险研判，最终可形成由高到低的资产风险排序。

强化处置。根据上述风险值的高低，可进行对应性的修复工作，以及根据攻击路径进行的定制化的安全产品部署，此外依据上述风险数据还可以提前做好应急预案，和威胁事件的响应流程，同时还能形成内部安全意识培训等安排。

亚信安全外部攻击面管理服务方案

从发现到评估最终完成治理，亚信安全外部攻击面管理服务方案包含三大服务内容，互联网资产暴露面梳理服务、商业泄密风险检测服务、外部攻击面风险识别服务。

互联网资产暴露面梳理服务，全网梳理

融入攻击面概念，区别于传统互联网资产暴露面梳理服务维度，针对客户互联网IT资产，以主动探测技术结合大数据筛查，对网站、应用程序、数据库、云主机、移动应用、公众号、供应链、邮箱和其它在线服务进行梳理，结合股权穿透，协助理清资产对应关系。该服务可以帮助客户完成互联网暴露资产盘点，建立清晰的互联网IT资产清单，先于攻击者掌握企业资产的互联网暴露面，支撑暴露面收敛，降低客户受攻击的风险。

商业泄密风险检测服务，多平台监测

商业泄密风险检测服务能够对国内十余家主流网盘、数十家文库、近十家主流代码托管平台进行检测，帮助客户及时发现互联网侧数据泄露事件线索，降低如软件代码、口令等敏感泄漏信息被黑客在入侵时利用及商业隐私数据泄露可能对企业造成的经济损失。

外部攻击面风险识别服务，多元分析处置

基于互联网资产暴露面梳理服务，或者商业泄密风险检测服务的结果，从攻击者视角帮助客户分析自身外部攻击面风险，量化整体健康评估分值。该服务通过系统自动化分析模型结合专家经验，评估客户整体外部攻击面健康度及提供整改优先级建议指导，为客户提升外部攻击面抗攻击能力。

亚信安全外部攻击面管理服务的专家支撑来自于亚信安全的北极狐高级攻防实验室。作为目前国内顶尖的攻防团队，北极狐实验室的专家具备多年红队经验，在各项攻防演练中获得过优秀成绩，通过将多年攻防经验下沉，形成了平台的自有优势。

目前，攻击面管理服务已经覆盖了开源情报、资产识别、供应链、股权关系、泄漏数据、攻击技战法等各个维度的攻击者视角，同时结合攻击面管理平台的自动化模型计算，帮助客户全面评估攻击面风险，梳理风险优先级，实现“N->2”的风险降维，真正实现企业外部攻击面管理。

关键词：