数说安全：2023中国网络安全市场攻击面管理产品用户调研报告（21页）.pdf

1、2023中国网络安全市场攻击面管理产品用户调研报告2023年3月前 言“攻击面管理”是2022年中国网络安全产业热度上升比较快的词，过去从事网络资产管理与网络空间测绘、漏洞扫描与漏洞管理、威胁情报、自动渗透测试工具产品研发的公司纷纷推出自己的攻击面管理产品，或给自己打上“攻击面管理”的标签，攻击面管理市场热度快速上升。面对供给端呈现起步即爆发的势头，需求端如何看待和理解攻击面管理技术？产品在用户防线中的定位是什么？用户对产品的满意度如何？用户对产品未来的预期是什么？为此，安在新媒体与数说安全联合开展了2023中国网络安全市场攻击面管理产品用户调研活动，力争从甲方用户角度出发，更全面、深入的分析

2、攻击面管理市场现状与未来发展，为产业从业者提供借鉴与参考。2023年3月前言01攻击面管理市场概述关键发现攻击面管理的起源攻击面是什么？攻击面管理是什么？攻击面管理解决的主要问题是什么？04040405关键发现06被调研企业背景情况企业所属行业企业类型企业安全管理团队规模070708企业自身IT与网络安全现状企业IT资产分布企业IT资产管理能力企业未知资产发现能力企业攻击面扩大的原因企业管理攻击面的主要产品0909101011攻击面管理产品与用户需求的匹配度企业实施攻击面管理的驱动力企业关注攻击面管理产品的主要功能特性1212攻击面管理产品用户实际使用情况企业对现有CAASM产品的满意度企业对

3、现有EASM产品的满意度企业对攻击面管理产品集成威胁情报的满意度企业对攻击面管理产品与安全运营平台集成的满意度企业认为现有攻击面管理产品的主要不足1314141516攻击面管理产品用户未来投入计划企业采购攻击面管理产品的时间周期企业建立攻击面管理体系的技术路线企业购买攻击面管理产品的预算投入1718192023年3月攻击面管理市场概述04攻击面管理的起源2018 年，Gartner 敦促安全领导者开始减少、监控和管理他们的攻击面，作为整体网络安全风险管理计划的一部分，并且在2021年发布的Hyper Cycle for Secu-rity Operations，2021中将攻击面管理（ASM，

4、Attack Surface Manage-ment)相关技术定义为新兴技术，这被大家公认为是“攻击面管理”这个名词做为一种网络安全产品类别的起源。攻击面是什么？美国国家标准与技术研究院（NIST）对攻击面的定义是：“位于系统、系统组件或环境的边界上的一组入口，攻击者可以从这些入口尝试进入、产生影响或从中提取数据。”（The set of points on the boundary of a system,a system ele-ment,or an environment where an attacker can try to enter,cause an effect on,or e

5、xtract data from,that system,system element,or environ-ment.）。攻击面管理是什么？不同机构对攻击面管理的定义略有区别，但大同小异。IBM：攻击面管理(ASM)是对构成组织攻击面的网络安全漏洞和潜在攻击向量的持续发现、分析、修复和监控。Michael Cobb：攻击面管理是对组织的 IT 基础设施的持续发现、清点、分类和监控。Cycongnito：攻击面管理是发现、分类和评估组织所有资产安全性的持续过程。CrowdStrike：攻击面管理是对组织 IT 基础架构内的攻击媒介进行持续发现、监控、评估、优先排序和补救。Mandiant：在当

6、今的动态、分布式和共享环境中发现和分析互联网资产，持续监控已发现资产的风险敞口，并使情报和红队能够实施风险管理并为风险管理提供信息。攻 击 面 管 理 市 场 概 述2023年3月攻击面管理市场概述05攻击面管理解决的主要问题是什么？帮助防御者发现自己的盲区：由于思维方式和所拥有的技术技能的不同，攻击者与防御者往往会存在视角上的重大不同，人不可能对自己认知范围之外的事情做出有效应对，引入攻击者视角，将会很大程度上帮助防御者发现自己所忽略的，或视野之外的安全威胁。帮助防御者合理排定工作的优先级：防御者的工作是纷繁复杂的，所拥有的资源也是有限的，需要对防御工作进行优先级排定、做出取舍与折衷，攻击者