Gartner洞察显示：网络资产攻击面管理将于5-10年内发展为主流技术

近日，Gartner发布《新兴技术：网络资产攻击面管理关键洞察》，对网络资产攻击面管理的技术现状进行了总结与分析，提出了三点关键洞察。网络资产攻击面管理CAASM 旨在帮助安全团队解决持续的资产暴露和漏洞问题，提升内部和外部资产的可见性。CAASM作为新兴技术，目前市场占有率仍处于较低水平，预计将在5-10年内被市场广泛采用，成为主流技术。

网络资产攻击面管理CAASM是一个新兴的技术领域，专注于帮助安全团队应对资产可见性和暴露面的挑战。主要通过与现有工具的API 集成，帮助企业实现对所有资产的全面掌控，企业可利用 CAASM：

CAASM从其他收集资产子集（如端点、服务器、设备、云对象和应用程序）的产品中汇总资产数据。整合内部和外部网络资产，用户可以通过漏洞评估VA和终端检测与响应EDR产品，来获得资产安全控制方面存在的差距和风险。

CAASM主要通过API实现了被动数据采集，从而取代了低效的通过人工获取并校验资产数据的方式。

本报告提供了有关CAASM 的关键洞察，并描述对市场上竞争厂商和即将进入市场的厂商的影响（图1）

图 1：网络资产攻击面管理(CAASM) 关键洞察

CAASM仍是一个新兴市场。据Gartner 估计，目前CAASM 的购买率仅占目标受众的1%至 5%，需要5至10年的时间才能成为主流应用（详见《2023年安全运营成熟度曲线》报告）。与许多新兴技术一样，人们对CAASM 的兴趣逐步上升，但市场对CAASM 与现有工具（尤其是配置管理数据库CMDB）的差异，仍存在疑惑。Gartner认为，随着定位的逐渐明确及其独特的能力，CAASM将得到更广泛的应用。

市场上一般不会混淆网络资产攻击面管理CAASM与外部攻击面管理EASM及漏洞评估VA，但梳理相关技术之间的关系仍有价值。

VA、EASM、CMDB是CAASM获取数据的重要来源，因为CAASM无法产生资产和漏洞数据，而是一个数据融合中心，可以实现多源数据聚合、去重和校验，并通过双向集成的方式将处理后的数据反哺给VA和CMDB。

一些供应商已开始将其解决方案定位在CAASM 和赛博物理系统CPS保护平台领域。CPS保护平台的范围仅限于CPS 资产，但对于那些对企业IT 之外的资产可见性有强烈需求的组织来说，可能不会超出CPS 保护平台的范围。CPS保护平台可自动发现CPS 资产，并增加一系列与安全相关的功能，以改善CPS 的风险状况。CPS保护平台主要通过被动扫描提供资产的实时可见性和分类能力。这些平台使用各种技术来发现和识别运行环境中的资产，同时不会对网络性能产生影响。

产品厂商应明确CAASM 的作用，CAASM并不会取代任何现有技术，而是取代自建系统和通过手动的方式来收集和核对资产信息。因此，利用CAASM 可提高效率并降低成本。

Gartner建议最终用户以全职员工的人工成本为锚点采购CAASM产品。此外，我们还建议最终用户综合对比CAASM和人力工作的投入产出比。

对于大多数企业来说，这项投资将是一项新的支出，为了确保预算落地，产品厂商必须证明CAASM的优势和价值。

CAASM的主要优势是通过从多个系统收集和丰富数据，实现对全局资产的可视化和管理。实际上许多CAASM产品提供标准的第三方系统数据连接器，支持对端点安全、身份管理、云服务、移动设备管理、CMDB、漏洞评估和网络安全等系统的数据对接。除此之外，CAASM还可以映射资产依赖关系，这些上下文信息可用于资产价值和重要性评估。

CAASM使安全团队能够实现安全工具覆盖范围内的可视化管理，支持攻击面管理ASM流程，并为相关系统校对老化数据和补齐缺失数据。迄今为止，Gartner已观察到 CAASM的以下常见应用：

CAASM的其他应用场景还包括软件物料清单SBOM报告和并购M&A尽职调查。CAASM还可以支持安全运营，例如事件响应。由于CAASM 可以映射资产依赖性，因此用户可以查看可能受到漏洞影响的全部资产。

首席信息安全官CISO和安全运营总监等安全管理者是CAASM的主要用户。然而，CAASM的优点可能超出安全管理的范畴。企业中的其他人员和团队，如企业架构师、IT管理员和 GRC团队，都可以从融合的全面的资产数据中获益，从而实现业务目标。

CAASM的价值可能覆盖整个组织，但尚未得到各组织的充分认可。因此，CAASM的采购和推广有时会遇到来自安全之外团队的阻力。产品厂商应确保在销售周期中，不仅要与主要买家（即安全团队）接触，还应与可能是解决方案的利益相关方接触。这种接触会尽量减少销售阶段中的摩擦，并有机会证明CAASM与利益相关方的业务目标是一致的。

利益相关方的范围应尽早确定。2022年 Gartner技术购买行为调查显示，范围的变更会导致额外的研究和评估，这在很大程度上推迟了75% 的受访者的购买时间（见图2）。

图 2：延迟购买流程的因素

从产品路线图的角度来看，产品厂商应评估其解决方案对当前目标场景的支持，这将为其新功能开发提供依据。例如，CAASM厂商可以增加资产配置和安全控制的采集分析能力，并根据安全基线进行评估。这可以作为一个单独的模块交付（如CAASM本地化交付），也可以通过与安全态势管理工具（如云安全态势管理CSPM或SaaS安全态势管理SSPM）的集成来交付。根据基线对资产和安全控制措施进行配置评估，将使CAASM不仅能识别资产和安全控制措施，还能评估这些资产和安全控制措施的安全态势。这将有助于进一步发现资产的潜在攻击面，而不仅仅是对发现的漏洞进行优先级排序。

当与其他新兴技术（如EASM 和DRPS）相结合时，CAASM构成了更加自动化的攻击面管理ASM 流程的基础：

ASM包括人员、流程、技术和服务的组合，用于持续发现、盘点和管理组织的资产。这些资产既可能是内部资产，也可能是外部资产，这些资产带来了数字风险。对资产的可见性有助于减少可能被恶意人员利用的风险暴露面。

ASM的三大要素：CAASM、EASM和 DRPS，在图3 的第一个支柱中分别代表"内部"、"外部"和"数字风险"。

图 3：风险暴露管理的组成部分

图4：CAASM、EASM和 DRPS支持的常见用户场景

EASM 通过主动发现的方式来梳理面向互联网的外部资产的可见性。EASM解决方案不需要Agent或集成来发现和收集信息。相反，EASM解决方案采用由互联网数据源提供的特有方式（例如，DNS、WHOIS、证书、互联网扫描等），自动识别组织面向互联网的所有资产，无论是IP、域名、证书、互联网服务、存储桶等。通常情况下外部攻击面发现需要基于根域名和组织名称开始，发现外部资产并与组织、部门及下属分支机构进行关联，同时只要互联网上出现新的跟组织相关的资产，EASM就会及时检测到，实现对未知或未纳管数字资产的管理。

DRPS提供了对互联网、深网、暗网来源的可见性，以识别关键数字资产的潜在威胁，并提供恶意人员以及网络攻击方法和策略的上下文信息。DRPS和EASM之间存在重叠；两者都专注于了解组织的数字足迹，但DRPS并没有提供与EASM相同的资产发现范围。DRPS更关注欺诈、盗窃或仿冒，以及企图对公司品牌、客户、数据、高管和员工的潜在威胁。

迄今为止，CAASM市场竞争并不激烈。虽然这个领域对新的厂商很有吸引力，但在竞争格局方面，产品厂商还应考虑其他因素。首先，CAASM易于部署，通常不需要Agent来收集资产信息。对于产品厂商来说，这既是销售CAASM 的优势，也是挑战，因为这意味着CAASM工具并不具有粘性——既易于实施，也易于更换。如果产品厂商的解决方案支持用户的关键业务流程，被用户作为主要的安全分析和报表产品，或者为用户提供丰富的扩展安全能力，将有助于提高用户粘性。

其次，迄今为止，CAASM一直是独立的市场，没有与相关市场的技术进行过多的整合，未来几年或许会有CAASM厂商之间的并购。例如，漏洞评估厂商并购或自研CAASM/EASM是一个可行的技术路线。CAASM、EASM和DRPS的厂商之间也可能建立更多的集成和合作伙伴关系。