国外9种攻击面发现和管理工具

网络资产攻击面管理工具的主要目标是保护有关公司安全措施的信息免受攻击者的侵害。在决定什么最适合企业时，需要考虑以下 9 种工具。

90个网络和数据安全相关法律法规打包下载 标准下载：大数据系统基本要求GB/T 38673-2020 标准下载：个人信息去标识化效果评估指南GB/T 42460-2023 标准下载：大数据 系统运维和管理功能要求GB/T 38633-2020 标准下载：大数据 数据资源规划GB/T 42450-2023 标准下载：2023年24个即将实施标准下载 标准下载：网络安全从业人员能力基本要求GB/T 42446-2023

网络资产攻击面管理 (CAASM) 或外部攻击面管理 (EASM) 解决方案旨在量化攻击面并将其最小化和强化。CAASM 工具的目标是在保持关键业务服务的同时，尽可能少地向对手提供有关业务安全状况的信息。

如果您曾经看过一部抢劫电影，那么执行本世纪配乐的第一步就是包围该地点：观察安全措施、测量响应时间并绘制逃生路线。这个过程类似于攻击和保护企业 IT 资源：获取 Internet 上公开可见资源的知识，了解技术堆栈的构成，并找到漏洞和弱点。

攻击面管理的基础知识

攻击面是整个公司资源（也称为资产），可以通过某种形式从 Internet 访问。这可能是本地托管的应用程序，端口通过公司防火墙打开，托管在云中的 SaaS 应用程序，或任何数量的公开存在的云托管资源。攻击面包括开放端口和协议、使用的 SSL 和加密标准、托管的应用程序，甚至托管应用程序的服务器平台。

构成攻击面的单元称为资产。它们是 IP 地址或域名，再加上构成应用程序或服务的技术栈。

漏洞是配置缺陷或未打补丁的软件，它们为恶意用户的攻击敞开大门以破坏一个或多个系统。

虽然攻击面管理主要集中在面向公众的互联网上的资产，但企业数据中心或云网络范围内的资产如果没有得到适当的监控和管理，也会使企业面临风险。由于外部实体无法使用这些资产，因此监控它们的能力需要软件代理或监控服务能够进入您的网络。

从公司网络内部来看，服务器和应用程序通常有一个软肋。任何监控工具都必须评估范围更广的服务，并且在许多情况下，以匿名用户和经过网络身份验证的用户身份测试服务。

用于攻击面发现和管理的 CAASM和EASM工具

定期扫描网络不再足以维持强化的攻击面。持续监控新资产和配置偏差对于确保企业资源和客户数据的安全至关重要。

需要识别新资产并将其纳入监控解决方案，因为这些资产可能是品牌攻击或影子 IT 的一部分。配置漂移可能是良性的，是设计变更的一部分，但也有可能是人为错误或攻击早期阶段的结果。及早识别这些变化可以让网络安全团队做出适当的反应并减轻任何进一步的损害。

这里有 9 个国外的工具，可以作为我们的理解和参考。

Axonius 网络资产攻击面管理

Axonius 提供了一个强大的CAASM套件，它涵盖了监控攻击面的所有关键因素。Axonius 从资产清单开始，该清单会自动更新，并根据内部数据源和 Axonius 可以访问的用户网络外部资源的上下文进行充实。它还可以根据PCI或HIPAA等策略集的安全控制执行监控，识别等同于违反策略的配置或漏洞，允许用户采取措施解决问题。

CrowdStrike Falcon Surface

CrowdStrike Falcon Surface EASM从对手的角度提供了一个视图，提供了暴露资产和潜在攻击向量的实时地图。CrowdStrike 的资产清单还提供随时间变化的历史记录，提供配置漂移的即时详细信息。通过内部和外部数据流开发的上下文，可以对业务风险进行优先排序。可以通过基于集成的警报和操作（通知 Slack 通道，在 Jira 或 ServiceNow 中创建票证，或触发用户帐户或系统上的操作）自动采取补救措施，或者基于剧本的补救可以引导管理员通过强化系统配置或应用系统更新。

CyCognito 攻击面管理

CyCognito 的CAASM产品提供对资产的持续监控和清点，无论它们位于本地、云端、第三方还是通过子公司。可以添加所有权和资产之间的关系等业务背景，以促进分类过程并帮助确定风险响应的优先级。这种上下文和智能优先级排序（评估诸如易于利用和资产分类之类的事情）有助于将重点放在网络中最关键的风险上。CyCognito 还跟踪资产的配置漂移，支持查看变更历史并识别企业基础架构的新风险。

Informer 

Informer 带来了EASM功能，可以跨 Web 应用程序、API 和面向公众的业务 IT 堆栈的其他方面自动发现资产。这些资产会受到持续监控，实时确定任何风险的优先级。Informer 提供附加服务来执行手动风险验证甚至渗透测试。Informer 基于工作流的响应系统通过与现有的票务和通信应用程序集成，有助于将多个团队纳入事件响应。一旦 Informer 识别出的威胁得到缓解，就可以立即启动重新测试以验证配置更改或系统更新是否已完全消除风险。

JupiterOne 网络资产攻击面管理

JupiterOne 将其 CAASM解决方案称为一种将网络资产数据无缝聚合到统一视图中的方法。在适当的地方自动添加上下文，并且可以定义和优化资产关系以增强漏洞分析和事件响应。自定义查询允许网络安全团队回答复杂的问题，同时可以使用交互式可视化地图浏览资产清单，从而能够评估事件范围和确定响应的优先级。您可以通过集成来利用您对安全工具的现有投资，将 JupiterOne 转变为您企业安全状况的整体集中视图。

Microsoft Defender 外部攻击面管理

微软正在企业安全领域悄然发挥领导作用，利用他们在云方面的投资为客户提供价值，其 Defender 品牌下的 EASM 产品也不例外。Microsoft Defender EASM提供非托管资产和资源的发现，包括影子 IT 部署的资产和资源以及驻留在其他云平台中的资产。一旦确定了资产和资源，Defender EASM 就会探测技术堆栈每一层的漏洞，包括底层平台、应用程序框架、Web 应用程序、组件和核心代码。

Microsoft Defender EASM 使 IT 人员能够在发现漏洞时实时对漏洞进行分类和优先级排序，从而快速修复新发现资源中的漏洞。这是 Microsoft，Defender EASM 与其他以安全为重点的 Microsoft 解决方案紧密集成，例如 Microsoft 365 Defender、Defender for Cloud 和 Sentinel。

Rapid7 InsightVM

Rapid7 建立了一项业务，使企业 IT 能够识别企业资源中的漏洞。事实证明，系统扫描和数据分析的基础方面在攻击面管理和InsightVM中很有用在此基础上构建，带来可与上述任何其他解决方案相媲美的强大功能。Rapid7 在行业中的地位如此之高，以至于他们不仅从 Mitre CVE（常见漏洞和披露）评分中提取漏洞优先级，他们还是 CVE 编号权威机构，能够识别和评估新发现的漏洞。InsightVM 监控公司资产的变化，无论是新部署的资产还是具有新漏洞或配置更改的资产。Rapid7 还将他们的分析和仪表板印章与 InsightVM 一起使用，允许用户查看具有实时智能的实时仪表板或使用他们的查询工具深入研究漏洞细节。

SOCRadar AttackMapper

SOCRadar 试图通过AttackMapper为用户提供攻击者的资产视图，这是他们为 SOC 团队提供的工具套件的一部分。AttackMapper 实时对资产执行动态监控，识别新的或更改的资产并分析这些更改以查找潜在漏洞。SOCRadar 将他们的发现与已知的漏洞攻击方法相关联，以便为决策制定和分类过程提供背景信息。AttackMapper 不仅仅监控端点和软件漏洞，因为 SSL 弱点和证书过期，甚至 DNS 记录和配置也是公平的游戏。AttackMapper 甚至可以识别网站篡改，以保护品牌声誉。

Tenable.asm

Tenable 多年来一直提供用于识别漏洞的工具，他们当前的工具套件很好地满足了现代 IT 安全专家的需求。Tenable.asm是他们的 EASM 模块，与 Tenable 的漏洞管理工具完全集成。Tenable.asm 提供资产和漏洞详细信息的上下文，不仅来自技术方面，还提供完全确定响应优先级所需的业务级上下文。一旦将上下文添加到资产和漏洞数据中，用户就可以查询和过滤 200 多个元数据字段，从而快速深入了解对业务至关重要的资产和资源。

>>>等级保护<<<

2. 
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图
18. 网络安全等级保护：什么是等级保护？
    
19. 网络安全等级保护：信息技术服务过程一般要求

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

32. 
    

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

55. 
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 网络安全知识：什么是AAA（认证、授权和记账）？

78. 美国白宫发布国家网络安全战略

79. 开源代码带来的 10 大安全和运营风险

80. 不能放松警惕的勒索软件攻击

81. 10种防网络钓鱼攻击的方法

82. Mozilla通过发布Firefox 111修补高危漏洞

83. Meta 开发新的杀伤链理论

84. 最佳CISO如何提高运营弹性

原文始发于微信公众号（祺印说信安）：国外9种攻击面发现和管理工具