在日前舉行的2022網(wǎng)絡(luò)安全運(yùn)營技術(shù)峰會(huì)上,咨詢機(jī)構(gòu)賽迪顧問發(fā)布《中國攻擊面管理市場白皮書》(以下簡稱“白皮書”),旨在以數(shù)字化轉(zhuǎn)型為背景,探討攻擊面管理在新一代網(wǎng)絡(luò)安全防御體系中的能動(dòng)作用。
白皮書立足于攻擊面管理技術(shù)的本土化洞察與實(shí)踐,選取北京華云安信息技術(shù)有限公司等多家國內(nèi)外領(lǐng)先的攻擊面管理企業(yè)為代表,剖析了中國攻擊面管理技術(shù)發(fā)展現(xiàn)狀,分享了攻擊面管理領(lǐng)域的創(chuàng)新技術(shù)和典型應(yīng)用場景,并對攻擊面管理發(fā)展趨勢進(jìn)行預(yù)測。
白皮書指出,攻擊面管理是一種從攻擊者視角對企業(yè)數(shù)字資產(chǎn)攻擊面進(jìn)行檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置和持續(xù)
監(jiān)控的資產(chǎn)安全性管理方法,其最大特性就是以外部攻擊者視角來審視企業(yè)所有資產(chǎn)可被利用的攻擊可能性,而這里的所有資產(chǎn)包含已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等一系列存在被利用風(fēng)險(xiǎn)的資產(chǎn)內(nèi)容。
白皮書基于應(yīng)用場景維度,定義了攻擊面管理由外部視角攻擊面管理和內(nèi)部視角攻擊面管理構(gòu)成,將數(shù)字風(fēng)險(xiǎn)保護(hù)依據(jù)其外延與內(nèi)核歸屬為外部視角攻擊面管理。此外,在白皮書中搭建攻擊面管理框架體系,建立了攻擊面管理的成熟度模型。
隨著數(shù)字化轉(zhuǎn)型不斷加深,攻擊面管理的應(yīng)用場景也將不斷涌現(xiàn)。白皮書中選取了3個(gè)典型應(yīng)用場景,即行業(yè)垂直監(jiān)管場景中的攻擊面管理、物聯(lián)網(wǎng)場景中的泛終端攻擊面管理、網(wǎng)絡(luò)安全保險(xiǎn)中的攻擊面管理,旨在提升用戶對于攻擊面管理技術(shù)的使用體驗(yàn),并由核心應(yīng)用場景向更多應(yīng)用場景拓展。
白皮書預(yù)測,在未來一段時(shí)間,攻擊面管理將從傳統(tǒng)場景擴(kuò)展到新興技術(shù)領(lǐng)域,將與業(yè)務(wù)風(fēng)險(xiǎn)管理融為一體,而供應(yīng)鏈和第三方風(fēng)險(xiǎn)管理將成為攻擊面管理的重要組成部分。此外,自動(dòng)化、智能化技術(shù)在攻擊面管理產(chǎn)品中將得到廣泛應(yīng)用。