攻击面管理体验日记

什么是攻击面管理

攻击面管理（ASM，Attack Surface Management）是这两年安全行业很火的概念，强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁，最终实现消除外部威胁的目的。

攻击面管理和漏洞扫描、漏扫管理、资产管理、零信任类的产品都有一些关系，从理念的角度：

• ASM 强调 “持续发现” 和 “持续扫描”
• ASM 的资产采集像知识图谱，在持续扫描的过程中逐渐补全，具备自动进化能力，每次扫描相较于上一次的效果都会更优
• ASM 更关注 “暴露面”，更关注 “资产变动”

攻击面管理以资产和漏洞的总体可见性为基础，需要“持续发现、分析、修复和监控构成组织攻击面的网络安全漏洞和潜在攻击向量。

国内华顺信安、长亭科技、魔方安全、华云安都在做攻击面管理产品，一直没有机会实际使用到产品。前段时间看到长亭推出了云图极速版攻击面管理工具，提供 SaaS 化的使用方式，专业版每个月 2000 块，体验版每个月只需要 5 块钱的价格。

长亭云图使用步骤

所谓极速版，我理解是个 “青春版”，年轻人的第一个攻击面管理，在私有化部署的版本之上，裁剪了一些功能，提供给中小企业使用，满足 SaaS 化轻量级交付的需求。

正好我司是长亭的代理商，拿到了白嫖三个月专业版的机会，这里介绍下使用云图扫描我司资产的效果。

长亭云图地址：https://rivers.chaitin.cn/landing/atlantis

界面比较小清新，首页是个展示统计数据的 Dashboard，根据长亭的定义，把数据分成了三类

• 资产：企业主体、备案过的主域名、子域名、IP 地址
• 暴露面：开放的端口、网站（其实就是 Web 服务）、Web 组件
• 安全风险：主要是漏洞

第一次打开的时候界面提示需要 “录入扫描对象的企业主体”，然后啥也不用做就自动开始扫描了，云图会根据企业主体自动查找相关的域名和 IP 信息。

从使用体验上来说，长亭师傅们的设计思路估计是想走极简风，只需要简单的操作就能立马用起来（实际上 “青春版” 也没有太多可以操作和配置的空间）。

在扫描任务里能看到云图实际把扫描分了 8 步，

• 采集主域名：根据企业主体自动查找备案的域名
• 采集子域名：根据主域名使用各种方法去爆破子域名
• 采集 IP 地址：根据备案信息和域名信息去反差企业的公网 IP
• 探测端口开放性：针对采集到的 IP 地址做全端口扫描
• 识别端口指纹：针对开放的端口打指纹规则，识别端口上跑的服务和版本信息
• 识别网站：根据发现的 Web 端口跑一些 HTTP 协议特有的规则，比如爬虫什么的，用于采集网站的信息
• 识别 Web 组件：针对网站打 Web 指纹规则，识别 Web 组件和版本信息
• 高危漏洞扫描：就是扫漏洞

整个扫描过程大概持续了半小时，资产发现的还算比较全，最后发现了 34 个漏洞，其中有 4 个高危漏洞，没啥误报，就是有几个漏洞虽然 URL 不一样，但实际是重复的，长亭师傅们赶紧来修 Bug 了。

贴一个漏洞详情的截图给大家看看细节。

使用体验

总体来说使用体验还不错，上手没什么成本，最后还扫到一些漏洞（赶紧联系我司开发和运维老板们修了）。

本来想体验一下企业版，不过销售告诉我需要先下单才给用，从介绍材料来看，企业版和 “青春版” 的主要区别在于

• 企业版发现资产的方式更多，可以通过网站图标、网页标题、证书内容等信息作为检索依据，自动查找域名和IP资产。
• 支持私有化部署，对关注数据隐私的企业更友好，也可以用来扫内网资产
• 安全风险除了漏洞还可以扫描代码泄露、网盘文件泄露、文库泄露这些

总结

对企业来说，管理漏洞只是安全部日常工作中很小的一环，人力精贵，动辄扫出成败上千个漏洞的工具用起来十分头疼，要花大量时间处理误报，推到研发整改到成本也很高，即使不是误报也需要去判断漏洞是否是互联网可利用的。攻击面管理很好的解决了这个问题，做好分类分级，优先解决互联网可见的公开漏洞非常重要。

相较于传统漏扫而言，攻击面管理的准确性更高，输出的安全风险基本都是 “真实可利用” 的漏洞。

云图 “青春版” 比起传统漏扫，对关注真实安全结果的中小企业要友好的多，省下了要周期性做漏扫的精力，省下了要识别误报的精力，2000 一个月的价格对企业来说都是小钱。

现实中，大部分中小企业只关注合规安全，甚至没有专职的安全工程师，云图 “青春版” 对这些企业来说不一定是最好的选择。