近年来，随着云技术应用、数字化转型和远程工作扩展，普通公司的数字足迹和攻击面变得更大、更分散、更动态，每天都有新的资产连接到公司网络。

传统的资产发现、风险评估和漏洞管理流程是在企业网络更加稳定和集中的情况下开发的，无法跟上当今网络中新漏洞和攻击媒介出现的速度。例如，渗透测试可以测试已知资产中的可疑漏洞，但它无法帮助安全团队识别每天出现的新网络风险和漏洞。

但 ASM 的持续工作流程和黑客视角可支持安全团队和安全运营中心 (SOC) 能够在不断增长和变化的攻击面面前建立主动的安全态势。ASM 解决方案可在漏洞和攻击向量出现时提供实时可见性。

它们可以利用传统风险评估和脆弱性管理工具和流程中的信息，在分析漏洞和确定优先次序时获得更多的背景信息。此外，它们还可以与威胁检测和响应技术（包括安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 或扩展检测和响应 (XDR)）集成，以改善威胁缓解形势并加速企业范围内的威胁响应。

ASM 由四个核心流程组成：资产发现、分类和优先级划分、修复以及监控。同样，由于数字攻击面的大小和形状不断变化，因此这些过程会持续进行，而 ASM 解决方案会尽可能地自动化这些过程。其目标是为安全团队提供完整、最新的暴露资产清单，并加快对给组织带来最大风险的漏洞和威胁的响应速度。

资产探索

资产探索功能可自动持续扫描并识别面向互联网的硬件、软件和云资产，这些资产可能成为黑客或网络犯罪分子试图攻击组织的切入点。这些资产可包括：

• 已知资产 – 组织了解并主动管理的所有 IT 基础架构和资源，包括路由器、服务器、公司分发或私有的设备（PC、笔记本电脑、移动设备）、IoT 设备、用户目录、部署在本地和云端的应用程序、网站和专有数据库。
  
  
• 未知资产 - 在 IT 或安全团队不知情的情况下使用网络资源的"未清点"资产。影子 IT - 未经官方行政审批和/或监督而在网络上部署的硬件或软件，是最常见的未知资产类型。影子 IT 的示例包括个人网站、云应用程序和不受管理但使用组织网络的移动设备。另一种常见的未知资产是被遗弃的老旧 IT 资产，即没有适当报废但不再使用的软件、网站和设备。
  
  
• 第三方或供应商资产 - 组织不拥有，但属于组织 IT 基础设施或数字供应链的一部分的资产。其中包括软件即服务 (SaaS) 应用程序、API、公有云资产或组织网站内使用的第三方服务。
  
  
• 附属资产 - 属于组织附属公司网络的任何已知、未知或第三方资产。合并或收购后，这些资产可能不会立即引起母公司 IT 和安全团队的注意。
  
  
• 恶意资产 - 威胁行为者为攻击公司而创建或窃取的资产。这可能包括冒充公司品牌的网络钓鱼网站，或作为数据泄露的一部分在暗网上共享的被盗敏感数据。

分类、分析和优先级划分

识别资产后就会对其进行分类、分析漏洞，并按“可攻击性”划分优先级，这本质上是衡量黑客攻击资产可能性的客观指标。

根据身份、IP 地址、所有权以及与 IT 基础架构中其他资产的连接对资产进行盘点。对它们进行分析，了解它们可能面临的风险、这些风险暴露的原因（例如，配置错误、编码错误、缺少补丁）以及黑客可能通过这些风险暴露执行的攻击类型（例如，窃取敏感数据、传播勒索软件或其他恶意软件）。

接下来将优先修复漏洞。优先级排序是一项风险评估活动：通常，每个漏洞都会根据以下因素获得安全评级或风险评分

• 分类和分析过程中收集的信息。
  
  
• 来自威胁情报源（专有和开源）、安全评级服务、暗网和其他来源的数据，涉及漏洞对黑客的可见度、利用漏洞的难易程度、漏洞的利用方式等。
  
  
• 组织自身漏洞管理和安全风险评估活动的结果。其中一种称为红队的活动，本质上是从黑客的角度进行渗透测试（通常由内部或第三方道德黑客进行）。红队成员不会测试已知或可疑的漏洞，而是会测试黑客可能试图利用的所有资产。

修复

通常，漏洞是按照优先级顺序修复的。这可能涉及：

• 针对相关资产应用适当的安全控制，例如应用软件或操作系统补丁、调试应用程序代码、实施更强的数据加密。
  
  
• 将以前未知的资产纳入控制范围 - 为以前不受管理的 IT 制定安全标准，安全淘汰老旧 IT 资产，清除恶意资产，并将附属资产整合到组织的网络安全战略、政策和工作流程中。

补救措施还可以涉及更广泛的跨资产措施来解决漏洞，例如实施最小特权访问或多因素身份验证 (MFA)。

监控

由于组织攻击面中的安全风险会在部署新资产或以新方式部署现有资产时发生变化，因此会持续监控和扫描网络的库存资产和网络本身，以查找漏洞。持续监控能够支持 ASM 实时检测和评估新的漏洞和攻击媒介，并提醒安全团队注意任何需要立即关注的新漏洞。