近期，千呼万唤始出来的Gartner《2022中国安全成熟度曲线》（Hype Cycle for Security in China, 2022.后文简称“报告”）正式发布，一时间国内安全厂商宛若过年般蜂拥而至，快速抢占报告17项安全技术赛道上的位置。

　　抛开厂商们的“占坑”新闻，有一个细节值得我们重点关注，那便是ASM（攻击面管理）再次被登录在了快速上升区间（Innovation Trigger）。

　　曲线上闪耀的“点”

　　一个赛道处在快速上升区间在本次报告并不罕见，甚至这一块是“点”最密集的区间，这也与近年我国网络安全领域层出不穷的创新相符。

　　真正让ASM值得关注的原因在于，它不光出现在了《2022中国安全成熟度曲线》，而是频繁出现在Gartner的各种安全报告当中，甚至不局限在国内。《HypeCycle for Security Operations,2021》中同样在曲线中标出了ASM正在快速成长期，年初《2022网络安全趋势报告》中也把“攻击面扩大”列在了7大趋势的首位...

　　图 2021年的曲线里CAASM与EASM上榜

　　然而ASM的热度并不完全来源于商业层面，在本次Gartner发布的报告中也在“阻碍因素”部分也提到“ASM与其他安全市场重叠，未来可能会与其他市场合并。”

　　真正让ASM成为关注热点的原因是，随着全球范围内网络空间中攻防对抗的不断加剧，安全圈迫切需要一种贴合实战且能打破现有攻防不对等态势的技术产品。而ASM本身就是基于攻击者视角诞生的，无论对攻击方还是防守方，掌握“作战地图”都是行动精准、快速的基础条件。

　　地图指路？是卫星制导！

　　在谈ASM对当前网络安全的重要性前，有几个外部环境要素需要先说明。

　　1、攻击者的强度增加

　　职业化、专业化、资源充足、国家背景等，已经成为当前黑客的主要标签，其战斗力已今非昔比。

　　2、网络战争初现威力

　　近期的网络安全事件论证，网络空间中的“交火”已完全不亚于现实武器的破坏力。

　　3、全球经济发展降速，竞争博弈加剧

　　“第五空间”正在以完全不同的形态成为博弈焦点，未来重大安全事件只会更多。

　　综合以上三个因素，今天单一安全事件中的攻防双方在组织、意愿、资源等方面正在呈现出全面的不对等。而ASM正是被寄予厚望，可以帮助防守方拉平态势的技术赛道。

　　ASM常被称为攻防中的“作战地图”，用来发现网络系统中的薄弱点，但也正如Gartner在报告中提出的，ASM并不能单独解决问题，需要配合其他产品平台。

　　高精度的地图，对于胜负的重要性无需多言，但今天的网络空间中资产是随时都在变化的，因为业务调整需要新上设备、新开端口、调整架构非常普遍，这也是政企单位保证业务灵活发展的基础，此时通过人工不断地重新“画地图”明显不现实。

　　而不准、不全的地图势必会留下安全“死角”，或者说“影子资产”，这也是国内外大量黑客攻击事件的起点。从“攻击者视角”看，黑客不在乎你的资产规模、防御部署等，他们寻找的永远都是你的系统中哪里有突破口。

　　而拥有自动化、平台化能力的攻击面管理（ASM），其价值非常类似于现代战争中的卫星，帮助决策者全盘掌握战场情况，卫星不能帮你直接打赢，就像你发现了敌人，也不能用棍子教训坦克。但“武力”类似的情况下，一方有卫星，另一方没有，双方接触时就会呈现出碾压的局面。

　　基于实战、用于实战

　　Gartner在本次报告的每个赛道描述中都写了“阻碍要素”部分，也就是这项技术发展的风险点，其中就包含了ASM的“阻碍”重要集中在商务方面，而非技术替代、缺乏标准、消耗资源等。

　　事实上，Gartner非常了解攻击面管理的价值以及其在国内的发展情况。例如Gartner的分析师在ASM的驱动因素第一条就直接指明了国内已经持续多年举办的“攻防演习”，即HVV。回想每次活动中，无论红队（攻击方）、蓝队（防守方）电脑屏幕上清一色的FOFA，正是国内使用最多的网络资产搜索引擎，这一工具在攻防演练中发挥的作用就是发现资产。

　　图 FOFA页面

　　熟悉网络安全行业的读者朋友们肯定也知道，国内网络空间测绘、攻击面管理、资产安全这一大类技术与产品的兴起正是伴随着全国范围的攻防演练，大家可以回想一下有多少单位是演习中被打崩，随后没多久就上了相关解决方案。

　　在本次报告中的“典型厂商”里列举了三家，分别是华顺信安、零零信安、华云安，前文提到的工具FOFA就是华顺信安的产品。与国内奇安信、360相比，这三家明显体量偏小，这也符合Gartner在ASM赛道“阻碍要素”的综述，短期内ASM一定不是最赚钱的赛道，不能独立解决安全问题让市场教育难度较高，产品技术仍处于初期需要对“元数据”进一步打磨分析...这些要素叠加在一起让重视投产比的安全大厂不会投入大量资源研发这项技术，而ASM的准确性、全面性需要长期积累，并直接关联产品的可用性。

　　这样的情况也为专注这一领域的厂商留足了发展空间，可以和市场共同发展，而不用过于担心被行业里的大厂“资源碾压”，从而更加专注产品技术和实战场景。

　　经过笔者对上述三家企业公开信息的分析，发现目前ASM类产品（CAASM/EASM）的主要客户为政府单位、关基单位、大型国企等。

　　这些客户的共同点是，按规定需要参加年度攻防演练，且对网络安全有极高要求。

　　以积累，战未来

　　Gartner报告中提出了“当前的ASM解决方案提供IT环境中的功能，但不完全支持网络物理系统（CPS），如物联网（IoT）和操作技术（OT）。”而“建议”部分也提示用户要关注购买的解决方案支持识别哪些物联网设备、操作系统等。

　　这也就牵出了关于ASM的另一个关键点“指纹库”。

　　无论是华顺信安的FOFA、FOBrain，还是零零信安的00SEC系列产品，能够对攻击面进行管理的基础是资产识别，更进一步说是“规则”或称“资产指纹”。

　　而指纹库的丰富程度则直接关乎扫出来的资产是否准确全面，目前，但凡涉猎这一领域的厂商都会讲自己拥有十几万、几十万条指纹规则覆盖主流资产，不能说数量大没用，但随着ASM价值的普及，具有行业、领域特征或独有的资产才是更有价值的安全数据，例如医院和工厂即便使用的是同一款终端，其系统资产也天差地别，这些长期趴在一线积累的资产指纹将会拉开厂商间的差异。

　　总结

　　ASM在国内安全圈已经拥有了一定的关注度，但其未来的发展仍有巨大的想象空间，只要网络空间中没有诞生一劳永逸的安全方案，能够给防守方提供攻击者视角的ASM价值就不会存在替代风险。

　　眼下，国内政府单位、国企、关基单位安全部门极为重视ASM、网络空间测绘等技术领域，其根本原因在于全球网络空间安全形势的恶化。究竟ASM市场未来会并入其他赛道，或者是以完全不同于其他安全资产的新品类面世，值得我们拭目以待！