2023中国网络安全市场 攻击面管理产品用户调研报告 2023年3月 前 言 “攻击面管理”是2022年中国网络安全产业热度上升比较快的词，过 去从事网络资产管理与网络空间测绘、漏洞扫描与漏洞管理、威胁情报、 自动渗透测试工具产品研发的公司纷纷推出自己的攻击面管理产品，或给 自己打上“攻击面管理”的标签，攻击面管理市场热度快速上升。 面对供给端呈现起步即爆发的势头，需求端如何看待和理解攻击面管 理技术？产品在用户防线中的定位是什么？用户对产品的满意度如何？用 户对产品未来的预期是什么？为此，安在新媒体与数说安全联合开展了 2023中国网络安全市场攻击面管理产品用户调研活动，力争从甲方用户角 度出发，更全面、深入的分析攻击面管理市场现状与未来发展，为产业从 业者提供借鉴与参考。 2023年3月前言 01 攻击面管理市场概述 关键发现 攻击面管理的起源 攻击面是什么？ 攻击面管理是什么？ 攻击面管理解决的主要问题是什么？04 04 04 05 关键发现 06 被调研企业背景情况 企业所属行业 企业类型 企业安全管理团队规模07 07 08 企业自身IT与网络安全现状 企业IT资产分布 企业IT资产管理能力 企业未知资产发现能力 企业攻击面扩大的原因 企业管理攻击面的主要产品09 09 10 10 11 攻击面管理产品与用户需求的匹配度 企业实施攻击面管理的驱动力 企业关注攻击面管理产品的主要功能特性12 12攻击面管理产品用户实际使用情况 企业对现有CAASM产品的满意度 企业对现有EASM产品的满意度 企业对攻击面管理产品集成威胁情报的满意度 企业对攻击面管理产品与安全运营平台集成的满意度 企业认为现有攻击面管理产品的主要不足13 14 14 15 16 攻击面管理产品用户未来投入计划 企业采购攻击面管理产品的时间周期 企业建立攻击面管理体系的技术路线 企业购买攻击面管理产品的预算投入17 18 192023年3月攻击面管理市场概述 04 攻击面管理的起源 2018 年，Gartner 敦促安全领导者开始减少、监控和管理他们的攻击面，作为整 体网络安全风险管理计划的一部分，并且在2021年发布的《Hyper Cycle for Secu- rity Operations，2021》中将攻击面管理（ASM，Attack Surface Manage- ment)相关技术定义为新兴技术，这被大家公认为是“攻击面管理”这个名词做为一 种网络安全产品类别的起源。 攻击面是什么？ 美国国家标准与技术研究院（NIST）对攻击面的定义是：“位于系统、系统组件 或环境的边界上的一组入口，攻击者可以从这些入口尝试进入、产生影响或从中提取 数据。”（The set of points on the boundary of a system, a system ele- ment, or an environment where an attacker can try to enter, cause an effect on, or extract data from, that system, system element, or environ- ment.）。 攻击面管理是什么？ 不同机构对攻击面管理的定义略有区别，但大同小异。 IBM：攻击面管理 (ASM) 是对构成组织攻击面的网络安全漏洞和潜在攻击向量的 持续发现、分析、修复和监控。 Michael Cobb：攻击面管理是对组织的 IT 基础设施的持续发现、清点、分类和 监控。 Cycongnito：攻击面管理是发现、分类和评估组织所有资产安全性的持续过程。 CrowdStrike：攻击面管理是对组织 IT 基础架构内的攻击媒介进行持续发现、监 控、评估、优先排序和补救。 Mandiant：在当今的动态、分布式和共享环境中发现和分析互联网资产，持续 监控已发现资产的风险敞口，并使情报和红队能够实施风险管理并为风险管理提供信 息。攻击面管理市场概述2023年3月攻击面管理市场概述 05 攻击面管理解决的主要问题是什么？ 帮助防御者发现自己的盲区：由于思维方式和所拥有的技术技能的不同，攻击 者与防御者往往会存在视角上的重大不同，人不可能对自己认知范围之外的事情做出 有效应对，引入攻击者视角，将会很大程度上帮助防御者发现自己所忽略的，或视野 之外的安全威胁。 帮助防御者合理排定工作的优先级：防御者的工作是纷繁复杂的，所拥有的资 源也是有限的，需要对防御工作进行优先级排定、做出取舍与折衷，攻击者视角可以 帮助防御者有针对性的防御，提高资源利用效率。Palo Alto Networks：攻击面管理 (ASM) 是持续识别、监控和管理所有内部和 外部互联网连接资产以发现潜在攻击向量、暴露和风险的过程。 国内的赛迪顾问在《中国攻击面管理市场研究报告，2022》中将攻击面管理定义 为：攻击面管理是一种从攻击者的角度对企业数字资产攻击面进行检测发现、分析研 判、情报预警、响应处置和持续监控的资产安全性管理方法。 数说安全综合以上各方的定义，结合对攻击面管理工作的要点，对攻击面管理的 定义为：攻击面管理 (ASM) 是持续发现、分析、监控和评估内部和外部所有资产以 发现潜在暴露面、攻击向量和风险，并进行优先排序、响应处置的过程。2023年3月关键发现 06 关键发现 漏洞扫描、漏洞与补丁管理、网络资产管理仍是作为目前企业发现与管理自身 攻击面的最主要产品，采购专业CAASM和EASM产品的用户比例仅为11%和15%， 市场渗透率远低于传统安全产品。 不同于传统安全产品以合规导向为主，攻击面管理产品由技术与合规双轮驱动 ，现有能力无法持续监测攻击面的变化、符合监管或审计要求是目前企业实施攻击面 管理的两大最主要因素。 超过50%以上的企业认为IT资产管理和未知资产发现上存在不足，而认为满意 的企业比例仅为15%和11%，良好的资产发现与管理仍是企业目前亟待解决的核心 问题。 办公网、数据中心、公有云、私有云是企业IT资产分布最主要的区域，并且有 60%的企业认为目前攻击面扩大的首要原因是将数据和资产转移到云端，因此，未来 云上资产识别与管理将成为企业IT风险管理中新的关注重点。 全面的资产可见性与动态管理、漏洞发现与优先级管理，这两项能力，既是产 品功能层面用户最关注的两个主要特性，也是用户认为现有产品最主要的两个不足。 对于攻击面管理产品来说，94%的企业选择将预算投入控制在百万以内，而在 这部分企业中，有70%认为预算将不超过五十万。关键发现2023年3月被调研企业背景情况 07 企业所属行业 企业所属TOP3行业分别是：金融、互联网公司、商业企业与其它。被调研企业背景情况 21% 19% 15% 15% 11% 8% 5% 5% 2% 金融 互联网公司商业企业 其它 教育 能源 医疗 运营商 政府 企业类型 企业TOP3类型分别是：私营企业、央国企、外资企业。被调研企业所属行业 48% 29% 13% 8% 2% 私营企业 央国企 外资企业 事业单位 政府机构被调研企业类型