
一、从“资产不可见”到“攻击面失控”
在大量真实攻击事件中,一个反复出现的事实是:
攻击并非始于高难度 0day,而往往始于一个“没人知道还活着的资产”。
例如:
已下线系统遗留的二级域名
测试环境公网暴露
被遗忘的云主机
第三方外包临时搭建的业务页面
传统安全体系以边界防护、漏洞修复、告警响应为中心,但前提是:
👉 你必须先知道“它存在”。
这正是攻击面管理(Attack Surface Management, ASM)出现的根本原因。
二、ASM 概念回顾:CTEM、EASM 与 CAASM 的关系
1. CTEM:持续威胁暴露管理(方法论)
Gartner 在 2022 年提出 CTEM(Continuous Threat Exposure Management),强调安全应是一个持续闭环:
Scoping(确定资产与威胁范围)
Discovery(发现暴露面)
Prioritization(风险优先级)
Validation(攻击验证)
Mobilization(推动修复)
👉 ASM 是 CTEM 中“发现与评估”的核心执行能力。
2. EASM:从攻击者视角看企业
EASM(External ASM)关注的是:
互联网上,攻击者能看到你的什么?
包括:
公网 IP / 域名 / 子域
端口与服务暴露
Web 漏洞、组件漏洞
仿冒站点、钓鱼域名
信息泄露痕迹

3. CAASM:从内部视角看资产全貌
CAASM(Cyber Asset ASM)关注的是:
企业内部到底有哪些资产?它们状态如何?是否被保护?
通过整合:
CMDB
云平台
终端 / 主机 / 容器
身份与账号系统
安全设备数据
解决“资产分散、系统割裂、责任不清”的问题。

三、ASM 核心能力拆解(结合真实场景)
1. 资产发现:看见“未知的存在”
📌 案例 1:被遗忘的测试系统成为攻击入口
背景
某互联网企业在一次红蓝对抗中,被成功入侵。事后溯源发现,攻击入口并非生产系统,而是:
一个 三年前上线的测试系统
域名仍可访问
后端连接了真实数据库
长期无人维护
ASM 的价值体现
通过域名与证书关联,发现历史遗留子域
识别系统运行状态与暴露端口
标记为“影子资产 + 高风险”
👉 问题不在“漏洞多复杂”,而在“资产是否被看见”。
2. 资产关系拓线:攻击者不会只看一个点
攻击者往往通过:
DNS 解析关系
证书信息
邮箱、备案、IP 注册信息
一步步“顺藤摸瓜”。
📌 案例 2:从一个官网子域,拓出整条攻击链
背景
攻击者发现某企业官网的一个子域
通过证书 SAN 字段,发现多个隐藏子域
其中一个子域暴露了运维后台
ASM 的价值体现
自动进行资产关联拓线
构建企业资产关系图
提前暴露潜在攻击路径
3. 脆弱性与暴露风险识别
ASM 并非只做“资产盘点”,而是直接指向风险。
📌 案例 3:弱口令 + 高端口 = 真实入侵
背景
某企业运维端口开放在 30000+ 高端口
未被传统扫描器重点关注
但存在弱口令
ASM 能力
全端口暴露监测
弱口令模拟检测
风险优先级评定(资产重要性 + 可利用性)
👉 最终在攻击发生前完成整改。
4. 信息泄露与暗网监测
📌 案例 4:代码仓库泄露引发连锁风险
背景
开发人员误将配置文件提交至公开代码平台
包含 API Key 与内部地址
ASM 能力
持续监测 GitHub / Gitee / 论坛 / 网盘
发现敏感信息泄露
关联真实资产,评估可利用性
👉 不是“有没有泄露”,而是“泄露是否可被攻击利用”。
5. 风险优先级:不是所有漏洞都要立刻修
真实环境中,安全团队的痛点是:
漏洞修不完,但人力有限。
ASM 通过:
资产重要性
漏洞可利用性
是否暴露公网
是否已有攻击利用迹象
进行风险排序,帮助团队把精力用在“最该修的地方”。
四、ASM 从“发现问题”到“辅助防护”
部分成熟 ASM 产品,已进一步延伸到防护侧。
📌 案例 5:0day 爆发期的“时间差防御”
背景
某组件爆发高危 0day
官方补丁尚未发布
攻击已在野利用
ASM 联动能力
快速定位受影响资产
提供临时缓解策略
联动 WAF / 防护组件
在补丁前降低风险窗口
👉 ASM 正在成为“防御前置能力”。
五、ASM 的实践趋势
1. 从扫描工具 → 安全运营能力
ASM 不再是一次性扫描,而是:
持续监测
持续评估
持续收敛攻击面
2. 从“资产视角”走向“攻击路径视角”
未来 ASM 将更关注:
攻击路径模拟
风险链路可视化
与 XDR / SOAR 深度融合
六、结语:ASM 解决的不是“新问题”,而是“老问题”
攻击面管理并没有发明新的安全威胁,它解决的是一个长期被忽视的问题:
你无法防守你看不见的地方。
当攻击者已经具备:
自动化扫描
情报整合
快速利用能力
防守方也必须具备:
全量可见
持续发现
快速决策的能力
ASM,正是这一转变的基础能力。
参考:
攻击面管理 (ASM) 技术详解和实现:https://www.secrss.com/articles/40332
What is ASM?:https://www.ibm.com/cn-zh/think/topics/attack-surface-management