長期以來，我們一直強調要做好網絡安全建設，而其中的第一步就是要做好對自身資產的發(fā)現(xiàn)和清點，正如大家經常所說的那句話——“你無法保護你看不見的東西”。的確，如果不知道自己擁有什么資產，那么如何去了解與它們相關的風險狀況？還拿什么去談要做好風險管理呢？

　　在安全建設過程中，大家經常會強調要防住某一類攻擊，通過置入大量安全設備的方式去進行防護，并認為這就夠了，但如果這是建立在我們不清楚自身資產的情況，那只能說這些投入中有很多可能都會是浪費。因此，在我們看來，企業(yè)在進行安全建設時的第一件事就是要回歸到一個最基本的問題上，那就是要通過提高對資產的可見性，這也是構建良好風險管理能力的基礎。

　　以當前企業(yè)用戶最為頭疼的勒索軟件攻擊為例，由于此類攻擊是以一種可集合各種攻擊方式的方法去入侵受害者的網絡，從而單純的某種防護方式很難對其進行防御，迄今也沒有一個單一化的方式可以有效緩解此類威脅，考慮到它終歸還是要通過企業(yè)的某個資產引入到網絡環(huán)境之中，這意味著如可以在資產可見性方面做的比較到位，輔以其他安全設備的持續(xù)監(jiān)控，能夠在其入侵時予以告警，那么至少我們還是有機會去做好響應工作，以降低甚至規(guī)避風險發(fā)生的可能。這里需要注意的是，這種可能性是建立在企業(yè)對自身所有資產了如指掌并進行全面監(jiān)控的情況之下，兩者可謂缺一不可，如果缺少了前者，那么安全設備部署的再多也是徒然，對這一點不要抱有偶然心態(tài)，畢竟攻擊者從你看不見的地方發(fā)動入侵的概率仍然存在，更何況現(xiàn)實已經無數(shù)次的證明，這沒什么不可能的。

　　此外，社會工程也是很多企業(yè)要面臨的重要問題之一，以金融行業(yè)為例，其中的大型公司員工數(shù)量動輒數(shù)千人，相信其中絕大多數(shù)人都會以一個相對簡單的操作方式連接到組織的網絡。這些人在攻擊者眼中，其實都是發(fā)起攻擊的跳板。此前，我國攻擊面管理領域企業(yè)——云科安信的CEO金飛在參與我們安全419《暢聊安全》節(jié)目時曾表示，現(xiàn)在的網絡攻擊之所以犀利，是在于它攻擊的目標開始多元化，以往可能只會對數(shù)字資產進行有針對性地攻擊，現(xiàn)在則還會將使用數(shù)字資產的人也同樣作為攻擊目標，并且將其作為一個非常重要的切入點。在他看來，數(shù)字資產中出現(xiàn)漏洞、風險的頻率雖然不會比人更高，但人也許會成為放大劑、催化劑。

　　”假設有1條攻擊路徑被確認，后面有1萬個人在使用這條攻擊路徑，那么對我們而言，它不是1條攻擊路徑，而是1萬條。“

　　需要指出的是，盡管這里強調的是人，但也是建立在是和資產相關聯(lián)的前提下，在資產未知的情況下，又談何將人與資產相關聯(lián)？如此一來安全定然難以得到全面保障。

　　事實上，在數(shù)字化進程的推進之下，絕大多數(shù)行業(yè)在擁抱數(shù)字化的同時也會面對新的風險，而在這之中所產生的數(shù)字資產如果不能得到充分的保護，那么對于企業(yè)的發(fā)展和安全都會帶來挑戰(zhàn)。尤其是關鍵基礎設施領域，IT和OT通常都會是以同時運行的方式存在，但和以往它們普遍在各自獨立的環(huán)境下運行不同，當前兩者的環(huán)境已在不斷融合，這就帶來了一個問題——攻擊面因此而大幅擴張，也意味著OT系統(tǒng)面臨和IT相同的安全威脅，但相比之下更糟糕的是，傳統(tǒng)的OT系統(tǒng)在設計時對于這種安全威脅的考慮大多并不充分。

　　由此可見，在網絡安全領域，做到識別盡可能多甚至是所有資產，才能為整體網絡安全戰(zhàn)略提供有力支撐，由此我們也可以看出，資產的風險因素不僅是資產管理的組成部分，同時也是網絡安全的重要組成部分。

　　當前，我國在資產發(fā)現(xiàn)及風險管理相關領域已經有不少廠商推出了相關產品和解決方案，安全419在這里遴選出其中一些能力較強的成熟產品以供參考：

　　知道創(chuàng)宇：ZoomEye Pro 網絡空間資產安全管理系統(tǒng)

　　ZoomEye的名字在該領域可謂廣為人知，該系統(tǒng)采用主動探測的方式，對網絡空間資產進行發(fā)現(xiàn)及詳細信息的分析收集，同時兼具被動探測功能及云端查詢功能。全面收集企業(yè)內網和暴露在互聯(lián)網的資產，統(tǒng)一管理。同時，該系統(tǒng)還兼具網絡空間資產自動分類功能，將網絡空間資產進行了12大類、142個二級分類標準劃分，并依據(jù)此標準對所需管理的資產，依據(jù)既定規(guī)則，進行自動分類，此外，系統(tǒng)還支持基于各種維度的報告報表導出，為管理者管理決策提供數(shù)據(jù)支撐。

　　華順信安：FOEYE-網絡資產測繪及風險分析系統(tǒng)

　　該系統(tǒng)與同為華順信安推出的FOFA-網絡空間資產搜索引擎、FOASP-網絡空間測繪及風險治理平臺等多個產品構成了針對資產風險的完整解決方案，據(jù)了解，該系統(tǒng)基于全生命周期的安全資產監(jiān)控，從披露資產開始，持續(xù)監(jiān)控資產變化，實時獲取資產情報，對資產掃描漏洞發(fā)現(xiàn)、分析、修復和審核過程進行持續(xù)跟蹤，對企業(yè)資產數(shù)據(jù)進行統(tǒng)一處理、分析，形成完善的信息資產管理體系，實現(xiàn)對資產情況的實時監(jiān)控和企業(yè)資產的高效管理。

　　盛邦安全：RaySpace 網絡空間資產探測系統(tǒng)

　　該系統(tǒng)是盛邦安全自主研發(fā)的一款集資產普查、風險探測、風險管理于一體的綜合資產探測與詳情展示系統(tǒng)，結合漏洞發(fā)現(xiàn)檢測技術和數(shù)據(jù)情報分析技術，可以實現(xiàn)對網絡空間的IPv4、IPv6及域名資產存活狀態(tài)的快速探測，具備針對全網各類資產的精準發(fā)現(xiàn)、精準識別、精準威脅檢測能力。RaySpace以存活探測、指紋檢測、PoC檢測三大高性能檢測引擎為基礎，依托資產指紋庫、CVE漏洞庫、PoC規(guī)則庫等豐富的資源庫，實現(xiàn)對網絡空間資產的準確識別、發(fā)現(xiàn)與安全檢測，從而掌握網絡空間資產安全風險態(tài)勢，提升資產安全治理水平。

　　此外，當前火熱的攻擊面管理概念本身也對資產發(fā)現(xiàn)提出了更高的要求，如果資產發(fā)現(xiàn)能力弱，那么攻擊面管理所覆蓋的數(shù)字資產范圍或邊界就會有不足，還談和從攻擊者的視角去發(fā)現(xiàn)風險，事實上，攻擊面管理的能力是與資產的發(fā)現(xiàn)能力有著強相關，因此國內一些攻擊面管理領域的優(yōu)秀產品、解決方案也同樣值得關注，這里我們也遴選出部分成熟產品以供參考：

　　華云安：Ai·Vul 靈洞·網絡資產攻擊面管理平臺

　　該平臺將企業(yè)網絡空間攻擊面管理過程中的攻擊者視角信息和防御者視角信息，通過安全分析引擎、數(shù)據(jù)分析引擎進行統(tǒng)一整合，讓用戶先于攻擊者了解數(shù)字化攻擊手段和攻擊路徑，并采取針對性措施進行響應，幫助企業(yè)降低被攻擊的可能性，保障數(shù)字業(yè)務安全。在資產風險管理方面，靈洞能夠提供更為全面的資產分類，對比內外視角分析資產安全情況，支持網格化管理模式，靈活進行數(shù)字資產管理。目前靈洞可覆蓋的資產涵蓋主機資產、WEB資產、IoT資產、容器集群資產的4大類信息資產，以及對應如API、數(shù)字暴露面等多種數(shù)字資產，并通過支持知識圖譜技術對無主資產、僵尸資產、影子資產等資產進行標記和可視化呈現(xiàn)。

　　云科安信：白澤攻擊面管理平臺

　　該平臺能夠完全自動化地幫助用戶發(fā)現(xiàn)和梳理資產暴露面的情況，將包括域名、IP地址、端口情況，web應用、中間件、數(shù)據(jù)庫、組件、指紋等等這些跟目標系統(tǒng)相關的信息詳細地展現(xiàn)在用戶眼中。在梳理完用戶全部暴露在外的資產和攻擊面后，白澤平臺還會從應用的視角、關聯(lián)關系的視角、端口數(shù)據(jù)的視角將不同資產之間的關聯(lián)關系進行展示，幫助用戶了解到未知的資產暴露情況?？傮w而言，該平臺可持續(xù)以攻擊者視角對其資產進行持續(xù)發(fā)現(xiàn)、清點、分類、優(yōu)先級排序和監(jiān)控，幫助客戶時刻洞察網絡空間資產風險，主動掌控資產動態(tài)，及時提出收斂資產暴露面的數(shù)據(jù)支撐，驗證暴露資產的漏洞可利用性，并形成關聯(lián)關系，從而幫助用戶構建起一套實戰(zhàn)化、自動化、智能化的攻擊面管理平臺。

　　零零信安：0.zone攻擊面管理系統(tǒng)

　　作為專注于外部攻擊面管理的企業(yè)，零零信安的做法則是從外入手，0.zone攻擊面管理系統(tǒng)通過一系列內置的數(shù)據(jù)探針，針對全球網絡，以及數(shù)千個威脅源進行持續(xù)檢測，每天以數(shù)千萬IT資產數(shù)據(jù)和數(shù)百萬情報項目添加到數(shù)據(jù)池中，并通過專有算法，將其進行關聯(lián)和整合，將數(shù)據(jù)池中數(shù)千萬的IT資產和數(shù)百萬情報項目，與組織架構、子公司、關聯(lián)組織等進行識別和映射，以保證全面和準確地發(fā)現(xiàn)企業(yè)未知資產，實時跟蹤企業(yè)攻擊面動態(tài)變化，維護資產列表，輔助企業(yè)安全管理人員收斂攻擊面。

更多信息可以來這里獲取==>>電子技術應用-AET<<