什么是 CAASM？

网络资产攻击面管理 (CAASM) 是一种主动识别、管理和缩小网络攻击面的方法。CAASM 提供对本地、云和第三方环境等所有资产的统一可见性。

CAASM（网络资产攻击面管理）可以帮助安全团队盘点和关联来自多个来源的数据，从而更好地了解每个连接的资产和相关风险。

随着贵企业采用新技术并扩大其数字化足迹，其攻击面呈指数级增长，从而产生攻击者可利用的安全缺口和漏洞。

传统资产管理工具无法跨不同环境提供统一视图。通过 CAASM 统一资产可见性，您可以更有效地确定网络安全风险的优先级并主动修复风险。

CAASM 工具的核心作用是提供关于资产、风险和配置的所有已知数据的统一清单。

虽然有些工具可以使用被动或主动监控直接扫描攻击面，但大多数 CAASM 工具都通过 API 直接与现有工具集成，以汇总资产信息。

常用数据源包括 IT 资产管理、配置管理数据库 (CMDB)、网络发现、漏洞评估、外部攻击面管理 (EASM)、端点检测和响应 (EDR)、扩展检测和响应 (XDR)、云安全、安全信息和事件管理 (SIEM)、运营技术 (OT) 安全、身份和访问管理、软件成分分析和 DevOps 等。

CAASM 从各种来源收集资产信息，并将其存储在中央大数据池中进行分析。 

随后，系统会对来自不同工具的资产信息进行合理化和规范化处理，以消除重复数据、统一信息格式，从而形成一致的资产视图。

它还对冗余或冲突条目进行合理化处理，例如不同工具中同一设备的不同名称。

接着，CAASM 会为资产信息添加来自不同工具的上下文，以提供更深入的洞察，例如某资产的所有已知风险详情，包括漏洞、错误配置、过度权限、资产所有者和使用情况、合规状态以及资产关系资产关系的示例包括资产之间的连接、与资产关联的虚拟资源和工作负载，以及资产与身份的关系，如资产的用户。

CAASM 工具可对整个攻击面的风险进行评估和规范化处理，从而确定优先级。

风险优先级分析通常会考虑几个重要变量，包括基于优先级或行业标准评分的风险严重性，如通用漏洞评分系统 (CVSS)，这是一种用于衡量漏洞严重性的定性指标。

风险可利用性通过考虑漏洞是否有可用攻击代码以及资产是否可从互联网访问等因素来影响漏洞优先级。

资产重要性侧重于考虑资产的作用，例如业务或实质性影响，如中断关键业务服务、流程或功能的可能性。 

由于大多数工具都提供独特的风险评分，CAASM 工具通常会根据选项提供自己的评分或标准评分，以便对风险进行一致的评分和优先级分析。

通过不断更新，CAASM 工具可以检测到新资产、配置更改或新出现的漏洞，从而一直将攻击面的视图保持在最新状态，并在风险更改导致事件发生之前将其识别出来。

您可以执行简单或复杂的查询，以识别模式或执行常规网络安全机制。集成功能支持简化工作流，例如为修复任务开具工单、通过电子邮件发送报告或发出警报。

CAASM 工具通常面向多种受众，从 IT 和合规团队到安全从业者和企业高管，不一而足。

仪表盘和报告可提供对资产清单、风险趋势和长期进展、合规态势以及其他关键绩效指标 (KPI) 的洞察。

跨部门的统一资产洞察可促进不同的团队更好地协作、决策和投资。

• 对整个攻击面的持续资产可见性，包括影子 IT、非托管设备和第三方资产
• 对来自多种安全和 IT 工具的数据进行汇总和规范化，以创建统一的资产和关联风险清单
• 执行风险评估以确定与每项资产相关的漏洞、配置错误和暴露风险点，从而确定风险等级
• 漏洞优先级分析功能以及与修复工作流的集成。
• 持续监控和更新您的攻击面清单，以动态反映变化并揭示新风险

• 确保对所有网络资产的全面可见性，包括 IT、OT、IoT、云、身份、应用程序、虚拟机、容器和 Kubernetes。
• 通过主动汇总与资产相关的所有已知风险信息，并对不同来源的风险评分进行规范化处理，从而提升风险评估能力。
• 通过提供 IT、合规和安全团队的资产信息的一致视图，促进更好地协作，加强互信。
• 通过集成和自动实施安全和 IT 工作流，如开具工单和提供建议的修复步骤，简化修复流程。
• 通过不断发现资产和风险，减少人工和定期审计资产信息造成的错误和延误。
• 通过提供与法规和基准保持一致的开箱即用报告，加快跨域合规性报告并进行标准化处理。
• 提供技术和业务背景，以便更好地优先处理可能对企业产生重大影响的风险。

Gartner 将 Continuous Threat Exposure Management (CTEM) 定义为“一套流程和能力，使企业能够持续、一致地评估企业数字化和物理资产的可访问性、暴露风险和可利用性”。

CTEM 流程包含五个步骤：范围界定、发现、优先级分析、验证和动员。在 CTEM 模型的所有五个步骤中，CAASM 都发挥着关键作用。 

将 CAASM 与 CTEM 集成，可为您提供持续、实时的可见性和高效的风险管理，从而主动管理攻击面，降低整体暴露于威胁的风险。

实施网络资产攻击面管理解决方案的五个步骤：

1. 确定企业要实现的目标，如减少盲点或改进风险优先级分析。
2. 评估网络安全工具，确保提供与现有 IT 和安全堆栈无缝集成的全面资产可见性。
3. 将初期工作的重点放在资产和关键业务系统或之前被忽视的风险上。
4. 创建发现、关联和修复的工作流，利用 CAASM 为现有流程和系统增值。
5. 使用风险降低、平均修复时间 (MTTR) 和可见性改善等指标来跟踪进展。

将 CAASM 纳入安全计划实施和运作可显著提升可见性和风险管理水平。然而，由于 CAASM 部署需要广泛的团队、工具和工作流的参与，因此可能会出现减缓或阻碍成功实施的挑战。例如：

• CAASM 依靠与各种工具的整合来提供统一的视图，但不完整或不一致的数据会限制其有效性。
• 确保兼容性、配置 API 和管理跨工具的身份验证既费时技术难度又大。
• 在多个环境（本地、云、混合）中分布着成千上万资产的大型企业可能会面临扩展性挑战。
• 影子 IT 导致的资产标记不准确、信息过期或不完整的清单，都会削弱洞察的可靠性，或造成可见性缺口。
• 许多组织缺乏足够的安全人员或技能来配置和维护 CAASM。
• 利益相关者（如拥有资产管理工具或 CMDB 的 IT 团队）可能对 CAASM 的采用、数据共享或工作流更改持抵触态度

要有效实施和运作 CAASM 需要周密规划和专注执行。这里有一些最佳做法可以提供帮助：

1. 简化实施，通过提早规划来实现。识别关键工具及其 API 的可用性与兼容性，映射工具间数据流，并优先集成可为利益相关者带来快速价值的模块。
2. 提升数据质量，方法是定期审计数据的完整性和准确性，规范化并识别重复或冲突的数据，清理集成系统中的数据，并定义流程和所有者，持续将数据保持在高质量状态。
3. 从几个高影响力用例着手，选择直接解决企业优先事项，如改善合规性或减少攻击面。定义量化和证明成功的指标，如已识别和修复的风险数量。
4. 获得利益相关者的支持，以便成功采用。尽早让团队参与进来。向他们介绍 CAASM 的益处，分享快速获胜的经验，以建立信任和信心。
5. 投资于自动化以简化流程，实现数据聚合、自动化工作流（如 IT 平台中的工单生成），并为严重风险设置警报，以确保更快、更一致的响应。
6. 利用报告功能。创建自定义仪表盘，监控长期趋势，并根据合规要求调整报告。为领导层和利益相关者提供可操作的洞察并展示可衡量的价值。

CAASM 专注于内部资产，并整合环境内部的数据。外部攻击面管理 (EASM) 则针对攻击者可见的外部资产。

EASM 从外部视角识别暴露的服务、配置错误和影子 IT 等风险，这与 CAASM 的内部视角相辅相成。两者相结合，让您全面了解整个攻击面及其风险。

CAASM 工具为关键利益相关者提供专门针对其独特职责量身打造的可操作洞察。

首席信息安全官 (CISO)
CAASM 为 CISO 提供统一的资产清单风险优先级和网络资产的完整可见性。有了这些数据，CISO 可以将资源集中用于应对最严重的安全风险，从而加强其战略决策过程。

安全运营（SecOps）团队
CAASM 通过实时资产和风险上下文简化漏洞管理并加快事件响应速度。CAASM 解决方案使 SecOps 能够通过优化的威胁响应，更快地修复漏洞。

合规官
通过验证和监控法规合规性，CAASM 可以简化合规流程并降低处罚风险。通过自动报告功能，您可以建立审计信心，即刻获得最新的合规洞察。

IT 运营经理
CAASM 支持对 MFA 和加密等安全控制措施进行持续监控，确保在所有系统中一致实施这些控制措施。 该解决方案还能最大限度地降低配置错误造成的运营风险，并加强整体 IT 安全管理。

云架构师
CAASM 可识别影子 IT 和配置错误的云资产，为动态云环境中未受管理的资源提供洞察。您可以利用这些信息更有效地减少攻击者的攻击面，确保云部署遵守企业策略和安全最佳实践。

风险管理官
CAASM 可以评估供应链风险，如供应商评估，以减少漏洞暴露风险，确保合作伙伴的安全和合规实践符合贵企业的标准和其他要求。

并购 (M&A) 负责人
CAASM 支持对新并购实体进行快速网络安全风险识别和评估。通过在集成前处理漏洞或不合规资产，可以确保整个并购流程的安全无虞。

DevOps 工程师
通过集成到 CI/CD 管道中，CAASM 可监控应用程序的漏洞和配置错误，以实现安全的应用程序部署，同时保持 DevOps 工作流的敏捷性。

通过将 CAASM 功能与各职责的特定需求相匹配，您可以促进协作，并确保采用主动方法方式管理其网络攻击面。

查看 Tenable 的其他 CAASM 资源和产品，进一步了解网络资产攻击面管理及其如何帮助识别、优先处理和消除网络暴露风险。