基于全网资产台账的一体化攻击面运营管理实践

安全村SecUN 07月12日 05:51

基于全网资产台账的一体化攻击面运营管理实践｜证券行业专刊3·安全村

山西证券通过统一监测内网与外网的资产和脆弱性，结合攻击面扩展情报的实时监测，构建全面立体的安全防御体系。文章介绍了从攻击面管理到攻击面运营的转变，强调持续、精细化的管理与改进。重点关注暴露面资产监测、数据泄露风险监测、运营策略的动态调整、内部运营闭环SOP制定，以及资产台账统一聚合与动态更新。文章还探讨了利用情报推动资产暴露面和攻击面治理，并分享了分阶段建设的经验和实践思考。

🛡️ **攻击面运营的核心转变**：文章强调攻击面运营，区别于传统的攻击面管理，在于其强调对攻击面的全面、持续和精细化管理与改进，涵盖暴露面与内网网络资产梳理、风险评估、威胁情报收集、安全事件处置等。这种运营模式更注重持续改进和甲方管理视角下的评估、沟通协同。

🌐 **内外网一体化监测**：文章介绍了山西证券如何通过统一监测内网与外网的资产和脆弱性，结合攻击面扩展情报的实时监测，构建全面立体的安全防御体系。这包括对已知资产、影子资产、数字资产、数据资产等进行常态化监测，并根据业务特征和分类进行划分。

⚙️ **暴露面运营策略与SOP**：文章详细介绍了暴露面运营策略的动态调整，包括定义安全风险监测对象和目标、安全基线的完整性、监测与处置的优先级等。同时，文章还强调了制定暴露面内部运营闭环SOP的重要性，以应对各类安全风险事件，例如高危端口的处理流程。

原创山西证券 2025-07-02 08:45 马来西亚

建立一个完善的攻击面管理体系是一个渐进的过程

一、前言

伴随数字化转型的深入，证券行业网络与信息安全所要应对的威胁和安全管理复杂性，出现很多新的挑战。过去多年的网络攻防实战中，以资产安全为核心的指导思想，得到充分验证和普遍重视。自2021年行业研究机构Garter在《安全运营技术成熟度曲线》中首次引入并定义“Attack Surface Management攻击面管理”的两个代表领域，行业逐渐从攻击面视角来分析研究围绕资产的安全运营管理，并成为热点方向。

然而，现有的攻击面管理工具大多侧重于外部攻击面，对内网的安全状况监测较为薄弱，无法提供全局性的风险管理视角。因此，实现内外一体化的攻击面管理显得尤为重要。

本文介绍山西证券通过统一监测内网与外网的资产和脆弱性，结合攻击面扩展情报的实时监测，建立更加全面和立体的安全防御体系。同时，将资产脆弱性分析引入攻击面管理的可视化体系，可更加直观、动态地掌握风险分布情况，从而提升风险感知能力和应急响应速度。

二、思路

调研攻击面管理解决方案，研究证券行业的典型网络攻击面特征和分布，确定攻击面运营管理的主次路径：持续监测暴露面，全面覆盖数字资产和数据资产风险，兼顾新型暴露面风险的治理。强化针对内网安全资产台账的采集和关键信息聚合，构建全网安全资产台账，并以此实现一体化的攻击面管理和治理。

三、主要内容

3.1从攻击面管理到攻击面运营

攻击面管理是一个技术理念，一个舶来物。Garnter侧重于漏洞扫描、风险评估和应急响应等方面，但往往缺乏持续性改进和精细化运营。而攻击面运营则强调对攻击面的全面、持续和精细化管理与改进，包括但不限于暴露面与内网网络资产的梳理、风险评估、威胁情报收集、安全事件处置等具体场景，更应囊括甲方管理视角下，如何评估评价、沟通协同。通过攻击面运营，企业能够更好地掌握攻击面的动态变化，及时发现并应对潜在威胁，确保企业资产的安全。

在攻击面运营的过程中，企业需要建立一套完善的运营流程，包括定期的安全检查、风险评估、漏洞修复、安全事件处置等。同时，还需要借助先进的技术手段，如人工智能、大数据分析等，提升运营效率和准确性。此外，跨部门的有效参与尤为重要，以确保企业全员都能够参与到攻击面运营中来，共同维护企业的网络安全。

综上所述，是甲方企业应对网络安全挑战的重要工具。通过全面识别、评估、监控和应对外部攻击面风险，企业能够提升自身的网络安全防护能力，确保业务的连续性和稳定性。

3.2常态化监测暴露面各类资产，定义安全基线，主抓收敛关键要素

按照业务特征和分类，对暴露面资产监测划分为：已知资产、影子资产、数字资产、数据资产，以及数字媒体账号、数字标记等特殊资产的识别。这其中，针对已知资产监测结果，定期与应用运维管理部门同步应用、域名、IP、端口、登录入口、API、URL等基本台账信息和暴露特征，及时发现下线的应用或需要关停的端口，以及不符合安全要求或未被WAF防护的应用路径。

重点关注影子资产的监测与定位，协调内部核实定位，通告处理，规范云上资源申请、第三方业务合作风险约束条款等。

由于商业组织关系，监测能力需要覆盖公司控股子公司的暴露面风险，通过外部攻击面管理平台的组织暴露监测能力，定期监测子公司的暴露面资产动态，包括域名、ICP备案等关键要素。

由于应用形态和管理场景差异，在内部规范数字类资产的全生命周期管理，针对小程序、公众号、服务号、App等数字形态资产建立统一管理台账和安全基线，利用外部攻击面管理平台周期性监测，重点关注状态变化，并在内部落实协同管理责任，以及合规和安全要求。

3.3数据泄露风险监测

从安全运营视角出发，利用外部攻击面管理平台不仅可以监测开源社区、网盘或文库等渠道发生的敏感泄露，还可以基于数据安全合规性要求，及时发现与数据安全原则相悖的泄露事件。

3.4暴露面运营策略的动态调整

定义安全风险监测对象和目标并不困难，难点在于暴露面安全基线的完整性，监测与处置的优先级，策略的稳定和灵活兼顾等。通过将风险监测与预警、处置联动，组织定期审核安全基线的有效性，由服务商运营人员或我方专职人员动态调整外部攻击面监测平台的任务、监测策略、风险和处置标记等内容。

3.5制定暴露面内部运营闭环SOP

运营，是面向场景的，面向具体过程的，需要有明确的目标方向，做到有的放矢，以终为始。在面临各类安全风险事件时，应建立对应的闭环处置SOP，以出现高危端口为例。

SOP名称

易危IT资产处置流程

事件类别

互联网风险

事件小类

易危IT资产处置流程风险

误报率

低

事件解释

运维人员有意或无意在出口设备上放通了敏感业务访问策略，或者是业务人员未经安全核查或防护覆盖随意申请敏感业务的访问策略，可能被恶意人员利用攻击。需要协同关闭处理，以规避风险。

标准动作

关联岗位角色

互联网风险运营人员、运维岗、业务岗、研发岗。

运营责任与运营动作

每天查看互联网新增IP资产、域名资产、端口变动邮件或通知进行闭环处置。

跟踪以往易危IT资产处置情况。

双周进行归因分析，主要原因为哪些，往上呈报。

具体过程及注意事项

1、核实分析资产承载的业务类型并与业务部门核实使用情况。

1）如与登记用途不符或私自上线的资产48小时内给予整改或关闭；

2）如资产未防护48小时内给予防护覆盖或关闭；

3）如非业务系统48小时内给予关闭或访问限制；

4）如遇到以上三种情况资产责任方表示依然需要开放，运营同事与运维同事必须让业务、研发同事发邮件发送至互联网风险运营人员、运维人员及自身业务上级确认，邮件留底，安全运营人员在《易危IT资产例外表》中增加记录，调整告警策略，以后不告警，case结束。

2、将处置过程，记录在安全运营日报-易危IT资产处置部分。

常见原因

1、防火墙策略数量庞大，历史策略多，不敢乱删。于是加了比较宽松的策略，导致额外放通。

2、运维人员图便利，自行开放。

3、业务、研发人员为方便调试或外部合作数据测试，临时放通，没及时清理，或未授权放通。

通过标准的安全运营SOP，将把内部安全操作流程规范化、体系化，在组织和风险持续变化中不断优化，提升安全的治理能力。

3.6资产台账统一聚合与动态更新

暴露面资产的安全运营管理，最终落实为内网相关区域的IT应用管理、运维和安全管理等场景，我们同时在内网部署攻击面管理平台，通过接口采集整合CMDB、堡垒机等第三方资产台账，以及整合漏洞扫描与风险检测结果，并调度所有漏洞风险检测工具，实现一套平台完成资产采集-风险检测-定期核查。

通过更新重要的内外网应用映射关系，并同步暴露面资产的关键数据，在平台上实现重要资产台账、关键信息、漏洞、脆弱性等监测与治理对象的统一。

3.7利用情报推动资产暴露面和攻击面治理

这属于老生常谈的话题，在实践过程中，除了推动内部关注1Day情报和排查闭环，还利用漏洞情报响应过程，收集关键业务应用的资产信息，例如常用组件、供应链特征等。同时，亦要标定易危资产。何为易危资产？站在攻击者视角审视暴露面，哪些对于攻防价值比较高的资产，或者经常爆发高危漏洞的暴露面应用。比如VPN、OA、开发框架struts、shiro等等，需要基于情报进行高频碰撞，时刻关注暴露面的异动情况。

3.8阶段建设与深化

以成熟度来思考，分阶段补齐能力、场景属性和数据，大致以以下阶段推动建设和运营工作深化。

第一阶段：资产收集。这一阶段的核心目标是全面摸清资产家底，夯实基础。主要开展以下工作：

（1）人工台账建设

梳理现有的资产管理系统、工具和数据源

整合现有

CMDB

、漏扫、堡垒机等资产数据

建立基础的资产分类分级标准

形成全面的资产底座视图

（2）适配器对接

研发标准化的数据采集适配器

与主流

资产系统对接

实现资产数据的自动化采集

建立资产数据更新机制

（3）全量测绘

部署内网资产扫描探针

开展周期性的资产探测

发现未纳管的资产

补充完善资产台账

第二阶段：资产管理。在基础夯实的前提下，这一阶段重点提升资产管理的规范性和完整性：

（1）补充属性

完善资产基础信息

补充业务属性标签

添加安全属性标记

建立多维资产画像

（2）全生命周期管理

规范资产变更流程

实现资产状态跟踪

建立资产退役机制

保障数据时效性

（3）数据质量管理

制定数据质量标准

开展数据清洗修正

建立数据校验机制

保障资产数据准确性

第三阶段：资产运营（Operation阶段）。这是资产管理的最高阶段，实现资产安全的持续运营：

（1）覆盖度管理

建立覆盖度评估模型

开展定期覆盖度检查

识别防护盲区和短板

持续提升覆盖深度

（2）高危资产监控

建立高危资产评级标准

实施重点资产监控

开展风险评估预警

做好风险防范处置

（3）内外网资产关联

建立资产映射关系

打通内外网数据壁垒

实现全局资产视图

提升整体防护能力

（4）情报监控

建立威胁情报订阅机制

关注资产相关漏洞情报

开展情报分析研判

及时预警和响应

通过这三个阶段的建设，我们逐步构建起一个“资产可见、风险可控、持续运营”的攻击面管理体系。每个阶段都是前一阶段的深化和扩展，通过不断积累和演进，最终达到资产安全管理的理想状态。同时要注意的是，这个过程并非简单的线性发展，而是螺旋式上升的过程，需要在实践中不断优化和调整，持续提升攻击面管理的深度和广度。

整个建设过程中，我们始终坚持“以终为始”的原则，在每个阶段都要着眼于最终目标，做好统筹规划，既要解决当前问题，又要为未来发展预留空间。通过这种渐进式的建设方案，我们既保证了项目的可实施性，又确保了最终目标的达成。

四、实践思考

4.1项目建设的启示

4.1.1攻击面管理是个系统工程

围绕资产台账开展的攻击面治理工作，就像在现有IT架构基础上进行“搭积木”。这个过程让我们深刻认识到这是一项复杂的系统工程：

统筹全局很关键。需要安全、运维、开发、业务等多个部门通力配合，形成合力。我们通过建立攻击面管理工作组，明确职责分工，定期沟通协调，有效推进了项目建设。

多维度建设缺一不可。除了部署工具平台外，还需要建立管理制度、优化工作流程、提升人员能力。我们在项目中注重技术、管理、运营三位一体的综合建设。

投入产出要权衡。在资源有限的情况下，需要合理分配投入，把握轻重缓急。我们采取分批建设、分步实施的策略，取得了较好的效果。

4.1.2内外网场景差异显著

实践过程中，我们清晰地认识到内外网在安全建设方面存在巨大差异：

目标差异：外网以暴露面收敛为主，强调快速发现和处置风险。内网更注重资产精细化管控，需要长期的过程管理。

时间维度：外网威胁紧迫，需要快速响应。内网建设相对可控，但需要持续投入。

资源投入：外网投入较为集中，见效较快。内网需要长期持续投入，投资回报周期较长。

4.2关键成功因素

分阶段建设至关重要。我们的建设遵循“由易到难、由简到繁”的原则：初期聚焦快速见效，解决明显风险问题，建立基础管理框架，获得各方支持。实践表明这种策略极大地调动了参与各方的积极性。中期夯实管理基础完善制度体系，优化工作流程，提升人员能力。通过制度化建设保障工作持续有效开展。后期实现精细运营，建立运营机制，强化数据分析，持续改进提升。最终达到攻击面管理的成熟阶段。

4.3展望未来

从技术演进方向来看，人工智能的深化应用，在资产发现、风险感知、威胁分析等方面引入AI技术，将大大提升工作效率和准确性。同时提升自动化水平，降低人工操作，实现工具平台的协同联动。

总的来说，建立一个完善的攻击面管理体系是一个渐进的过程。我们需要通过持续的积累和改进，在技术、管理、运营等多个维度协同发力，最终实现资产安全的精细化管理目标。这个过程中既要保持战略定力，也要有策略上的灵活性，不断适应新的挑战。我们相信，只要方向正确、思路清晰、脚踏实地，就一定能够建成一个高效、可靠的攻击面管理体系。

作者介绍

徐渊、薛志勇，山西证券股份有限公司。山证安全团队在历年山西省攻防演习中分别担任防守方、攻击方和裁判员，获得最佳防守个人和最佳防守团队等多项荣誉，在常态化应对和处置网络安全事件中积累了宝贵的实战经验，期待与各位专家在《安全村》纵论网络安全技术，共同进步。

关于安全村文集·证券行业专刊

证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案，为大家分享一线安全规划、运营、建设的心得和实践经验。