据介绍，《中国攻击面管理市场白皮书》是国内网络安全领域首份就攻击面管理方向发布的白皮书。内容方面，白皮书剖析了中国攻击面管理技术发展现状，分享了攻击面管理领域的创新技术和典型应用场景，并对攻击面管理未来发展趋势进行预测。

白皮书指出，攻击面管理（ASM）是一种从攻击者视角对企业数字资产攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全性管理方法，其最大特性就是以外部攻击者视角来审视企业所有资产可被利用的攻击可能性，而这里的所有资产包含已知资产、未知资产、数字品牌、泄露数据等等一系列可存在被利用的风险的资产内容。

攻击面管理，最早由国际知名咨询机构Gartner于2018年首次提出。在2021年7月，Gartner将攻击面管理相关技术定义为网络安全运营技术中的新兴技术。Gartner认为攻击面管理由网络资产攻击面管理（CAASM）、外部攻击面管理（EASM）以及数字风险保护（DRPS）三部分组成。赛迪顾问本次发布的白皮书基于应用场景的维度，将攻击面管理分为外部视角的攻击面管理和内部视角的攻击面管理，数字风险保护依据其外延与内核归属为外部视角的攻击面管理。

在白皮书中，赛迪顾问将攻击面管理框架体系自下向上分别为基础技术、安全能力和应用场景三层。基础技术为支撑攻击面管理的技术能力集合，多种技术组合形成攻击面管理的能力体系，根据不同的业务场景需求采用不同的能力组合，形成不同的应用场景下的攻击面管理解决方案，为用户提供有针对性的攻击面闭环管理能力。

并且，在白皮书中建立了攻击面管理的成熟度模型，主要是工具阶段的被动防御、平台阶段的主动防御、流程化阶段的对抗防御、先知阶段的优先防御四个层级；提出了暴露面获取、脆弱点发现、攻击面挖掘、情报获取能力等攻击面管理要具备的12个能力域，从检测发现、分析研判、情报预警、响应运营的闭环管控过程分解了响应的能力子项，从子能力的具备和完善情况来评价攻击面管理的有效性。

此外，白皮书对于攻击面管理的未来市场和技术的发展趋势进行了预测。白皮书指出，在未来一段时间内，攻击面管理将从传统场景扩展到新兴技术领域，将与业务风险管理融为一体；供应链和第三方风险管理将成为攻击面管理的重要组成部分；自动化、智能化技术在攻击面管理产品中得到广泛应用。

                                                                          文章来着（36氪）