本报告版权归属于北京赛博英杰科技有限公司,报告中的文字、表格均受到中华人民共和国知识产权法律法规的保护,禁止任何商业性质的更改、报道、摘录以及引用;任何非商业性质的报道、摘录以及引用请务必注明版权来源,并获得北京赛博英杰科技有限公司的书面授权。
本报告中的调研数据均采用行业公开信息、深度访谈、实地调研、桌面研究得到。本公司不承担因使用本报告而产生的任何法律责任。
“攻击面管理”是2022年中国网络安全产业热度上升比较快的词,过去从事网络资
源探测、漏洞管理、自动渗透测试工具产品研发的公司纷纷推出自己的攻击面管理产品,或给自己打上“攻击面管理”的标签。数说安全为此分别做了供给侧、需求侧调研,试图搞清楚大家口中的攻击面管理到底是什么,攻击面管理在用户安全防线中定位是什么,其核心技术与能力是什么,各厂商的技术差别与产品定位是什么,各甲方單位的攻击面管理工作的痛点是什么,建设进度如何,以及通过数说安全商业分析平台对攻击面管理相关项目情况进行了分析,给出了攻击面管理市场的总结与展望。
最后,对从事攻击面管理的26家国外厂商及21家国内厂商做了分析和总结,并展示了其中9家国内厂商的解决方案与案例。
网络攻击面是指黑客或攻击者在攻击时所能利用的网络漏洞和安全弱点的总和,对于组织而言,管理网络攻击面是保护网络安全的重要措施之一。
网络安全攻击面管理是对组织的网络资产进行全面分析,识别所有攻击者可能利用的漏洞和安全弱点,然后制定相应的防御措施和补救措施的过程。其目的是为了提高网络安全防御的有效性和韧性,以保护组织的网络资产免受各种威胁和攻击。
(一)主要发现
供给侧视角:国内攻击面管理市场厂商数量已达到20-30家,大多数厂商以资产测绘与管理、漏洞扫描与漏洞管理、威胁情报等作为核心能力,通过叠加微创新,参与市场竞争。
需求侧视角:客户侧目前最大的驱动力来源于实网攻防,通过产品或服务减小风险暴露面。最新发布的《信息安全技术关键信息基础设施安全保护要求》中也提出了收敛暴露面等主动防御要求,未来或将推动需求由事件型驱动向合规驱动转变。
技术视角1:EASM和DRPS从产品技术、客户需求和应用场景来看具备一定的共通性和互补性,当前大部分EASM厂商通过自研或外购的形式整合了DRPS能力来提升产品竞争力,EASM和DRPS的融合已经在市场中体现。
技术视角2:EASM可以作为CAASM在暴露面发现阶段的能力进行补充,同时完善内外网资产关联分析来挖掘更深层次的攻击面风险。随着厂商的技术能力增强,客户的需求度提高,CAASM和EASM未来发展趋势将融合为一个平台来应对不同的应用场景。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
