从传统企业资产管理到CAASM

一. 资产管理简介

企业资产管理是一个重要且长期的话题。根据NIST的定义【1】，任何对企业有价值的事物都被视作资产，它可以是有形的（如建筑、设备）或无形的（如数据、知识产权）。在信息技术领域，资产管理通常指IT资产管理（图1为IT资产的常见分类），其管理对象涵盖支持业务目标的所有IT资产，管理内容包括采购、部署、监控、维护、更新和处置等环节。有效的资产管理对资产的可见性、安全性、合规性和成本控制至关重要。

图1 IT资产分类

在实际业务中，由于IT资产的复杂性，往往会有多个团队参与资产管理相关工作。如图2所示，IT团队负责优化资产生命周期，关注物理和财务管理；运维管理员常常使用CMDB管理资产配置项及其关系；安全管理员则负责网络资产的监控和安全问题的修复。

图2 资产管理的差异

二. 企业资产管理与安全

在信息安全领域有一句名言：你无法保护你看不见的东西。不难理解，资产管理是企业安全的基础，安全管理员在安全事件定位、责任人关联，漏洞影响范围确定，合规性检查等工作中都离不开资产清单，但是，目前许多企业在资产管理方面存在显著不足，因资产管理不善而引发的安全问题也日益严重。当前，企业资产管理通常面临以下几个问题。

第一个问题是影子IT资产问题。影子IT资产是指企业员工在未获得IT部门批准的情况下使用的个人设备、应用程序和服务，员工这么做通常是为了提供工作的效率和便捷性。随着云服务和移动技术的发展、远程办公以及BYOD（Bring Your Own Device）政策的普及下，这种现象愈发普遍。根据思科的调查结果，大约 83% 的受调查人员承认在企业云环境中使用未经批准的应用程序【5】。由于这些影子IT未被纳入管理，所以存在着极大的安全隐患。根据Gartner的数据，早在2020年就有约30%的网络攻击与影子IT有关【2】。所以，企业需要有手段能提供影子IT发现和识别能力。然而，如图3所示，根据数说安全的调查，58%的受调查企业在未知资产的发现能力上存在显著不足，只有11%的受调查企业认为能够有效识别未知资产【3】。

图3 企业影子资产发现能力调查结果（数说安全）

第二个问题是云上资产管理问题。随着云计算和云原生技术的发展，云服务因其便捷性和成本效益受到企业的青睐。这使得越来越多的企业将业务迁移至云端，云上资产在企业整体资产中的比重不断增加。据调查，86%的企业有意向或者已经开始使用云原生服务【4】。然而，许多企业在管理云上资产方面表现不佳，他们通常仅云厂商提供的原生管理平台或API进行管理，而这对于安全团队来说远远不够，这也促进了另一项技术的发展——云安全态势管理（CSPM）。

第三是资产数据孤岛问题。如前文所述，一个企业通常会有多个团队参与资产管理工作，这就导致了企业内部可能会存在多个资产管理系统，他们独立分散，没有形成一个统一视图，而这会带来很多部门协作以及使用上的麻烦。比如，在安全团队溯源的时候，需要先从自己的内部网络资产系统获取IP信息，然后再去IT部门的资产管理平台查询得到责任人和其他相关信息。而如图4所示，根据数说安全2023年攻击面管理市场分析报告的调查，18%的企业没有IT资产管理系统，他们可能还采用excel表格这种古老的方式。34%的企业有多个系统存在IT资产管理能力，但是各自为战，数据分散在多个系统中。34%的企业有统一的IT资产管理系统，能有效进行数据整合，只有15%的企业的IT资产管理系统能同SIEM/SOC/SOAR等安全运营系统有效整合，赋能安全运营。

图4 企业IT资产管理能力自我评价调查结果 （数说安全）

三. CAASM（网络资产攻击面管理）

如前所述，随着云计算、物联网和远程办公等趋势的发展，组织的网络资产数量和种类迅速增长，且变得更加分散和动态，传统的分散异构的资产管理模式已经难以满足安全团队的需求。在此背景下，网络资产攻击面管理（CAASM）应运而生。CAASM的核心理念是通过整合现有工具和API，汇聚多源资产信息，从而获取企业内部和外部所有资产的全面视图，提供统一的资产管理平台，帮助发现安全漏洞并提供修复建议。

CAASM解决方案可以视作资产管理的延伸，其目标用户不仅限于安全团队，IT团队及其他部门同样可以从中受益。CAASM产品通常具备以下功能：全面的资产清单、资产关联图、漏洞管理、安全控制验证、风险优先级排序、风险范围界定、合规性检查以及自动化告警。CAASM属于攻击面管理（ASM）工具的一种，另两个常见的ASM工具是外部攻击面管理（EASM）和数字风险保护服务（DRPS）。图5展示了它们之间的区别。

图5 ASM工具区别

四. CAASM相关厂商和技术

自Gartner在2021年提出CAASM（Cyber Asset Attack Surface Management）以来，国内外多家厂商迅速推出了相关的CAASM解决方案，以满足企业对资产可视性与安全管理的需求。以下简要介绍两家专门从事CAASM的代表性厂商：Axonius和JupiterOne。

4.1

Axonius

Axonius于2017年成立，是一家以色列公司，凭借其CAASM产品获得了2019年RSA创新沙盒冠军，并连续第四年入选福布斯云 100 强名单。Axonius并未走大而全的解决方案路线，而是聚焦在资产清点、资产运行及安全状态的监控，它在无需部署任何代理的情况下，可连接包括网络、端点、身份、漏洞、云管理平台等不同类型共900+个数据源。图6是其产品的资产页面。

图6 Axonius CAASM产品页面

Axonius将从各类平台获取的资产数据整理为计算、身份、应用、凭证、网络、存储、告警/事件七个大类（如表1），从而提供全面统一的资产清单。Axonius还通过资产图显示资产关系和依赖关系，Axonius定义的关系有”Last used by“（资产和用户关联）、”Has“（资产和漏洞关联）、Affected by（资产和其他资产关联）、Accessing（资产与其他资产或用户关联）等。

表1 Axonius对资产的分类

Axonius产品主要有四个功能模块：

1. 软件管理：利用查询语句和事件管理功能，帮助IT、财务、安全和风险团队自动识别IT资产中的所有软件，识别不需要的和未经批准的软件，计算软件支出和成本优化，并降低风险。

2. 云资产合规性：检查云实例是否遵守或偏离行业标准和基准。

3. 漏洞管理：结合必要的上下文来发现影响数字基础设施的漏洞、确定优先级和影响范围。

4. 执行中心：自动化告警和响应，及时分类并修复漏洞和IT安全策略问题。

笔者认为，Axonius的优势在于其强大的多源数据接入能力，能够广泛连接900多个不同类型的IT与安全系统，帮助企业构建全面的资产视图。此外，Axonius也有一些特色功能，比如云资产合规性和不依赖第三方平台的本地事件管理功能。

4.2

JupiterOne

JupiterOne于2018 成立，总部位于美国北卡罗来纳州，其CAASM产品可以集成 250+数据源（如图7），使用知识图谱对数据进行建模，通过资产、漏洞、业务上下文等关联融合技术，进行攻击面管理分析。

图 7 JupiterOne CAASM产品集成多种数据源

类似的，JupiterOne将资产划分为设备、网络、应用、数据、用户五大类，然后定义了101个实体，图8为实体词云图。可以发现，Jupiterone把资产分得非常细，除了Firewall、Host、Endpoint等比较常规的设备类资产外，像Key、DataStore、CodeCommit这类在应用中所定义的一些元素也被当作了资产，并归类为数据资产。Jupiterone还为这些资产实体定义了超过26种关系，图9列出了一些关系。实体间通过关系建立起联系，比如Host -- HAS -> Vulnerability、Gateway -- CONNECTS -> Network、User -- ASSIGNED -> Application。Jupiterone通过项目Starbase从各类服务和系统中（包括云基础设施、SaaS应用程序、安全控制等）收集以上资产和关系，构建知识图谱，并整合到Neo4j数据库中。

图8 Jupiterone的资产实体词云图

表2 Jupiterone的实体关系

JupiterOne产品的主要功能：

1. 资产清单：集成 200+的数据源，包括IT、DevOps、Security、HR等系统，管理5000+资产类别，包括设备、用户、应用、网络、代码仓库、策略等。

2. 资产关联。使用知识图谱技术，对资产进行实体建模和关系映射并可视化资产之间的所有联系，还可揭示资产的毒性组合或者会增加风险的隐藏关系。

3. 资产查询：支持查询语句、全文搜索以及自然语言询问。

4. 报告生成：使用内置和自定义合规性框架进行自动化审计并收集证据，支持PCI、CIS、SOC2、NIST、HIPAA等标准

5. 工作流自动化：通过内置和自定义警报，主动通知团队。

笔者认为，JupiterOne的优势在于对资产更加精细的划分，并采用知识图谱对资产进行建模，从而能对资产进行深入分析和关联，揭示潜在的风险组合及隐藏的风险关系，支持安全团队做出更精准的决策。

五. 小结

企业资产管理是安全团队众多工作的基础，而CAASM（Cybersecurity Asset Attack Surface Management）的出现有效解决了现有资产管理中的一些弊端。通过集成API和现有工具，CAASM能够提供企业全面的内外部资产视图，并进行弱点分析、响应和修复。如图9所示，目前，CAASM处于Gartner安全运营技术成熟度曲线的期望膨胀期。尽管市场对该技术抱有极高的期望，但其仍处于早期阶段，尚未完全成熟。

图9 Gatner 2024年安全运营技术成熟度曲线

现阶段，许多CAASM（企业资产攻击面管理）解决方案主要集中于整合多个数据源，尤其是来自通用平台的数据源，并对这些数据进行清洗和归一化处理。随后，它们通过基于知识图谱的资产关联技术、基于版本匹配的漏洞验证技术以及基于规则的报警等方式进行风险发现，所采用的技术手段相对传统。未来的CAASM应当支持企业内部系统，允许对数据格式进行定制化集成，以更好适应不同企业的特定需求。此外，要逐步引入人工智能和机器学习技术，自动化地识别威胁、优先排序漏洞并进行行为分析。同时，利用更复杂的算法进行细微的威胁预测，将有助于提升企业的安全防护能力。

参考文献

1. https://csrc.nist.gov/glossary/term/asset

2. P. Mukherjee, Short-Guide-On-Attack-Surface-Reduction-v1-2. [Online]. Available: https://www.firecompass.com/wp-content/uploads/2020/12/Short-Guide-On-Attack-Surface Reduction-v1-2.pdf

3. 数说安全攻击面管理产品市场分析报告.https://www.csreviews.cn/wp-content/uploads/2023/05/SSAQgjmgl.pdf

4. Scrut Automation, Key Attack Surface Challenges Cloud-Native Companies Are Facing Today. [Online]. Available: https://www.scrut.io/ebooks/key-attack-surface-challenges-cloud-native companies-are-facing-today (accessed: Jun. 25 2023)

5. [The Shadow IT Dilemma - Cisco Blogs](https://blogs.cisco.com/cloud/the-shadow-it-dilemma)

6. [Cyber Asset Attack Surface Management (CAASM) Meaning And Best Practices (tikaj.com)]

内容编辑：创新研究院 张承万

责任编辑：创新研究院 陈佛忠

声明：本文来自绿盟科技研究通讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。