10年資深安全工程師告訴你，資產暴露面管理要注意的4個誤區

子曾曰：看不見的東西，企業保護不了。現實的情況是，看得見的東西，企業也不一定能保護好。

曾幾何時，傳聞某企業做了一款防火墻產品，并表示此款防火墻是業內“最好的盾牌”，絕對能夠保護企業的安全。要是誰能攻破該防火墻，其愿意給這位老鐵一個雙擊666。沒想到的是，天底下真有強手好漢，最終攻入該企業內部。不過這位好漢沒有直接進攻防火墻，而是先拿下了企業運維人員的電腦，再通過運維人員權限達成入侵目標，成功繞過了防火墻。

故事很短，但對每一個企業來說都很有意義：企業想要做好網絡安全，一定要進行資產暴露面管理。原因在于，網絡安全同樣遵循“木桶原理”，最薄弱的位置決定了企業的安全牢固程度。不做好資產暴露面管理，約等于在攻防對抗中直接繳械投降。

不過，這次我們不說如何進行資產暴露面管理，而是聊聊很多企業存在的資產管理誤區。這里我們梳理出了四個典型誤區，來看看你信過幾個：

誤區一：安全資產暴露面管理就是 CMDB

很多企業誤以為資產暴露面管理就是 CMDB，或者運維人員的資產臺賬，只是來做資產的管理與羅列。這種認知不在少數，但與資產暴露面管理的本質相比，確實存在偏差。CMDB（Configuration Management Database，配置管理數據庫）專注于資產配置類信息，的確能夠提供設備類、IP 類、MAC 類及軟件版本等豐富的信息，但整體仍偏于信息管理。

而資產暴露面管理的本質，其實是企業的攻擊面管理。企業對資產暴露面進行梳理，可以知道有哪些暴露的資產口子，可能會被利用。對于攻擊者而言，這些暴露面就是可進攻的入口。企業了解到可能被攻擊的資產入口后，如果縮小資產暴露面，就是在縮小攻擊范圍，減少被攻擊的可能。

誤區二：資產管理沒有固定的標準

 不能否認的是，端口、域名管理是有固定標準的。例如，企業對外的端口，只能開放 80 端口或者 443 端口；管理端口、數據端口是不能對外開放的，如果涉及到業務需要，必須通過其他方式，如加白進行訪問；再比如，某臺電腦想要連接一家公司的內網，可能需要下載殺毒軟件、開啟某防火墻，再進行關聯、登錄 WIFI 認證等，滿足條件后才能進行上網，這就是固定的標準。

這些標準，能夠保證企業達到最基本的安全要求，但無法為企業資產提供一個絕對安全的網絡環境。網絡資產的相對安全，是依賴于企業的資產規模、企業對安全的要求與標準、以及外部威脅因素的技術水平等多種復雜的條件。也就是說，沒有絕對的網絡安全，但一定有更高的安全標準。

誤區三：資產暴露面管理就是內部資產管理

 長期以來企業更多是基于“知己”的視角保護網絡安全，做內部風險防范與管理。在談到資產暴露面管理時，很多企業都是對企業的內部資產在進行管理，從企業內部進行探測。隨著網絡安全威脅復雜化，資產內涵的延展，企業資產暴露面管理已不局限于硬件基礎信息、軟件、業務、端口、內部賬號等內部信息，還需要關注暗網交易數據、用戶信息泄露、代碼倉庫等外部潛在的企業資產，才能盡量避免各種經濟損失或名譽損失。

對于外部資產暴露面的管理，大多數企業還是依靠人工錄入等傳統方式進行，風險檢測效率與覆蓋率遠遠不夠，很難真正發現外部的威脅。更高效、安全的辦法，是可以通過最新的專業外部威脅感知產品來完成。例如，借助微步在線的外部威脅與風險監控平臺，從外部視角、黑產視角、監管視角，全面發現企業暴露在互聯網的影子資產、數據泄露等不同資產風險，快速鎖定外部敏感資產。

誤區四：事后才需做安全資產暴露面管理

傳統資產管理，多半采用靜態方式對資產進行清點管理，使得很多企業都持有一種觀點：資產暴露面管理應該是靜態的，如果出現問題，事后進行資產風險盤點即可，很少沒有主動發現的意識與理念，安全人員始終在充當企業消防員的角色。