企业网络资产攻击面管理系统(CAASM)
我们的 CAASM 系统通过整合 CMDB、云平台、EDR、漏洞扫描器、AD 域控等多个数据源,构建统一的资产视图,持续发现和评估攻击面,解决安全团队'看不清自己有什么资产'的根本痛点。
Gartner 把 CAASM 列为网络安全的重要趋势,核心理念是:企业的资产信息散落在各个系统中,安全团队需要把这些碎片拼成完整的图。我们的 CAASM 就是在做这件事。
1. 多源资产数据融合
- 数据源对接:CMDB、云平台 API、EDR、漏洞扫描器、AD 域控、网络扫描器
- 数据去重与合并:同一台服务器在 CMDB 和 EDR 中各有一条记录→智能合并
- 数据冲突处理:多个数据源的同一属性不一致→按可信度优先规则解决
- 资产唯一标识:每个资产生成全局唯一 ID,跨系统追踪
2. 资产全面发现
- 已知资产管理:CMDB 里有记录的资产
- 未知资产发现:CMDB 里没有但 EDR/网络扫描发现的主机
- 影子 IT 检测:员工私自搭建的服务、未登记的云资源
- 孤儿资产:没有负责人、没有归属业务系统的资产
3. 攻击面评估
- 漏洞关联:资产的漏洞扫描结果自动关联
- 配置风险:安全基线不合规的资产自动标记
- 暴露面分析:资产是否暴露在公网?开放了哪些高危端口?
- 攻击路径分析:攻击者从互联网入口到达核心资产的可能路径
4. 资产风险评分
- 多维度评分:资产价值(业务重要性、数据敏感度)+ 脆弱性(漏洞、配置)+ 暴露面
- 动态评分:新漏洞披露→受影响资产的风险评分自动上升
- 风险趋势:每项资产的风险评分变化趋势
- Top N 风险资产:风险最高的前 20 项资产,优先处置
5. 资产关系图谱
- 资产关系:运行在、依赖于、连接到、属于
- 业务视角:这个业务系统由哪些资产组成?
- 安全视角:这个漏洞影响哪些资产?这些资产属于哪些业务系统?
- 爆炸半径分析:这台服务器被攻陷,可能影响多大范围?
6. 持续监控与联动
- 资产变更监控:新增资产、资产属性变更、资产下线→实时感知
- 覆盖率监控:CMDB 覆盖率、EDR 安装率、漏洞扫描覆盖率
- 与 SOAR 联动:高风险资产自动触发响应剧本
- 与 SIEM 联动:告警自动关联资产信息,丰富上下文