CTO Plus技术服务栈

企业网络资产攻击面管理系统(CAASM)

我们的 CAASM 系统通过整合 CMDB、云平台、EDR、漏洞扫描器、AD 域控等多个数据源,构建统一的资产视图,持续发现和评估攻击面,解决安全团队'看不清自己有什么资产'的根本痛点。

Created:
CAASM

传统的资产发现工具(如CMDB、主动扫描器)往往受限于数据源孤岛、更新滞后或覆盖不全,导致攻击面管理(ASM)沦为“盲人摸象”。我们的企业网络资产攻击面管理系统(CAASM, Cyber Asset Attack Surface Management)它并非又是一款扫描器,而是一个以资产为中心、以API驱动的数据整合与治理平台,旨在通过打通现有管理系统的数据壁垒,帮助企业构建统一、实时、精准的资产攻击面视图。

在数字化的商业环境中,企业网络资产的数量和类型呈爆炸式增长——从传统的服务器、终端、网络设备,到云主机、容器、API、SaaS应用、物联网传感器,乃至源代码仓库和员工身份凭证。这些资产无处不在,且动态变化,使得安全团队面临一个根本性难题:“我们究竟保护什么?”

这里我为大家介绍下我们自研多年的 企业网络资产攻击面管理系统(CAASM) 部分功能模块和核心技术。以下,我将从产品核心定位出发,系统性地总结CAASM应具备的六大核心功能模块三大战略级特性

部分功能模块

CAASM
  • 功能模块
    • 用户认证与权限管理:完整的登录、权限验证系统
    • 资产管理:资产发现、分类、标签管理
    • 漏洞管理:漏洞生命周期管理、风险评估
    • 扫描管理:自动化扫描、任务调度
    • 报告系统:多种格式报告生成
    • 仪表板:数据可视化、实时监控
    • 系统设置:用户管理、角色权限、集成配置
  • 认证授权API
    • 登录/登出/注册
    • 密码管理
    • 两步验证
    • 会话管理
    • 权限控制
    • 个人资料
    • 通知设置
    • API密钥
    • 审计日志
  • 资产管理API
    • CRUD操作
    • 批量导入导出
    • 统计分布
    • 端口服务
    • 漏洞关联
    • 扫描历史
    • 变更历史
    • 备注系统
    • 标签管理
    • 资产发现
  • 漏洞管理API
    • CRUD操作
    • 批量操作
    • 状态流转
    • 分配处理
    • 修复期限
    • 评论系统
    • 历史记录
    • 统计分析
    • 趋势图表
    • 导入导出
    • 验证/误报/风险接受
  • 扫描管理API
    • CRUD操作
    • 任务控制
    • 状态监控
    • 结果查询
    • 日志查看
    • 统计信息
    • 插件管理
    • 模板管理
    • 报告导出
    • 引擎配置
  • 报告管理API
    • 报告生成
    • 下载预览
    • 模板管理
    • 计划任务
    • 分享功能
    • 统计分析
    • 字段配置
  • 仪表板API
    • 全局统计
    • 趋势数据
    • 分布图表
    • Top风险
    • 最近活动
    • 合规状态
    • 威胁情报
  • 攻击面地图
    • 拓扑视图/地理视图/网络视图切换
    • 节点详情展示
    • 图例说明
    • 缩放控制和导出功能
  • 生成报告
    • 完整的报告配置表单
    • 资产报表/漏洞报表专项配置
    • 报告样式配置
    • 实时生成进度展示
  • 报告模板管理
    • 模板创建/编辑/复制/删除
    • 样式配置(主题色、字体、Logo)
    • 内容配置(封面、目录、图表)
    • 字段配置(资产字段、漏洞字段)
    • 自定义CSS/脚本支持
    • 模板预览和导入导出
  • 合规标准管理
    • 标准列表展示(等级保护、ISO 27001、PCI DSS、GDPR等)
    • 合规率进度展示
    • 标准创建/编辑/复制/删除
    • 检查项列表查看
    • 立即执行合规检查
  • 合规报告
    • 报告统计(总数、通过率、平均合规率)
    • 报告列表和筛选
    • 报告生成(月度/季度/年度/专项)
    • 报告下载、预览、删除
    • 批量导出功能

CAASM的核心功能

CAASM

1. 无侵入式多源资产数据融合(核心引擎)

我们CAASM的第一个核心能力是 “连接与归一化” ,而非重复“发现”。

  • 功能描述:通过预置的API连接器或无代理集成,主动对接企业内部已有的各类数据源,包括但不限于:

    • IT运维系统:CMDB、IPAM、DNS、DHCP。
    • 安全控制点:EDR、NDR、防火墙策略、WAF、HIDS。
    • 云平台:AWS、Azure、GCP、阿里云的资源管理API。
    • 身份与访问:AD/AAD、IDaaS、PAM系统。
    • 开发与供应链:容器编排平台(K8s)、代码仓库(Git)、CI/CD管道、软件物料清单(SBOM)库。
    • 漏洞管理:VM扫描结果、BAS模拟报告。
  • 产品价值:无需部署额外探针,零业务影响。通过数据联邦与融合,解决 “同一个IP对应三个不同归属、一台云主机在CMDB中不存在” 等经典数据冲突问题。

2. 统一资产图谱与动态属性建模

采集多源数据后,我们CAASM构建一个可查询、可关联、可演化的资产本体模型

  • 核心功能

    • 资产类型全覆盖:物理/虚拟/云/容器/OT/IoT/应用/API/数据存储/身份/凭证/密钥。
    • 关系自动推导:例如“Web服务器A(IP x.x.x.x)运行Apache(版本2.4)→ 暴露端口443 → 对应证书(过期时间)→ 所属业务部门(CRM)→ 责任人(张三)”。
    • 属性标准化:为每一类资产定义至少30+元属性(ID、标签、生命周期状态、暴露等级、关键度、最后发现时间等)。
    • 资产变更追踪:对比不同时间点的快照,高亮显示新增、消失、配置漂移的资产。
  • 产品价值:从“离散的资产列表”升级为一张活的资产知识图谱,为后续的攻击面分析提供上下文基础。

3. 攻击面分析与暴露面自动枚举

基于统一的资产图谱,CAASM开始执行其核心分析逻辑:“找出所有可能被攻击者触达的资产及路径”

  • 关键分析能力

    • 互联网暴露面自动发现:识别所有拥有公网IP、公有DNS记录、云负载均衡、开放入站端口(尤其是高危端口如3389, 22, 445, 1433, 3306)的资产,并与影子IT(Shadow IT)进行比对。
    • 非标准端口与服务指纹:不依赖常见端口映射,而是通过服务响应特征识别运行在非标准端口的数据库、管理后台、开发框架。
    • 证书与加密弱点:发现过期、自签名、弱加密算法的SSL/TLS证书及其关联域名。
    • API暴露面:识别未认证、过度权限、未限速的API端点,尤其针对微服务和Serverless架构。
    • 错误配置与安全隐患:云存储桶可公开读写、安全组规则过宽(0.0.0.0/0)、S3桶ACL错误、Kubernetes RBAC过度授权。
    • 供应链关联暴露:基于SBOM分析使用的开源组件及其已知漏洞(CVE),以及对外部第三方服务(如Google Analytics、Facebook Pixel)的调用。
  • 产品价值:从被动等待漏洞报告,转变为主动绘制攻击者的“地图”,回答“攻击者首先会看到我们的什么资产?”

4. 漏洞与暴露的优先级关联(风险量化)

仅有攻击面列表还不够,我们的CAASM与漏洞/威胁情报联动,回答“哪个暴露最危险”。

  • 核心能力

    • 实时漏洞映射:将资产属性(OS/服务/版本)与CVE、CNVD、漏洞扫描结果自动关联,标注“受漏洞影响的暴露资产”。
    • 利用可行性评估:整合EPSS(漏洞利用预测评分)、KEV(已知被利用漏洞目录)、威胁情报IoC,过滤掉“低概率利用”的理论漏洞。
    • 业务上下文加权:根据资产关键度(核心交易库 vs 测试机)、数据敏感度、暴露范围(公网 vs 内网)动态计算风险评分,例如 “核心CRM系统 + 公网暴露 + Log4j + EPSS > 0.9 = 立即处置”
    • 攻击路径模拟:基于资产关系图,模拟从外部攻击点到关键资产的多跳攻击路径(例如:公网Web服务器 → 跳板机 → 域控 → 数据库)。
  • 产品价值:终结安全团队陷入的“漏洞海啸”,将数千个漏洞压缩为数十个真实高风险点,实现可行动化的优先级排序。

5. 策略与合规的自动验证(策略即代码)

CAASM不仅是“看”,更是“验证”——持续检查实际状态与预期策略的偏差。

  • 验证场景

    • 安全基线与漂移检测:例如“所有公网Web服务器必须禁用TLS 1.0”、“数据库实例不得绑定EIP”。CAASM自动扫描资产图谱,找出不合规资产。
    • 网络策略验证:给定防火墙规则或安全组,模拟是否允许从任意源IP访问特定敏感端口;或者反向验证“是否存在一条允许any-to-any的隐含规则”。
    • 暴露面收敛进度验证:安全团队要求“月底前关闭所有非80/443公网端口”,CAASM可每日生成差异报告,显示已关闭、新增、遗漏的端口。
    • 合规报表自动生成:针对等保2.0、GDPR、PCI-DSS、ISO 27001中关于资产管理、访问控制、漏洞管理的条款,一键生成证据图谱。
  • 产品价值:将安全策略从“文档”转化为可编程、可度量的持续控制验证,推动安全治理左移至设计阶段。

6. 闭环修复与编排响应(CTI + SOAR集成)

CAASM的终点不是报告,而是修复。因此需要与IT运维和安全工单系统深度集成。

  • 闭环动作

    • 精准责任定位:基于资产图谱中的责任人、部门标签、CMDB owner,自动指派修复工单至具体团队或个人。
    • 修复建议可执行化:不仅说“打补丁”,而是提供“对于主机A,执行apt update && apt upgrade openssl”或“对于AWS安全组sg-xxx,移除入站规则源IP 0.0.0.0/0”。
    • 修复验证:在工单完成后,CAASM再次拉取相关数据源,确认攻击面已收敛,否则重新触发流程。
    • 自动化阻断(高风险场景) :对接WAF、云防火墙、NAC,对于确认正在被利用的暴露(例如CVE-2024-6387公开后且扫描到未修复的公网SSH),可自动下发临时阻断策略。
  • 产品价值:将安全分析结果转化为可度量、可追踪、可自动化的修复工作流,缩短MTTR(平均修复时间)从数天到数小时。


二、CAASM与传统工具的核心差异

CAASM

以上是功能模块,以下则是我们CAASM的特性设计原则

特性一:非破坏性、无代理的“影子CMDB”

传统主动扫描会干扰业务(高频扫描导致服务抖动)、漏掉云原生瞬时资产(容器生命周期短)、无法获取非网络可达资产(IoT、OT)。CAASM的一部分能力是 “借力”——通过API直接从权威系统(vCenter、AWS API、K8s API Server、EDR)读取资产数据,既实时又无侵入。它本质上是一个资产数据湖,而非探测引擎。

特性二:图数据库驱动的关联分析架构

关系型数据库无法高效表达“资产-漏洞-暴露-路径”的多对多、多层嵌套关系。我们的CAASM产品底层采用图数据库(如Neo4j、Amazon Neptune),将资产、端口、服务、漏洞、证书、用户、权限等建模为节点和边。这使得以下查询变为秒级:

  • “找出所有通过SSH公钥可以访问核心数据库的跳板机”
  • “列出与已知被黑域名的证书由同一CA签发的所有公网资产”
  • “模拟攻击者从互联网IP出发,绕过现有防火墙到达敏感S3桶的所有路径”

特性三:持续、近乎实时的状态感知

攻击面是动态的——新开云实例、关闭防火墙端口、上线API版本、证书过期、CVE被加入KEV。我们的CAASM支持增量数据拉取事件驱动更新(例如Webhook接收云服务商资产变更事件)。典型要求:从代码提交到攻击面更新不超过15分钟。与之对比,传统CMDB是T+1甚至周更。


三、CAASM在企业安全架构中的定位

CAASM

CAASM不是替代品,而是“胶水层”与“真相之源”。

  • 不替代漏洞扫描器、EDR、CMDB,而是将它们的数据整合为统一视图。
  • 不直接拦截攻击,但为WAF、NGFW、SOAR提供精准的策略输入。
  • 不取代人工渗透测试,但将攻击面枚举的工作量减少80%以上。

最终业务价值可归纳为:

  1. 消除盲点:发现未被CMDB记录、被扫描器遗漏、存在于云/容器中的影子资产。
  2. 降低噪点:通过优先级关联,让安全团队不再淹没在低危漏洞中。
  3. 缩短时间:从“发现暴露”到“定位责任人”到“验证修复”的全流程从数周压缩至小时级。
  4. 支撑合规:提供不可篡改的资产变更审计轨迹和策略合规证据链。

对于CISO及安全团队而言,部署CAASM意味着从 “我们大概知道有什么资产” 的混沌状态,进化为 “任何时刻,我们都能回答每一个暴露资产是谁的、为什么暴露、有多危险、该找谁修” 的确定状态。

攻击面管理不是一次性的资产盘点,而是一场持续对抗信息熵增的战争。

CAASM

更多功能模块和演示系统环境,如有需求和问题欢迎联系咨询我们。 http://www.mdrsec.com

企业网络资产攻击面管理系统(CAASM)其他功能特性