2021年7月，以网络安全甲方专家为主的“百家智库”正式建立并公开招募。智库以务实又持续的机制和方式，向诸子云会员个人、所在企业及行业、网络安全产业，以及各类关注并从事网络安全相关工作的机构和个人，提供侧重最佳实践的价值输出，具体包括观点输出、专业分享、课题项目、调查报告、联合出版、顾问高参等方式或形式。

作为“百家智库”社群活动计划的一个部分，“诸子项目”第一期的成果已陆续于近日提交。第一期“诸子项目”共有13个，涵盖CSO知识体系、个人信息保护、红蓝对抗、渗透测试、数据安全、数字钱包、风险管理、安全开发、物联网安全等领域。

今天我们要介绍的项目，是通过大量调查研究，针对安全人在各行各业进行企业攻击面的分析和研究总结而出的《企业攻击面分析与应对指南》。（获取方式见文末）

企业攻击面分析与应对指南

本项目由诸子云特聘专家自组项目组独立完成。

项目内容：本项目对企业攻击面现状、态势、应对措施、防护建议进行着手分析，让安全团队对暴露资产以及攻击面进行科学高效的管理，提供给业内同仁进行参考借鉴。

项目经理

杨文斌

某电商公司安全管理，13 年网络安全从业经验，熟悉网络安全、数据安全、研发安全及安全运营等领域，擅长企业网络架构和安全架构设计。

项目成员

胡燕

某金融科技公司信息安全负责人，成功通过了 IPMA 国际项目经理资质认证，十余年金融业项目管理、信息安全信息技术服务管理、风险管理、内审内控管理工作经历。

吴立斌

北京云集至科技有限公司，安全产品架构师，专注数据安全领域研究和产品开发等。

在此感谢参与项目工作的专家。由于时间仓促，存在很多不足的地方，请大家批评指正。欢迎大家提供修改意见，可发送邮件到下面邮箱：ddsmr119@126.com

我们谨代表中国企业网络安全专家联盟（诸子云），感谢所有为本报告提供时间和反馈的专家及个人。我们珍视您的志愿者贡献，相信像您这样的志愿者将继续引领诸子云走向未来。

项目概览

随着物联网、5G、云计算等技术发展和社会数字化转型持续发展，导致网络空间资产的范围和类型也发生了巨大变化。当下的攻击面管理已经不仅仅关注已知的资产漏洞，也包括未知资产（隐匿资产、老化资产、影子资产）、泄漏数据、流氓资产（钓鱼、仿冒网站）和供应商（包括开源组件等）资产等。未来将会有更多的新兴资产和服务出现，需要建立一种智能化、业务安全双向驱动的决策机制，使用更加合适高效的安全技术来管理企业面临的攻击面安全风险。

攻击面管理是一种从攻击者的角度对企业网络攻击面进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全管理方法，其最大特性就是以外部视角来审视企业网络资产可能存在的攻击面及脆弱性。攻击面主要体现在企业暴露给攻击者各个层面的安全弱点，攻击者可利用不同手段实现攻击行为。

企业需要全方位分析排查企业存在的弱点，并建立具有针对性的安全防护措施，以下主要从组织、管理、技术相关角度进行了潜在攻击面分析，并给出了指导性防护建议。

所以在攻击面防护建设上，杨文斌给了四点建议：

1、加强企业攻击面安全防护工作的监管；

2、强化企业攻击面安全防护技术的研究；

3、推动攻击面安全防护产品和方案市场发展；4、充分利用网络安全保险优势转移攻击面风险。

为什么要做攻企业攻击面分析与应对指南？

随着企业面临的风险增多，安全事件频发，需要通过资产梳理来构建面对攻击响应的自动化流程，建立有效的事前风险识别机制。特别是Gartner在2021年7月发布《2021安全运营技术成熟度曲线》中也明确提出了攻击面的新兴技术理念，为攻击面安全态势工作开展指明了方向。本项目旨在从企业攻击面管理的重要性、现状、态势分析和攻击面分析及应对措施等方面建立企业攻击面识别防护的指导性文档，帮助相关安全从业人员充分认识攻击面的重要性，建立攻击面分析防护意识，确定攻击面应对防御思路。

杨文斌表示由于项目研究时间较紧，完成进度略显匆忙，虽然团队项目成员在整个项目过程中积极主动，全面体现出专业化安全素养和高水平的知识结构，充分保证了项目的按期高质量完成。但是在项目形式和内容上仍存在需要改进完善的地方，另一方面由于行业的局限性，可能无法全面覆盖攻击面场景，后续希望有更多的专家参与进来，持续丰富应用场景。

最后，杨文斌衷心的希望各甲方企业积极主动参与到攻击面场景研究中，逐步丰富完善具有行业针对性的攻击面，使其更加具有实践价值和学术价值。供应商应加强技术和场景融合，研究面向攻击面技术的安全产品或解决方案，协同甲方单位共同建立攻击面安全防护生态体系。

如何获取这份资料？

目前，诸子云第一季至第三季的所有项目成果，均已上传至诸子云星球。随着百家智库第一期“诸子项目”的展开，所有项目成果也将陆续上传。除此之外，知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球，便可提前下载，领先他人一步，纵览全局，占据竞争高地。

诸子云星球“矿产资源”（标签）主要包括：

►#项目：诸子云会员协作项目成果；

►#活动：诸子云相关活动议题材料；

►#报告：安在发布及诸子云相关调查报告；

►#资料：相关群里分发的各类有价值资料；

►#话题：会员群话题讨论的分类整理；

►#讲堂：直播相关，课件、补充材料等；

►#社群：社群管理相关，介绍、月报等；

►#厂商：厂商可以在此标签下发布介绍、解决方案、案例等材料。

除上述“矿产资源”，加入诸子云星球，还可获得如下福利：

1.参加“安在讲堂”精品课程折扣；

2.购买安在出品包括调查报告、征文文集在内各类知识商品的优惠；

3.优先参加安在组织的各类线下活动。

另外，本星球已开通“分享有赏”，20%分享奖励，以当前价格计，您只需引荐5位付费新星友，您就完全赚回“门票”支出了。

本期项目一览