攻击面(Attack Surface)
攻击面(Attack Surface) 是什么?
攻击面(Attack Surface)攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。
组织的攻击面是所有暴露入口点的合集:面向互联网的资产、第三方 SaaS、API、终端、移动应用、网络协议、源码仓库、IoT/OT 设备、云控制平面、身份以及易受社会工程攻击的人员渠道。它是动态的,随每一项新功能、供应商与配置变更而扩大。ASM 与 EASM 工具持续发现资产、指纹识别并对暴露按优先级排序;内部攻击面收敛则依靠加固、下线遗留服务、最小化权限、网络分段、清理无用依赖与账号。
● 示例
- 01
被遗忘的开发用 S3 桶与 CI/CD 管理 SaaS 在 EASM 扫描中被列为新增暴露资产。
- 02
停用闲置的 VPN 设备可减小网络攻击面。
● 常见问题
攻击面(Attack Surface) 是什么?
攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。 它属于网络安全的 合规与框架 分类。
攻击面(Attack Surface) 是什么意思?
攻击者可以尝试进入、窃取数据或操控系统的所有点的总和,包括网络、软件、身份、供应链与人员。
攻击面(Attack Surface) 是如何工作的?
组织的攻击面是所有暴露入口点的合集:面向互联网的资产、第三方 SaaS、API、终端、移动应用、网络协议、源码仓库、IoT/OT 设备、云控制平面、身份以及易受社会工程攻击的人员渠道。它是动态的,随每一项新功能、供应商与配置变更而扩大。ASM 与 EASM 工具持续发现资产、指纹识别并对暴露按优先级排序;内部攻击面收敛则依靠加固、下线遗留服务、最小化权限、网络分段、清理无用依赖与账号。
如何防御 攻击面(Attack Surface)?
针对 攻击面(Attack Surface) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- compliance№ 073
攻击向量(Attack Vector)
攻击者用以获取目标未授权访问的具体路径或技术,如钓鱼、利用某 CVE 漏洞或使用被窃凭据。
- compliance№ 1151
威胁载体(Threat Vector)
威胁行为者借以投递攻击的渠道或手段,常与攻击向量互换使用,但更偏向威胁建模视角。
- compliance№ 1149
威胁态势(Threat Landscape)
组织、行业或地区当前面临威胁的全貌:威胁行为者、战术、恶意软件家族、漏洞及其随时间变化的趋势。
- defense-ops№ 401
外部攻击面管理(EASM)
从外部攻击者的视角持续发现并监控组织所有暴露在公共互联网上的资产。
- defense-ops№ 072
攻击面管理(ASM)
对所有可能让组织面临网络攻击风险的资产进行持续的发现、清点、分类和监控。
- compliance№ 299
纵深防御(Defense in Depth)
通过叠加相互独立的安全控制,使任一控制失效时,其他控制仍能防御、检测或遏制攻击的策略。