企业网络资产攻击面管理系统(CAASM)
我们的 CAASM 系统通过整合 CMDB、云平台、EDR、漏洞扫描器、AD 域控等多个数据源,构建统一的资产视图,持续发现和评估攻击面,解决安全团队'看不清自己有什么资产'的根本痛点。

传统的资产发现工具(如CMDB、主动扫描器)往往受限于数据源孤岛、更新滞后或覆盖不全,导致攻击面管理(ASM)沦为“盲人摸象”。我们的企业网络资产攻击面管理系统(CAASM, Cyber Asset Attack Surface Management)它并非又是一款扫描器,而是一个以资产为中心、以API驱动的数据整合与治理平台,旨在通过打通现有管理系统的数据壁垒,帮助企业构建统一、实时、精准的资产攻击面视图。
在数字化的商业环境中,企业网络资产的数量和类型呈爆炸式增长——从传统的服务器、终端、网络设备,到云主机、容器、API、SaaS应用、物联网传感器,乃至源代码仓库和员工身份凭证。这些资产无处不在,且动态变化,使得安全团队面临一个根本性难题:“我们究竟保护什么?”
这里我为大家介绍下我们自研多年的 企业网络资产攻击面管理系统(CAASM) 部分功能模块和核心技术。以下,我将从产品核心定位出发,系统性地总结CAASM应具备的六大核心功能模块及三大战略级特性。
部分功能模块

- 功能模块
- 用户认证与权限管理:完整的登录、权限验证系统
- 资产管理:资产发现、分类、标签管理
- 漏洞管理:漏洞生命周期管理、风险评估
- 扫描管理:自动化扫描、任务调度
- 报告系统:多种格式报告生成
- 仪表板:数据可视化、实时监控
- 系统设置:用户管理、角色权限、集成配置
- 认证授权API
- 登录/登出/注册
- 密码管理
- 两步验证
- 会话管理
- 权限控制
- 个人资料
- 通知设置
- API密钥
- 审计日志
- 资产管理API
- CRUD操作
- 批量导入导出
- 统计分布
- 端口服务
- 漏洞关联
- 扫描历史
- 变更历史
- 备注系统
- 标签管理
- 资产发现
- 漏洞管理API
- CRUD操作
- 批量操作
- 状态流转
- 分配处理
- 修复期限
- 评论系统
- 历史记录
- 统计分析
- 趋势图表
- 导入导出
- 验证/误报/风险接受
- 扫描管理API
- CRUD操作
- 任务控制
- 状态监控
- 结果查询
- 日志查看
- 统计信息
- 插件管理
- 模板管理
- 报告导出
- 引擎配置
- 报告管理API
- 报告生成
- 下载预览
- 模板管理
- 计划任务
- 分享功能
- 统计分析
- 字段配置
- 仪表板API
- 全局统计
- 趋势数据
- 分布图表
- Top风险
- 最近活动
- 合规状态
- 威胁情报
- 攻击面地图
- 拓扑视图/地理视图/网络视图切换
- 节点详情展示
- 图例说明
- 缩放控制和导出功能
- 生成报告
- 完整的报告配置表单
- 资产报表/漏洞报表专项配置
- 报告样式配置
- 实时生成进度展示
- 报告模板管理
- 模板创建/编辑/复制/删除
- 样式配置(主题色、字体、Logo)
- 内容配置(封面、目录、图表)
- 字段配置(资产字段、漏洞字段)
- 自定义CSS/脚本支持
- 模板预览和导入导出
- 合规标准管理
- 标准列表展示(等级保护、ISO 27001、PCI DSS、GDPR等)
- 合规率进度展示
- 标准创建/编辑/复制/删除
- 检查项列表查看
- 立即执行合规检查
- 合规报告
- 报告统计(总数、通过率、平均合规率)
- 报告列表和筛选
- 报告生成(月度/季度/年度/专项)
- 报告下载、预览、删除
- 批量导出功能
CAASM的核心功能

1. 无侵入式多源资产数据融合(核心引擎)
我们CAASM的第一个核心能力是 “连接与归一化” ,而非重复“发现”。
功能描述:通过预置的API连接器或无代理集成,主动对接企业内部已有的各类数据源,包括但不限于:
- IT运维系统:CMDB、IPAM、DNS、DHCP。
- 安全控制点:EDR、NDR、防火墙策略、WAF、HIDS。
- 云平台:AWS、Azure、GCP、阿里云的资源管理API。
- 身份与访问:AD/AAD、IDaaS、PAM系统。
- 开发与供应链:容器编排平台(K8s)、代码仓库(Git)、CI/CD管道、软件物料清单(SBOM)库。
- 漏洞管理:VM扫描结果、BAS模拟报告。
产品价值:无需部署额外探针,零业务影响。通过数据联邦与融合,解决 “同一个IP对应三个不同归属、一台云主机在CMDB中不存在” 等经典数据冲突问题。
2. 统一资产图谱与动态属性建模
采集多源数据后,我们CAASM构建一个可查询、可关联、可演化的资产本体模型。
核心功能:
- 资产类型全覆盖:物理/虚拟/云/容器/OT/IoT/应用/API/数据存储/身份/凭证/密钥。
- 关系自动推导:例如“Web服务器A(IP x.x.x.x)运行Apache(版本2.4)→ 暴露端口443 → 对应证书(过期时间)→ 所属业务部门(CRM)→ 责任人(张三)”。
- 属性标准化:为每一类资产定义至少30+元属性(ID、标签、生命周期状态、暴露等级、关键度、最后发现时间等)。
- 资产变更追踪:对比不同时间点的快照,高亮显示新增、消失、配置漂移的资产。
产品价值:从“离散的资产列表”升级为一张活的资产知识图谱,为后续的攻击面分析提供上下文基础。
3. 攻击面分析与暴露面自动枚举
基于统一的资产图谱,CAASM开始执行其核心分析逻辑:“找出所有可能被攻击者触达的资产及路径”。
关键分析能力:
- 互联网暴露面自动发现:识别所有拥有公网IP、公有DNS记录、云负载均衡、开放入站端口(尤其是高危端口如3389, 22, 445, 1433, 3306)的资产,并与影子IT(Shadow IT)进行比对。
- 非标准端口与服务指纹:不依赖常见端口映射,而是通过服务响应特征识别运行在非标准端口的数据库、管理后台、开发框架。
- 证书与加密弱点:发现过期、自签名、弱加密算法的SSL/TLS证书及其关联域名。
- API暴露面:识别未认证、过度权限、未限速的API端点,尤其针对微服务和Serverless架构。
- 错误配置与安全隐患:云存储桶可公开读写、安全组规则过宽(0.0.0.0/0)、S3桶ACL错误、Kubernetes RBAC过度授权。
- 供应链关联暴露:基于SBOM分析使用的开源组件及其已知漏洞(CVE),以及对外部第三方服务(如Google Analytics、Facebook Pixel)的调用。
产品价值:从被动等待漏洞报告,转变为主动绘制攻击者的“地图”,回答“攻击者首先会看到我们的什么资产?”
4. 漏洞与暴露的优先级关联(风险量化)
仅有攻击面列表还不够,我们的CAASM与漏洞/威胁情报联动,回答“哪个暴露最危险”。
核心能力:
- 实时漏洞映射:将资产属性(OS/服务/版本)与CVE、CNVD、漏洞扫描结果自动关联,标注“受漏洞影响的暴露资产”。
- 利用可行性评估:整合EPSS(漏洞利用预测评分)、KEV(已知被利用漏洞目录)、威胁情报IoC,过滤掉“低概率利用”的理论漏洞。
- 业务上下文加权:根据资产关键度(核心交易库 vs 测试机)、数据敏感度、暴露范围(公网 vs 内网)动态计算风险评分,例如 “核心CRM系统 + 公网暴露 + Log4j + EPSS > 0.9 = 立即处置”。
- 攻击路径模拟:基于资产关系图,模拟从外部攻击点到关键资产的多跳攻击路径(例如:公网Web服务器 → 跳板机 → 域控 → 数据库)。
产品价值:终结安全团队陷入的“漏洞海啸”,将数千个漏洞压缩为数十个真实高风险点,实现可行动化的优先级排序。
5. 策略与合规的自动验证(策略即代码)
CAASM不仅是“看”,更是“验证”——持续检查实际状态与预期策略的偏差。
验证场景:
- 安全基线与漂移检测:例如“所有公网Web服务器必须禁用TLS 1.0”、“数据库实例不得绑定EIP”。CAASM自动扫描资产图谱,找出不合规资产。
- 网络策略验证:给定防火墙规则或安全组,模拟是否允许从任意源IP访问特定敏感端口;或者反向验证“是否存在一条允许any-to-any的隐含规则”。
- 暴露面收敛进度验证:安全团队要求“月底前关闭所有非80/443公网端口”,CAASM可每日生成差异报告,显示已关闭、新增、遗漏的端口。
- 合规报表自动生成:针对等保2.0、GDPR、PCI-DSS、ISO 27001中关于资产管理、访问控制、漏洞管理的条款,一键生成证据图谱。
产品价值:将安全策略从“文档”转化为可编程、可度量的持续控制验证,推动安全治理左移至设计阶段。
6. 闭环修复与编排响应(CTI + SOAR集成)
CAASM的终点不是报告,而是修复。因此需要与IT运维和安全工单系统深度集成。
闭环动作:
- 精准责任定位:基于资产图谱中的责任人、部门标签、CMDB owner,自动指派修复工单至具体团队或个人。
- 修复建议可执行化:不仅说“打补丁”,而是提供“对于主机A,执行
apt update && apt upgrade openssl”或“对于AWS安全组sg-xxx,移除入站规则源IP 0.0.0.0/0”。 - 修复验证:在工单完成后,CAASM再次拉取相关数据源,确认攻击面已收敛,否则重新触发流程。
- 自动化阻断(高风险场景) :对接WAF、云防火墙、NAC,对于确认正在被利用的暴露(例如CVE-2024-6387公开后且扫描到未修复的公网SSH),可自动下发临时阻断策略。
产品价值:将安全分析结果转化为可度量、可追踪、可自动化的修复工作流,缩短MTTR(平均修复时间)从数天到数小时。
二、CAASM与传统工具的核心差异

以上是功能模块,以下则是我们CAASM的特性设计原则。
特性一:非破坏性、无代理的“影子CMDB”
传统主动扫描会干扰业务(高频扫描导致服务抖动)、漏掉云原生瞬时资产(容器生命周期短)、无法获取非网络可达资产(IoT、OT)。CAASM的一部分能力是 “借力”——通过API直接从权威系统(vCenter、AWS API、K8s API Server、EDR)读取资产数据,既实时又无侵入。它本质上是一个资产数据湖,而非探测引擎。
特性二:图数据库驱动的关联分析架构
关系型数据库无法高效表达“资产-漏洞-暴露-路径”的多对多、多层嵌套关系。我们的CAASM产品底层采用图数据库(如Neo4j、Amazon Neptune),将资产、端口、服务、漏洞、证书、用户、权限等建模为节点和边。这使得以下查询变为秒级:
- “找出所有通过SSH公钥可以访问核心数据库的跳板机”
- “列出与已知被黑域名的证书由同一CA签发的所有公网资产”
- “模拟攻击者从互联网IP出发,绕过现有防火墙到达敏感S3桶的所有路径”
特性三:持续、近乎实时的状态感知
攻击面是动态的——新开云实例、关闭防火墙端口、上线API版本、证书过期、CVE被加入KEV。我们的CAASM支持增量数据拉取和事件驱动更新(例如Webhook接收云服务商资产变更事件)。典型要求:从代码提交到攻击面更新不超过15分钟。与之对比,传统CMDB是T+1甚至周更。
三、CAASM在企业安全架构中的定位

CAASM不是替代品,而是“胶水层”与“真相之源”。
- 它不替代漏洞扫描器、EDR、CMDB,而是将它们的数据整合为统一视图。
- 它不直接拦截攻击,但为WAF、NGFW、SOAR提供精准的策略输入。
- 它不取代人工渗透测试,但将攻击面枚举的工作量减少80%以上。
最终业务价值可归纳为:
- 消除盲点:发现未被CMDB记录、被扫描器遗漏、存在于云/容器中的影子资产。
- 降低噪点:通过优先级关联,让安全团队不再淹没在低危漏洞中。
- 缩短时间:从“发现暴露”到“定位责任人”到“验证修复”的全流程从数周压缩至小时级。
- 支撑合规:提供不可篡改的资产变更审计轨迹和策略合规证据链。
对于CISO及安全团队而言,部署CAASM意味着从 “我们大概知道有什么资产” 的混沌状态,进化为 “任何时刻,我们都能回答每一个暴露资产是谁的、为什么暴露、有多危险、该找谁修” 的确定状态。
攻击面管理不是一次性的资产盘点,而是一场持续对抗信息熵增的战争。

更多功能模块和演示系统环境,如有需求和问题欢迎联系咨询我们。 http://www.mdrsec.com