2023攻击面管理产品市场分析报告

攻击面管理产品市场分析报告 2023年5月4日 目录 法律声明1 前言2 一、概述3 (一)主要发现3 (二)推荐5 二、市场定义6 (一)攻击面管理的起源6 (二)攻击面是什么？6 (三)攻击面管理是什么？8 (四)攻击面管理解决的主要问题是什么？9 三、核心能力9 四、市场方向12 (一)技术维度12 (二)市场维度14 (三)产业维度15 五、市场分析18 六、用户调研21 (一)关键发现21 (二)企业背景22 (三)企业自身IT与网络安全现状24 (四)攻击面管理产品与用户需求的匹配度26 (五)攻击面管理产品实际使用情况27 (六)攻击面管理产品未来投入30 七、国外攻击面管理赛道投融资状况分析32 八、代表性供应商35 (一)国外厂商35 1. Randori（EASM）35 2. UpGuard（EASM）36 3. Axonius（CAASM）36 4. Balbix（CAASM）37 5. CTM360（DRPS、EASM）37 6. Cycognito（EASM）38 7.Tenable（CAASM和EASM）38 8.PaloAltoNetworks（EASM）39 9.JupiterOne（CAASM）39 10.SOCRadar（EASM和DRPS）39 11.CrowdStrike（EASM）40 12.NoeticCyber（CAASM）40 13.SevcoSecurity（CAASM）41 14.Brinqa（CAASM）41 15.Reflectiz（EASM）42 16.Censys（EASM）42 17.DigitalShadows（EASM）42 18.CyberInt（DRPS）43 19.NetSPI（ASM）43 20.Cyberpion（EASM）43 21. ImmuniWeb（EASM）44 22. BishopFox（EASM）44 23. Coalfire（EASM）44 24. LookingGlass（EASM）45 25. RunZero（CAASM）45 26. BrandDefense（DRPS）45 (二)国内厂商45 1. 360数字安全集团45 2.华顺信安47 3.华云安48 4.魔方安全48 5.盛邦安全49 6.长亭科技50 7.云科安信50 8.斗象科技51 9.绿盟科技52 10.未岚科技52 11.螣龙安科53 12.零零信安54 13.知道创宇54 14.墨云科技55 15.灰度安全56 16.微步在线56 17. 天际友盟57 18. 雾帜智能57 19. 迪普科技58 20. 天防安全58 21. 万物安全59 九、 解决方案与案例60 (一)三六零数字安全集团-----某国有大型银行安全运营中心项目（攻击面部分）60 (二)华云安-----国网某省公司基于攻击实战场景下的攻击面管理项目62 (三)盛邦安全-----某运营商互联网资产暴露面发现与安全治理方案64 (四)魔方安全-----某股份制银行攻击面管理最佳实践66 (五)长亭科技-----互联网攻击面管理建设项目68 (六)未岚科技-----全场景化攻击面管理建设项目70 (七)云科安信-----某银行攻击面管理项目72 (八)螣龙安科-----金融集团型企业资产测绘及管理解决方案74 (九)华顺信安-----某大型金融行业单位攻击面管理实践项目77 1 法律声明 本报告版权归属于北京赛博英杰科技有限公司，报告中的文字、表格均受到中华人民共和国知识产权法律法规的保护，禁止任何商业性质的更改、报道、摘录以及引用；任何非商业性质的报道、摘录以及引用请务必注明版权来源，并获得北京赛博英杰科技有限公司的书面授权。 本报告中的调研数据均采用行业公开信息、深度访谈、实地调研、桌面研究得到。本公司不承担因使用本报告而产生的任何法律责任。 前言 “攻击面管理”是2022年中国网络安全产业热度上升比较快的词，过去从事网络资源探测、漏洞管理、自动渗透测试工具产品研发的公司纷纷推出自己的攻击面管理产品，或给自己打上“攻击面管理”的标签。数说安全为此分别做了供给侧、需求侧调研，试图搞清楚大家口中的攻击面管理到底是什么，攻击面管理在用户安全防线中定位是什么，其 核心技术与能力是什么，各厂商的技术差别与产品定位是什么，各甲方单位的攻击面管理工作的痛点是什么，建设进度如何，以及通过数说安全商业分析平台对攻击面管理相关项目情况进行了分析，给出了攻击面管理市场的总结与展望。 最后，对从事攻击面管理的26家国外厂商及21家国内厂商做了分析和总结，并展示 了其中9家国内厂商的解决方案与案例。 2 一、概述 网络攻击面是指黑客或攻击者在攻击时所能利用的网络漏洞和安全弱点的总和，对于组织而言，管理网络攻击面是保护网络安全的重要措施之一。 网络安全攻击面管理是对组织的网络资产进行全面分析，识别所有攻击者可能利用的漏洞和安全弱点，然后制定相应的防御措施和补救措施的过程。其目的是为了提高网络安全防御的有效性和韧性，以保护组织的网络资产免受各种威胁和攻击。 (一)主要发现 供给侧视角：国内攻击面管理市场厂商数量已达到20-30家，大多数厂商以资产测绘与管理、漏洞扫描与漏洞管理、威胁情报等作为核心能力，通过叠加微创新，参与市场竞 争。 需求侧视角：客户侧目前最大的驱动力来源于实网攻防，通过产品或服务减小风险暴露面。最新发布的《信息安全技术关键信息基础设施安全保护要求》中也提出了收敛暴露面等主动防御要求，未来或将推动需求由事件型驱动向合规驱动转变。 技术视角1：EASM和DRPS从产品技术、客户需求和应用场景来看具备一定的共通性和互补性，当前大部分EASM厂商通过自研或外购的形式整合了DRPS能力来提升产品竞争力，EASM和DRPS的融合已经在市场中体现。 技术视角2：EASM可以作为CAASM在暴露面发现阶段的能力进行补充，同时完善内外网资产关联分析来挖掘更深层次的攻击面风险。随着厂商的技术能力增强，客户的需求度提高，CAASM和EASM未来发展趋势将融合为一个平台来应对不同的应用场景。 技术视角3：目前企业安全建设仍以内网安全为第一优先级，随着数据要素市场发展， 企业数据使用与流通加速，对于企业外部IT资产与数据风险，特别是针对敏感信息泄漏等情况，EASM将是很好的能力补充。 业网络资源测绘系统观星台与内部产品团队融合，共同打造攻击面管理产品线；2、联软科技并购魔方安全，补充外部攻击面管理解决方案。 资本视角2（投融资）：从近五年的投融资数据统计看，攻击面管理赛道内公司融资进程提速明显。2022年，海外的攻击面管理赛道一级市场的融资总额9.98亿美金，为2018年的11.48倍；融资公司数达到11家，共发生13轮融资。国内2022年攻击面管 理赛道融资企业5家，共发生5轮融资，相较于2018年的2家公司共进行3轮融资，活 跃度明显提升。从融资企业所处阶段看，有处于创业中期的华顺信安及华云安，但多数为 资本视角1（并购）：最近3年国外攻击面管理市场并购交易保持活跃，IT巨头（IBM、Micrsoft、Google）和安全巨头（PaloAlto、CrowdStrike）通过收购EASM厂商，在现有产品上快速扩展对企业外部攻击面发现与管理的能力。但近3年还没有看到CAASM方向的并购。国内攻击面管理市场并购交易发生过两起：1、360并购数字观星，将后者的企 初创企业（未岚科技、云科安信、零零信安等），赛道整体仍处于爬升期。 市场视角：狭义的攻击面管理市场主要指客户采购明确的攻击面排查、网络资产测绘及管理、威胁情报获取等攻击面管理产品及服务形成的市场，目前我国狭义攻击面管理市场正处于起步阶段。广义的攻击面管理市场应包含可纳入该领域的所有安全产品及服务，例如漏洞发现与管理、网络资产测绘及管理、威胁行为检测、攻击链路绘制、风险评估、优先级评估及排序、响应处置等领域，2022年广义攻击面管理市场规模约26亿元。 (二)推荐 甲方单位网络安全与风险管理负责人应当： 考虑采用攻击者视角重新审视自己的网络安全防御方案，发现防御的盲区，重新调整防御的优先级； 攻击面管理的部署顺序考虑EASM与DRPS服务先行，CAASM跟上； 网络安全公司产品负责人应当： 投入研发资源解决客户对资产管理能力满意度低的问题，在数字资产发现、整合方面提升用户可用性； 解决客户已有资产管理系统、漏洞管理系统的能力整合问题，而不是简单替代； 关注自动化、AI能力加持，减少对企业网络安全运营人员的要求； 建议加强云上资产发现与攻击面管理能力； 中小企业考虑采用相对低成本的EASM，大型企业应考虑EASM、CAASM、DRPS整合解决方案； 二、市场定义 (一)攻击面管理的起源 2018年，Gartner敦促安全领导者开始减少、监控和管理他们的攻击面，作为整体网络安全风险管理计划的一部分，并且在2021年发布的《HyperCycleforSecurityOperations，2021》中将攻击面管理（ASM，AttackSurfaceManagement)相关技术 定义为新兴技术，这被大家公认为是“攻击面管理”这个名词做为一种网络安全产品类别 的起源。 (二)攻击面是什么？ 美国国家标准与技术研究院（NIST）对攻击面的定义是：“位于系统、系统组件或环境的边界上的一组入口，攻击者可以从这些入口尝试进入、产生影响或从中提取数据。” （Thesetofpointsontheboundaryofasystem,asystemelement,oranenvironmentwhereanattackercantrytoenter,causeaneffecton,orextractdatafrom,thatsystem,systemelement,orenvironment.）。 攻击面是所有可从Internet访问的处理或存储数据的硬件、软件、SaaS和云资产，将其视为网络犯罪分子可用于操纵网络或系统以提取数据的攻击媒介的总数。攻击面包括： 安全或不安全的资产 已知或未知资产 影子IT 活动或非活动资产 托管和非托管设备 硬件 软件 软件即服务（SaaS） 云资产和资源 物联网设备 供应商管理的资产：攻击者不会由于跨越组织边界而停止攻击，恰恰相反，通过供应链进行攻击是当今攻击者常用的手段。 流氓资产：包括恶意软件、错误域名或仿冒组织域名的网站或移动应用程序等由攻击者建立的IT资产。 每天有数百万的此类资产出现在Internet上，并且完全不在防火墙和端点保护服务 的范围内。其他名称包括外部攻击面和数字攻击面。 来源：未岚科技 图1：攻击面的组成 (三)攻击面管理是什么？ 不同机构对攻击面管理的定义略有区别，但大同小异。 IBM对攻击面管理的定义：攻击面管理(ASM)是对构成组织攻击面的网络安全漏洞和潜在攻击向量的持续发现、分析、修复和监控。 MichaelCobb对攻击面管理的定义：攻击面管理是对组织的IT基础设施的持续发现、清点、分类和监控。 Cycongnito对攻击面管理的定义：攻击面管理是发现、分类和评估组织所有资产安全性的持续过程。 CrowdStrike对攻击面管理的定义：攻击面管理是对组织IT基础架构内的攻击媒介进行持续发现、监控、评估、优先排序和补救。 Mandiant对攻击面管理的定义：在当今的动态、分布式和共享环境中发现和分析互联网资产，持续监控已发现资产的风险敞口，并使情报和红队能够实施风险管理并为风险管理提供信息。 PaloAltoNetworks对攻击面管理的定义：攻击面管理(ASM)是持续识别、监控和管理所有内部和外部互联网连接资产以发现潜在攻击向量、暴露和风险的过程。 国内的赛迪顾问在《中国攻击面管理市场研究报告，2022》中将攻击面管理定义为：攻击面管