《数世咨询：2022中国金融行业攻击面管理白皮书（43页）.pdf》由会员分享，可在线阅读，更多相关《数世咨询：2022中国金融行业攻击面管理白皮书（43页）.pdf（43页珍藏版）》请在三个皮匠报告上搜索。

1、2022 中国金融行业 北京数字世界咨询有限公司 2023.1攻击面管理白皮书 北京数字世界咨询有限公司 2023.12022 中国金融行业攻击面管理白皮书2020 年，数世咨询首创网络安全三元论，后进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中：信息技术是数字安全工作开展的基础，不清楚资产，何谈保护？没有网络，就没有网络安全；网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化；业务应用既是信息技术与网络攻防的成本来源，也是两者最终的价值所在。数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。数字安全以网络

2、安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委主笔分析师 刘宸宇 首席分析师 李少鹏 分析团队：数世智库 数字安全能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目录前言 1关键发现 31定义及

3、描述 41.1攻击暴露面 41.2攻击面管理 41.3EASM 与 CAASM 51.4与现有安全解决方案的区别 52金融行业攻击面管理需求现状分析 82.1安全强合规，但缺少可落地的指导细则 82.2金融机构安全团队往往面聊多个监管方的扫描与通报 82.3攻击面管理的建设与运营，仍然需要事件驱动和推动 92.4业务变化快，更注重资产生命周期的多标签动态管理 92.5业务属性差异大，要完全实现“同业参考”是一个伪命题 102.6响应时效要求高，需要兼顾可观测性与安全有效性 102.7攻击面收敛难，需要专业技术与服务意识相结合 112.8共同成长，金融机构与安全厂商形成攻击面管理的共生互助关系

4、123行业用户场景 13目录3.1分支机构资产纳管 133.2实网攻防演练 133.3数据泄露溯源取证 143.4安全运营基础设施 143.5后疫情时代的攻击面管理 154关键能力164.1攻击暴露面发现能力164.1.1外部信息攻击面覆盖164.1.2网络资产攻击面覆盖 174.1.3脆弱性风险评估 194.2攻击面数据融合能力 214.2.1多源资产数据接入 214.2.2数据融合与分析 224.3攻击面管理平台能力 224.3.1基于业务视角的资产属性 224.3.2可观测性 234.3.3资产数据输出 244.4攻击面专项收敛能力 254.4.1互联网风险资产快速定位与下线 254.4

5、.2外部信息攻击面收敛 26目录4.4.3办公网资产整体收敛 264.5能力建设建议：阶梯式建设 275代表企业 285.1Mandiant 285.2Sevco Security 295.3魔方安全 316未来展望 346.1攻击面管理作为行业共识，将成为安全运营必选项 346.2金融行业攻击面管理将向“大集中”靠拢 346.3攻击面管理方案的交付将以“平台+服务”结合为主要方式 346.4对攻击暴露面的实时可观测性准确度会越来越高 35 2022 中国金融行业攻击面管理白皮书 1前言金融行业具有关键基础设施属性，是国家与社会生活正常运转的基础与核心。金融行业具有领先的科技属性，AI、区块链

6、、云计算、大数据、5G 等新技术都能在金融行业中找到优秀的最佳实践。同时，金融行业还具有极高的安全属性，从信息安全到网络安全再到数据安全，金融行业的安全需求始终以“强合规、高要求”走在各行业前列，由这些新需求带来的供给侧安全技术创新，也具有很强的示范性与可复制性。在关基属性、科技属性、安全属性等三个属性背景下，金融行业安全建设与运营，最首要场景需求是梳理潜在的攻击暴露面并有效缩小这个攻击面，使其收敛至可视、可查、可控的程度。这成为了金融行业中安全从业者要面对的第一个，也是最基本的一个问题。面对这一需求，供给侧情况如何呢？我们先看国外，继“网络空间测绘”、“资产管理”等概念之后，Gartner