The Last 24 Hours | 安全无小事

攻击面管理的投资回报率(ROI)问题

2026/1/2 安全工具 The Hacker News

攻击面管理(ASM)工具承诺降低风险,但实际上它们往往提供的只是更多信息。

安全团队部署 ASM 后,资产清单膨胀,告警涌现,仪表盘被填满。可见的活动和可量化的输出让人感觉进展显著。然而,当领导层问一个简单的问题,“这真的在减少事件吗?”时,答案往往不明确。

这种努力与结果之间的差距,就是攻击面管理的核心 ROI 问题,尤其是当 ROI 主要通过资产数量而非风险降低来衡量时。

承诺 vs. 证据

大多数 ASM 项目基于一个合理的想法:你无法保护未知的东西。因此,团队专注于发现:域名和子域名、IP 和云资源、第三方基础设施以及瞬时或短命资产。

随着时间推移,数量上涨,仪表盘呈上升趋势,覆盖面提升。

但这些指标并未直接回答组织是否真的更安全。很多情况下,团队变得更忙,却并未感到暴露更少。

为何 ASM 看似忙碌却不够有效

ASM 往往优化覆盖率,因为覆盖率易于衡量:发现的资产越多,检测到的变更越多,生成的告警越多。这些都像是进步的信号。

但它们主要衡量的是输入,而非产出。

在实际工作中,团队会遇到:

  • 告警疲劳
  • “已知但未解决”资产的长期积压
  • 所有权混乱反复出现
  • 暴露持续数月

工作是真实的,风险降低却难以观察。

衡量的鸿沟

One reason ASM ROI 难以证明,是因为大多数攻击面指标关注系统能看到的,而非组织实际改进的情况。

常见的攻击面管理指标包括:

  • 资产数量
  • 变更数量

更有意义的攻击面指标却很少被跟踪:

  • 风险资产被确认所有权的速度
  • 危险暴露持续的时长
  • 攻击路径是否随时间收缩

资产清单是衡量外部攻击面的基础。没有广泛的发现,就不可能了解暴露情况。当发现指标未与风险实际下降的衡量相结合时,便出现了差距。

缺乏以结果为导向的度量,ASM 在预算审查时难以自圆其说,即便大家都认同资产可视化是必要的。

有意义的 ROI 应该是什么样的?

与其问“我们发现了多少资产?”,更有价值的问题是“我们在处理暴露时变得多快且更安全?”

这种重新定位把 ROI 从可视化转向响应质量与暴露时长,更贴近真实风险。

真正重要的三个结果指标

1. 平均资产所有权确认时间

回答“这是谁的?”需要多长时间?

缺乏明确所有权的资产会:

  • 停留更久
  • 补丁推送更慢
  • 更可能被彻底遗忘

缩短所有权确认时间可缩短无责任暴露窗口,是 ASM 成果转化为行动的明确信号。

2. 未认证、可改变状态的端点数量降低

并非所有资产同等重要。

跟踪可改变状态的外部端点数量、需要认证的端点数量以及这些数字随时间的变化,能更有力地反映攻击面是否在关键位置收缩。

拥有成千上万的静态资产但几乎没有未认证可改变路径的环境,比资产少却入口多的环境安全得多。

3. 所有权丧失后的退役时间

暴露常在以下情形后持续:

  • 团队变动
  • 应用下线
  • 供应商迁移
  • 组织重组

衡量资产在所有权消失后被退役的速度,是长期卫生状况的强指示器,却是最少被跟踪的指标。

如果被废弃的资产无限期存在,仅靠发现并不能降低风险。

实践中的表现

抽象指标易于达成共识,却难以落地。目标不是新的仪表盘或不同的告警集合,而是让可视化的内容转向:所有权缺口、暴露时长以及未解决的风险,这些都不应被资产计数所掩盖。

不再强调总资产数量,而是突出:

  • 哪些资产已有所有者
  • 哪些仍未解决
  • 所有权不明确的时长

目标不是更多告警,而是更快的解决。

把 ASM 变成一种控制手段

ASM 并非因为团队不够努力而失灵,而是因为努力未能持续关联到领导层关心的结果。

围绕速度、所有权和暴露时长重新定义 ROI,使得即使资产总数不变,也能展示真实进展。许多最有意义的胜利来自于让攻击面再次变得“无聊”。

一个具体的起点

检验基于结果的 ASM 指标的一种方法是,使资产可视化在整个组织中广泛可用,而不是被工具孤岛封闭。我们发现,当工程、安全和基础设施团队都能看到所有权缺口和暴露时长时,解决速度会加快,而无需增加更多告警。

这促使我们发布了 community edition of our ASM platform,免费向所有团队开放资产发现和所有权可视化。目标不是取代现有工具,而是提供一种衡量暴露是否随时间收缩的手段。

如果你想检验 ASM 项目的 ROI,请尝试:忽略资产总数。

相反,问自己:

  • 风险资产未被拥有的时长有多长?
  • 当前与上季度相比,未认证、可改变状态的路径数量是多少?
  • 被废弃资产消失的速度如何?

如果这些答案没有改善,单纯的发现并不能改变结果。

结论:度量真正改变风险的因素

当攻击面管理通过能够衡量变化的指标进行评估时,它才具有说服力。发现永远重要,可视化同样重要,但二者都不能保证暴露在减少,只能保证暴露被观察到。

当风险资产更快被确认拥有、危险路径更早消失、废弃基础设施不再长期存留时,ASM 的 ROI 才会显现。资产清单提供必要的广度,面向结果的指标提供理解真实风险降低所需的深度。

在 Sprocket Security,我们思考攻击面管理时,不仅关注资产数量,还关注有意义暴露的持续时长以及其解决速度。最关键的是,让攻击面指标展示进展,而不是仅仅展示清单增长。

注意:本文由 Sprocket Security 解决方案工程师 Topher Lyons 撰写并贡献。