文章总结： 文章指出攻击面管理ASM投资回报难证因乙方盘点常漏未知资产且指标重数量轻结果，建议以风险处理速度、高危暴露时长与攻击路径缩短等结果导向指标替代资产覆盖率，动态衡量方能体现真实降险价值 综合评分： 72 文章分类： 安全运营,漏洞分析,安全建设,解决方案,威胁情报

网络安全行业，攻击面管理（ASM）的投资回报率问题探讨

原创

JUN哥

君说安全

2026年1月3日 00:01 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“ 攻击面管理（ASM）的投资回报率问题探讨。”

备注：图片来源于网络

大家好，我是Jun哥。

今天咱们聊攻击面管理（ASM），ASM这个词其实并不新鲜，很多企业或组织都部署了相关的ASM工具并配备专业的网络安全运营人员。

ASM也是网络安全运营中心SOC必备的一个主要模块或者工作，作为乙方来说，一般都会承诺部署相关ASM工具之后，能够降低网络安全风险。

但行业内有一个观点，就是你永远不能保护一个未知的资产，换句话的意思就是如果某些资产没有被盘点到ASM的资产清单，那么ASM对这些资产就是无效的。

所以，很多甲方领导总是会问，“ASM是否在减少安全事件？”，嗯，这个答案在不同组织中，往往并不明确。

这里的投资回报率就是ASM的努力与结果之间的差距，是ASM的核心问题，因此ASM管理依赖的是已知可管理资产的数量，而非组织或企业面临或者存在的真正风险。

  01  乙方的承诺

大多数网络安全的乙方厂商，都是围绕资产盘点的合理的理念来布局组织的ASM的，主要包括资产的全生命周期管理，或者基于漏洞的全生命周期管理。

但笔者要说的是，你无法保护你不知道并存在的资产，从攻击者的角度来讲，都是无差别攻击。

作为网络厂商，在乙方梳理各种资产的时候，其实对业务是不了解的，大部分梳理是基于已知域名和子域名、IP和云资源、第三方基础设施以及短暂或短暂的资产单来整理资产的，实际上可能甲方爸爸最终也不清楚自己到底有哪些未知的资产。

随着时间的推移，其实这种状况是越来越糟糕的，未知资产的数量在增加，尤其是中大型组织，资产管理越是混乱，网络安全厂商的接入并不能完全的梳理出来各种资产信息，所以这个承诺在合同存续期存在运气成分。

安全运营团队在很多情况下，可能变得很忙碌，但实际上却没有减少攻击暴露面，因为无法保护在资产清单之外的资产。

  02 ASM为什么无效

ASM实际上更倾向于资产覆盖范围，因为覆盖率易于衡量。

发现和梳理的资产越多，检测到的漏洞，安全问题就会变更越多，相关告警也就产生的越多。

因此，ASM衡量的是过程，而非结果，是对安全资产的投入，这在银行、运营商、大型制造业等组织是有一定效果的。

但实际的安全运营团队或者外包的网络安全团队，长期处于疲劳的告警处理，长期积压的“已知但未解决”资产，反复的所有权确认等重复工作中，并且在做ASM资产梳理时，通常长达数月，甚至可以按年计算。

但这样的类似的工作是真实存在的，资产的数量在增加，因此目前还没有很好的办法能够覆盖到所有资产，未知资产的数量也会随着时间增加，这会导致这部分资产的风险增加而没有感知。

  03 测量差距

ASM 投资回报率难以证明的一个原因是，大多数攻击面指标关注的是系统能看到什么（有哪些资产，有什么漏洞），而不是组织实际改进了什么。

常见的ASM就只有两个指标，一个是资产数量，一个是变更次数。但更有意义的ASM管理指标通常会被忽略，比如高风险资产数量，高危漏洞的暴露持续时间以及攻击路径是否随着时间的推移在缩短等，

因此，资产清单依旧是ASM管理的基础，是衡量外部供给面核心指标。

没有广泛的资产发现，就没有漏洞或者风险的暴露，也就无法理解被攻击情况（发生安全事件后的后知后觉），因此当资产盘点不全时，风险就会发现不全，这就是ASM管理与实际风险存在客观存在之间的测量差距。

因此，与其在ASM中问“发现了多少资产”，不如问更有用的问题，“处理了多少风险暴露，系统的安全性提高了多少？”

为什么作为乙方安全厂商很难梳理清楚ASM资产？

嗯，这个问题很简单，但是在实际工作中却很复杂。小型组织或企业还好，中大型企业ASM资产清单的确是一笔糊涂账，各种原因都有，尤其是资产是处于不断变更的过程。

比如已有第三方不想暴露，甲方资产管理员也不清楚，还有一些临时资产，确权都很难，尤其在云环境下，各种复杂情况都可能出现。

现阶段ASM的三个核心指标是：资产清单和归属权，资产的重要程度，资产的变更情况。

但在实际安全运营过程中，这些具体的指标易于达成共识，但难以量化。尤其是大型企业或者组织，这些问题更是难以解决。因此，有一种观点认为ASM管理的不是为了更多的资产和风险信息，而是更快的资产和风险识别途径。

ASM管理的结果其实领导不是其核心关注，这就导致了很多安全运营团队在ASM管理过程中并不是不够努力，而是努力的结果与领导的最终核心关注有差距。

  04 如何改进

ASM管理应以动态的观点来看或者实践，是以变化为衡量标准，而不是以资产的积累和更新来衡量。

发现新的未知资产永远重要，因为资产可见性是ASM管理的核心，它始终重要。但这并不能真正地减少网络安全风险，只能保证已知风险被观察到。

当风险资产更快被确认拥有、危险路径就会更早消失、废弃基础设施不再无限期停留时，攻击面管理的投资回报率就会显现。

资产清单提供了必要的广度，以结果为导向的指标提供了理解真实风险降低所需的深度，最重要的是，攻击面指标让进展可见，而不仅仅是库存增长。

对于乙方来说，ASM报告可能做得很漂亮，但是实际上能否减少网络安全事件的发生，就不仅仅是漂亮的报告问题了。

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。****

★点赞，转发，设为星标★

与你一起分享网络安全职场故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君说安全 JUN哥《网络安全行业，攻击面管理（ASM）的投资回报率问题探讨》