ASM相关概念起源与发展

1 攻击面

1.1 概念起源

1.2 一般化定义

1.3 一般识别与研究过程

1.4 攻击面基本模型

1.4.1 枚举模型

1.4.2 关联模型

1.4.3 图模型

2 攻击面管理

3 外部攻击面管理

4 网络资产攻击面管理

5 结论

1. 攻击面管理只是实践概念，没有明确的理论起源，攻击面有；
2. 但攻击面没有统一明确的理论概念；
3. 攻击面和攻击面管理的概念并不是相伴而生或延续产生的，而是分别产生的；

攻击面缘于对于信息资产本身的评估和度量

攻击面管理缘于安全管理和安全运营活动

1. 攻击面起源时就不是纯粹的技术概念，在实践过程中产生了分化；
2. 攻击面概念的提出就伴随着攻击面的评估和量化，因此评估和量化本身就是攻击面管理工作的基础；
3. 攻击面管理含义要远远广于资产发现，无论是概念内涵还是实践内容。

6 问题

1. 资产到底指的是？
2. 信息安全业界除了安全运营还有什么？安全规划（体系/标准）、安全运营、（风险评估/渗透测试/安全运维/审计）技术