攻击面管理的投资回报率困境

攻击面管理工具承诺能够降低风险，但它们实际交付的往往只是更多信息。

安全团队部署攻击面管理工具后，资产清单不断扩充，警报开始纷至沓来，仪表盘也被数据填满。这些都是看得见的活动和可量化的产出。但当管理层提出一个简单的问题——“这是否减少了安全事件的发生？”时，答案却常常含糊不清。

这种投入与成果之间的差距，正是攻击面管理领域投资回报率问题的核心。尤其是当投资回报率主要以资产数量而非风险降低程度来衡量时，这个问题会更加突出。

承诺与实效的落差

大多数攻击面管理项目的建立都基于一个合理的理念：你无法保护那些你根本不知道其存在的资产。

因此，团队会将工作重心放在资产发现上，包括域名与子域名、IP地址与云资源、第三方基础设施，以及临时或短期存在的资产。

随着时间推移，资产数量不断增长，仪表盘上的数据持续走高，资产覆盖率也逐步提升。但这些指标没有一个能直接回答“企业是否真的变得更安全”这个问题。在很多情况下，团队变得更忙碌，却并未感受到风险敞口的缩小。

为何攻击面管理看似忙碌却收效甚微

攻击面管理往往会优先优化资产覆盖率，因为覆盖率是一个极易衡量的指标：发现的资产更多、检测到的变更更多、生成的警报也更多。每一项数据的增长，都让人感觉工作在稳步推进。

但这些指标衡量的大多是投入，而非成果。

在实际工作中，团队往往会面临以下问题：

•警报疲劳

•大量“已发现但未解决”的资产积压

•资产归属问题反复出现争议

•风险敞口长期存在，数月得不到解决

团队确实付出了实实在在的努力，但风险降低的效果却难以体现。

衡量指标的缺口

攻击面管理的投资回报率之所以难以证明，原因之一在于大多数攻击面衡量指标只关注系统能“看到”什么，而非企业实际“改善”了什么。

常见的攻击面管理指标包括：

•资产数量

•变更数量

而那些更具实际意义的指标，却很少被纳入追踪范围：

•高危资产确定归属的速度有多快

•高风险敞口的持续时间有多长

•攻击路径是否真的在逐步缩短

资产清单是衡量外部攻击面的基础。没有全面的资产发现工作，企业根本无法了解自身的风险敞口状况。但当发现类指标没有与风险降低类指标结合使用时，衡量缺口就出现了。

缺乏以成果为导向的衡量指标，即便所有人都认同资产可见性的必要性，攻击面管理项目在预算评审中也难以站稳脚跟。

有意义的投资回报率应该是什么样？

与其问“我们发现了多少资产”，不如问一个更有价值的问题：“我们处理风险敞口的速度是否更快、方式是否更安全？”

这种提问方式的转变，将投资回报率的衡量核心从“可见性”转向“响应质量”和“敞口持续时间”。这两个因素与现实中的风险水平关联更为紧密。

三个真正关键的成果类指标

1.资产平均归属确定时长

回答“这项资产归谁负责”这个基础问题需要多长时间？

没有明确归属的资产会面临以下问题：

- 风险敞口长期存在

- 补丁更新严重滞后

- 极易被彻底遗忘

缩短资产归属确定时长，能有效减少“有风险敞口却无人负责”的窗口期。这是证明攻击面管理成果正在转化为实际行动的最清晰信号之一。

2.未认证状态变更端点数量的下降幅度

并非所有资产的重要性都是均等的。

追踪有多少外部端点可以变更系统状态、其中有多少需要身份认证，以及这些数据的变化趋势，能更有力地证明攻击面是否在关键环节实现了收缩。

一个拥有数千个静态资产、但几乎没有未认证状态变更路径的环境，要远比资产数量更少、却存在大量高危入口的环境安全得多。

3.资产失去归属后的平均下线时长

以下情况发生后，风险敞口往往会持续存在：

•团队人员变动

•应用系统淘汰

•供应商迁移

•企业组织架构调整

衡量资产在失去归属后多久能被下线处置，是评估企业长期安全管理水平的重要指标，同时也是最不常被追踪的指标之一。

如果被弃用的资产无限期留存，那么单纯的资产发现工作根本无法降低风险。

这些指标在实际工作中如何落地？

抽象的指标很容易达成共识，但很难转化为实际操作。我们的目标不是打造一个新仪表盘或生成一套新警报，而是转变可视化的内容——让资产归属缺口、风险敞口持续时间，以及那些原本淹没在资产数量中的未解决风险，都清晰地呈现出来。

这种衡量视角不再强调资产总数，而是聚焦于以下几点：

•哪些资产已有明确归属

•哪些资产的问题仍未解决

•资产归属不明的状态持续了多久

我们的目标不是生成更多警报，而是实现更快速的风险处置。

让攻击面管理成为一项可控能力

攻击面管理之所以陷入困境，并非因为团队不够努力，而是因为投入的精力没有持续转化为管理层关心的成果。

围绕“速度”“归属”和“敞口时长”重构投资回报率的衡量标准，即便资产原始数量没有变化，也能清晰展现出实实在在的进展。在很多情况下，攻击面管理最有价值的成果，就是让企业的攻击面重新回归“平稳无虞”的状态。

一个具体可行的起点

要检验基于成果的攻击面管理指标是否有效，一种方法是让资产可见性在各团队间广泛共享，而不是被局限在单一工具的壁垒中。

我们发现，当工程、安全和基础设施团队都能看到资产归属缺口和风险敞口持续时间时，无需增加警报数量，风险处置的速度也会显著加快。

基于这一思路，我们推出了攻击面管理平台的社区版。该版本免费开放，不限使用权限，能为用户提供资产发现和归属可见性功能。它的目标不是替代现有工具，而是为团队提供一种方法，去衡量风险敞口是否真的在逐步缩小。

如果你想检验自己团队攻击面管理项目的投资回报率，可以试试这样做：先忽略资产数量。

转而问自己三个问题：

•高危资产处于无归属状态的时间有多久？

•与上一季度相比，当前未认证的状态变更路径数量有何变化？

•被弃用的资产多久能被清理下线？

如果这些问题的答案没有向好的方向发展，那么再多的资产发现工作，也无法改变最终的结果。

结论：衡量那些真正能改变风险的指标

当攻击面管理的衡量标准聚焦于“改变了什么”，而非“积累了什么”时，它的价值才具有说服力。资产发现工作永远重要，在衡量攻击面时，资产可见性也不可或缺。但这两者都只能保证风险被“观察到”，无法保证风险被“降低”。

只有当高危资产更快被确定归属、危险攻击路径更快被消除、废弃基础设施不再无限期留存时，攻击面管理的投资回报率才真正得以体现。资产清单为风险衡量提供了广度，而以成果为导向的指标，则为理解实际风险降低程度提供了深度。

在链轮安全公司，我们思考攻击面管理时，不仅会关注资产的数量，更会关注有实质影响的风险敞口的持续时间，以及其被解决的速度。最重要的一点是，攻击面相关指标要能展现出实实在在的进展，而非仅仅体现资产清单的增长。

如果一个攻击面管理项目无法回答“风险敞口是否在缩小”这个问题，那么很难说它的作用超出了“报告问题”的范畴。

注：本文由链轮安全公司的解决方案工程师托弗·莱昂斯精心撰写并提供。

文章来源：安在