Attack Surface 攻击面

攻击者 可以尝试入侵的所有点的集合。

跟 攻击向量 的区别:vector 是”具体路径”,surface 是”所有可能路径的总和”。

三类攻击面

类型	包含什么
数字攻击面	暴露的端口、API、Web 应用、SaaS、云资源、域名、证书
物理攻击面	办公室门禁、未上锁的工位、USB 口、丢失的设备
人员攻击面	员工的判断力、对 社工 的抵抗力

影响大小的因素

• 暴露在公网的服务数量
• 开放端口和协议数量
• 使用的第三方依赖、SaaS 数量
• 员工数量和权限分布
• 远程办公、BYOD 普及度
• 遗留系统 数量

缩减攻击面

减少攻击面比”加防御层”更划算:

• 关闭不用的端口和服务(安全加固)
• 删除不用的账号、停用闲置 SaaS
• 限制公网暴露,内部用 VPN/ZTNA
• 移除老系统、过期依赖
• 执行 最小权限
• 持续做 Attack Surface Management (ASM),自动发现暴露面