2023年主流攻击面发现平台对比分析报告

2023年主流攻击面发现平台对比分析报告 1. 测试概述 本报告对2023年市场上可直接购买且明码标价的攻击面发现平台进行了对比分析，测试对象包括： 零零信安攻击面管理平台 长亭云图极速版攻击面管理平台 测试用例： 企业目标：某制造有限公司 高校目标：某职业学院 2. 平台功能对比 2.1 核心功能对比 | 测试项目 | 零零信安 | 长亭云图极速版 | |---------|---------|--------------| | 实时扫描 | ❌ | ✅ | | 持续监控 | ❌ | ✅ | | 非IT资产暴露面检查 | ✅ | ❌ | | 关联企业发现 | ✅ | ❌ | | 扫描速度 | 历史数据10-40分钟 | - | | 漏洞检测 | ❌ | ✅ | | 非漏洞风险检测(弱口令) | ❌ | ✅ | | 使用限制 | 无 | 需要扫描授权 | 2.2 价格对比 | 平台 | 价格方案 | |------|---------| | 零零信安 | 2138.4元/年(月更) | | 长亭云图极速版 | 8236.8元/年(周更) 或 5元/月(基础扫描) 或 2000元/月(深度扫描) | 3. 平台详细分析 3.1 长亭云图极速版攻击面管理平台 使用方式 ： 直接录入目标企业的主体名称即可开始自动化攻击面发现 无需进行资产采集即可使用 企业目标测试结果 ： 资产信息： 1个备案域名 7个子域名 39个IP地址 2532个网站 808个站点 优势信息： 提供安全风险信息 详细资产分类 验证方式明确 高校目标测试结果 ： 资产信息与企业目标类似 风险详情清晰展示风险判定及验证方式 持续监控模式，数据量和风险信息会不断增加 特点 ： 可进行漏洞探测、弱口令检测等风险检查 告警信息详细展示判断漏洞存在的请求和响应 界面排版和操作逻辑合理 大部分操作在首页即可完成 槽点 ： 需要扫描授权，否则无法使用 3.2 零零信安攻击面管理平台 使用方式 ： 输入任何目标相关的资产即可关联剩余目标相关信息 交互体验类似FOFA + 企查查 企业目标测试结果 ： 资产信息： 1个备案域名 优势内容： 股权关系信息 人员信息等非IT资产 高校目标测试结果 ： 资产信息： 1727个资产 2个备案域名 171个域名 10个邮箱 747个代码及文档泄露 1个人员信息 优势信息： 人员信息 分档信息 邮箱信息 移动应用信息 特点 ： 更侧重于股权关系、人员信息等非IT资产的攻击面发现 可发现数据泄露相关信息（类似关键字爬虫功能） 槽点 ： 第三方引用、历史无效数据等无效资产过多 数据有效性低 备案信息中存在不相关内容（如腾讯云备案号） 首页展示的资产基本都无法访问 检索到的数据大部分都是第三方引用，无法精准发现信息泄露风险 4. 技术实现对比 | 平台 | 技术实现 | |------|---------| | 零零信安 | FOFA + 企查查 + 爬虫 | | 长亭云图极速版 | FOFA + 企查查 + xray实时扫描 | 5. 适用场景建议 选择长亭云图极速版的情况 ： 需要实时扫描和持续监控能力 重视漏洞检测和弱口令等安全风险 需要详细的资产分类和安全验证信息 预算相对充足 选择零零信安的情况 ： 重点关注非IT资产暴露面（如股权关系、人员信息） 需要关联企业发现功能 预算有限 可以接受数据有效性较低的情况 6. 总结 两款攻击面发现平台各有侧重： 长亭云图极速版在IT资产安全检测方面更为专业和全面，适合安全团队进行深入漏洞挖掘和风险管控 零零信安在非IT资产信息收集方面表现突出，适合进行企业关联分析和人员信息收集 企业在选择时应根据自身需求和预算进行权衡，若条件允许，可考虑结合使用两款平台以获得更全面的攻击面覆盖。