网络攻击面管理公司认为随着网络攻击导致的业务风险增加，企业开始要求更深入地了解其组织的安全风险。如果组织内VIP员工的个人隐私数据泄露，攻击者很有可能通过登录其邮箱、CRM系统、OA系统、业务系统、钉钉、VPN等，直接获取组织的敏感信息甚至核心数据。

网络攻击面管理公司认为将ASM的安全思维从防御者的思维重新调整为攻击者的思维。这使得安全团队能够更好地确定攻击表面区域的优先级。针对IT环境的特定方面，可以从攻击者的角度展开渗透测试和红队测试。

攻击面管理产品包括SaaS、基于云的受管系统。这些产品和服务将自动发现攻击者可以查看的外部资产，并根据商业、开源和专有威胁情报来源对其进行评估，从而为企业的整体安全状况生成安全评级。

网络攻击面管理公司认为攻击面管理产品主要包括：网络空间映射(CAM)、组织结构和相关组织识别、数字足迹映射、供应链和风险暴露识别、威胁情报(TI)功能组(业务数据和数字资产泄露信息、隐私数据泄露和内部人员数据泄露信息)、漏洞优先技术(VPT)、攻击面管理系统(产品)。

网络攻击面管理公司认为对于企业来说，传统的渗透测试或者攻防演练会耗费大量的时间和人力，所以企业很少使用。但攻防对抗是动态的，仅靠一年屈指可数的测试和演练发现问题是不够的。正常的攻击测试可以确保及时发现问题并告知企业，从而帮助企业尽早处理相关风险。扩展威胁情报服务也将更加普遍。通过这项服务，企业可以提高其情报能力，为其全面的风险分析提供数据支持。

网络攻击面管理公司认为减少攻击面的简单方法是消除与业务运营不再相关的资产。消除不相关的资产需要对您的技术堆栈和资产清单中的组件有详细的了解。您可能会发现以前被认为是过时的资产。许多资产列表仍然存在于电子表格中，随着时间的推移，这将引入错误和不准确。

网络攻击面管理公司认为风险是首先减少攻击面的关键指标。处理具有高风险指标的资产几乎可以立即提供良好的投资回报。风险指标可以包括常见漏洞和暴露(CVE)，即公开披露的计算机安全漏洞列表。其他风险指标可能包括无效证书、SSL分数等。

网络攻击面管理公司认为CVE漏洞通常需要立即关注。根据企业的资产列表跟踪CVE漏洞，然后快速应用更新或其他缓解策略。对CVE漏洞的识别表明，攻击者可以利用它来促进网络渗透和数据泄漏。防御方必须及时更新和修补已识别的软件或确定安全控制的调整，以保护已识别的CVE漏洞。