ASM и CTEM: что такое управление поверхностью атаки
ASM (Attack Surface Management, управление поверхностью атаки) — это непрерывное обнаружение, инвентаризация и контроль всех активов, через которые компанию можно атаковать: доменов, IP, веб-приложений, облачных сервисов, забытых и теневых систем. EASM (External ASM) — частный случай, сфокусированный на внешнем периметре, видимом из интернета. CTEM (Continuous Threat Exposure Management, континуальное управление экспозицией к угрозам) — более широкая управленческая программа из пяти стадий, которая ставит во главу угла приоритизацию реально эксплуатируемых рисков и проверку устранения. **Если коротко:** ASM отвечает на вопрос «что у нас вообще есть и что из этого видно снаружи», классическое управление уязвимостями (Vulnerability Management, VM) — «какие известные дыры есть на известных активах», а CTEM связывает всё это в цикл «найти → оценить → приоритизировать → проверить → устранить». Ниже разбираем понятия, отличие ASM от VM, пять стадий CTEM, даём таблицу «понятие → суть» и чек-лист старта. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге ASM и CTEM платформ](/rating/attack-surface-management).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что такое поверхность атаки и почему ею нужно управлять
Поверхность атаки — это совокупность всех точек, через которые злоумышленник может попытаться проникнуть в инфраструктуру или получить данные. Сюда входят внешние веб-сайты и API, почтовые и VPN-шлюзы, открытые порты, облачные бакеты, домены и поддомены, сертификаты, а также внутренние сервисы и учётные записи.
Проблема в том, что в реальной компании этот периметр постоянно «дышит»: маркетинг поднимает лендинги, разработка разворачивает тестовые стенды, подрядчики оставляют забытые сервисы, а сотрудники регистрируют облачные аккаунты. Так появляются теневые активы (shadow IT) — то, чего нет в официальном реестре, но что доступно из интернета и уязвимо. Управление поверхностью атаки нужно именно для того, чтобы видеть периметр глазами атакующего и сокращать его быстрее, чем он разрастается.
ASM, EASM, CTEM, VM: коротко в цифрах
Scoping, Discovery, Prioritization, Validation, Mobilization
Активы, видимые из интернета без учётных данных
ASM сначала находит активы, VM сканирует уже известные
Discovery идёт постоянно, а не раз в квартал
ASM, EASM и CTEM: что это и чем различаются
Эти три аббревиатуры часто смешивают, хотя они описывают разные уровни задачи.
- **ASM (Attack Surface Management)** — управление всей поверхностью атаки: непрерывное обнаружение активов (внешних и внутренних), их инвентаризация, оценка экспозиции и контроль изменений. Ключевая идея — отталкиваться от актива, а не от заранее известного списка целей. - **EASM (External ASM)** — подкласс ASM, который смотрит только на внешний, «интернет-видимый» периметр: домены, поддомены, IP, сертификаты, открытые сервисы. Именно EASM-инструменты чаще всего находят теневые и забытые активы. - **CTEM (Continuous Threat Exposure Management)** — не инструмент, а управленческая программа и цикл. CTEM использует ASM/EASM как источник данных об активах, но добавляет приоритизацию по реальной эксплуатируемости, валидацию (в том числе атакующими техниками) и организацию устранения.
Проще говоря: ASM и EASM дают видимость, CTEM превращает эту видимость в управляемый процесс снижения риска.
Чем ASM отличается от управления уязвимостями (VM)
Классическое управление уязвимостями (Vulnerability Management) и ASM решают связанные, но разные задачи. VM исходит из того, что список активов уже известен: сканер берёт заданные хосты и ищет на них известные уязвимости по базам (например, по [БДУ ФСТЭК](https://bdu.fstec.ru/)). ASM начинается на шаг раньше — с вопроса «а какие активы у нас вообще есть и что из них видно снаружи», включая то, чего нет ни в каком реестре.
- **Точка отсчёта.** VM — от известного актива; ASM — от обнаружения активов, включая теневые. - **Охват.** VM видит то, что ему задали; ASM ищет всё, что ассоциировано с компанией (домены, поддомены, облака, сертификаты). - **Постоянство.** VM часто работает циклами сканирования; ASM рассчитан на непрерывное обнаружение изменений периметра. - **Результат.** VM выдаёт список уязвимостей; ASM выдаёт карту экспозиции активов, на которую VM потом ложится.
Поэтому ASM и VM не конкуренты, а слои: ASM отвечает за полноту картины, VM — за глубину анализа известных активов. CTEM объединяет их в единый цикл вместе с приоритизацией и валидацией.
Понятие → суть: словарь ASM/CTEM
| Понятие | Суть простыми словами |
|---|---|
| Поверхность атаки | Все точки, через которые компанию можно атаковать |
| ASM | Непрерывное обнаружение и контроль всех активов поверхности атаки |
| EASM | ASM для внешнего, видимого из интернета периметра |
| CAASM | Сведение данных об активах из разных систем в единую картину |
| CTEM | Программа-цикл из 5 стадий по управлению экспозицией к угрозам |
| Vulnerability Management (VM) | Поиск известных уязвимостей на известных активах |
| Теневые активы (Shadow IT) | Системы вне официального реестра, но доступные и уязвимые |
| Экспозиция (exposure) | Реальная достижимость и эксплуатируемость актива атакующим |
Пять стадий CTEM
-
01
Определение охвата (Scoping)
Решаем, какие сегменты и бизнес-процессы включаем в программу: внешний периметр, облака, конкретные критичные сервисы. Без границ программа расплывается.
-
02
Обнаружение (Discovery)
Находим активы и связанные с ними уязвимости и слабые места — здесь работают ASM/EASM-инструменты, выявляя в том числе теневые активы.
-
03
Приоритизация (Prioritization)
Ранжируем риски не по формальному CVSS, а по реальной эксплуатируемости, достижимости актива и его ценности для бизнеса.
-
04
Проверка (Validation)
Подтверждаем, что найденное действительно эксплуатируемо и ведёт к значимому ущербу — пентестом, симуляцией атак, проверкой цепочек.
-
05
Мобилизация (Mobilization)
Организуем устранение: ставим задачи владельцам активов, согласуем процессы и метрики, замыкаем цикл и запускаем его снова.
Зрелость функций класса ASM/CTEM-платформ
Усреднённая редакционная оценка готовности класса решений по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем периметре.
Чек-лист старта ASM/CTEM
Реестр и сертификация: что проверять при выборе
Состав рынка ASM/CTEM и характеристики продуктов меняются, поэтому перед закупкой опирайтесь на проверяемые первоисточники, а не на маркетинг. Для российских заказчиков ключевые ориентиры — наличие продукта в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и статус в [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/), а база угроз и уязвимостей [БДУ ФСТЭК](https://bdu.fstec.ru/) полезна для оценки полноты приоритизации.
Это особенно важно для значимых объектов критической информационной инфраструктуры (КИИ) и госсектора, где требования к доверенным средствам защиты задают входной барьер. Список конкретных платформ и их позиционирование — это ориентир, а не рейтинг; сравнение вендоров по подтверждённым сигналам смотрите в [рейтинге категории](/rating/attack-surface-management).
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом ASM и CTEM](/rating/attack-surface-management): здесь — понятия и критерии, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Разобрались с понятиями — переходите к сравнению поставщиков: **[рейтинг ASM и CTEM платформ →](/rating/attack-surface-management)**. Полезно прочитать рядом: [рейтинг ASM и CTEM платформ 2026](/research/reyting-asm-ctem-2026), [как обнаружить теневые активы](/research/obnaruzhenie-tenevyh-aktivov-asm) и [выбор ASM-платформы для мониторинга внешнего периметра](/research/vybor-asm-platformy).
Частые вопросы
Чем ASM отличается от управления уязвимостями (VM)?
ASM начинается с обнаружения активов, включая теневые и забытые, и строит карту того, что вообще видно снаружи. VM работает уже по известному списку активов и ищет на них известные уязвимости. ASM даёт полноту картины, VM — глубину анализа; вместе они дополняют друг друга.
EASM и ASM — это одно и то же?
Нет. EASM (External ASM) — это подкласс ASM, сфокусированный только на внешнем, видимом из интернета периметре: доменах, поддоменах, IP, сертификатах и открытых сервисах. ASM шире и может включать внутренние активы и сведение данных из разных систем.
CTEM — это инструмент или процесс?
CTEM — это управленческая программа и непрерывный цикл из пяти стадий (определение охвата, обнаружение, приоритизация, проверка, мобилизация), а не отдельный продукт. ASM/EASM-инструменты служат источником данных об активах внутри этого цикла.
Зачем нужна стадия валидации в CTEM?
Чтобы не тратить ресурсы на формально «опасные», но реально недостижимые уязвимости. Валидация (пентест, симуляция атак, проверка цепочек) подтверждает, что находка действительно эксплуатируема и ведёт к значимому ущербу, и уточняет приоритеты.
На что смотреть при выборе ASM/CTEM-платформы в России?
На полноту обнаружения (включая теневые активы), качество приоритизации по эксплуатируемости, наличие валидации и интеграций с VM/SIEM, а также на наличие продукта в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу.
Источники и метод проверки
ASM (Attack Surface Management, управление поверхностью атаки) — это непрерывное обнаружение, инвентаризация и контроль всех активов, через которые компанию можно атаковать: доменов, IP, веб-приложений, облачных сервисов, забытых и теневых систем. EASM (External ASM) — частный случай, сфокусированный на внешнем периметре, видимом из интернета. CTEM (Continuous Threat Exposure Management, континуальное управление экспозицией к угрозам) — более широкая управленческая программа из пяти стадий, которая ставит во главу угла приоритизацию реально эксплуатируемых рисков и проверку устранения. **Если коротко:** ASM отвечает на вопрос «что у нас вообще есть и что из этого видно снаружи», классическое управление уязвимостями (Vulnerability Management, VM) — «какие известные дыры есть на известных активах», а CTEM связывает всё это в цикл «найти → оценить → приоритизировать → проверить → устранить». Ниже разбираем понятия, отличие ASM от VM, пять стадий CTEM, даём таблицу «понятие → суть» и чек-лист старта. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге ASM и CTEM платформ](/rating/attack-surface-management).