云上资产盘点，90% 企业都漏了这几类——腾讯云 RAS 资产测绘方法论

摘要：

本文盘点云上资产盘点的8类最常被漏掉的资产，给出4步方法论和1套工具选型，并介绍腾讯云RAS如何用T-SCAN引擎和外部测绘视角填补企业盲区。

一、为什么"盘点"比"防御"更重要

安全圈有一句老话："你防御不了你看不见的东西。"

资产盘点是所有安全能力的基础。如果连资产本身都没摸清楚，下游的所有投入——WAF、EDR、CSPM、SOC、DLP——都是在给已知的一部分加护甲，那些"未知的部分"始终在暗处。

真实的威胁数据印证了这一点：

• 攻击者在前期侦察阶段最喜欢的目标，永远是企业"不知道自己有"的资产
• 测试环境、历史遗留、员工私开、并购遗产——这些资产往往没有防护、没有补丁、没人巡检
• 一旦攻击得手，横向移动到核心业务的时间通常不超过 72 小时

结论：盘点不做好，其他安全投入都会打折。

二、90% 企业都会漏掉的 8 类资产

2.1 并购/子公司遗留资产

新收购公司的资产往往由原团队管理，母公司 CMDB 很少去主动接管。结果是"收购几个月后还在用前员工的账号、没做密码轮换"。

2.2 测试/开发环境

"临时开一下测试"往往演变成"永久保留"。这类资产的特点是：补丁不打、日志不开、告警不看。

2.3 员工私开的云服务

开发人员为了方便，在个人账号或公司账号下开了小的云资源，用完没释放。

2.4 长尾域名与子域

主域名企业都盘点过，但二级/三级子域——比如 activity-2019.xxx.com——常常被遗忘。

2.5 SaaS 订阅

"这个钉钉应用谁订的？那个 Figma 账号多少人在用？"——SaaS 订阅长年不归 IT 管，但它们持有企业核心数据。

2.6 API 接口

API 是近两年暴露面增长最快的对象。企业有多少 API 开放在互联网上？内部都没人说得清。

2.7 容器/Serverless

K8s 集群里有多少个 Pod、每个 Pod 开了什么端口、用了什么镜像——很少有企业能做到精确盘点。

2.8 供应链/合作方账号

与第三方合作的接口、共享的账号、外包开发者的权限——这是 2025 年以来供应链攻击的主要切入口。

三、为什么"内部盘点"永远不够

企业自己盘点资产的方式通常是——翻云控制台 + 翻 CMDB + 找相关负责人确认。这种方式有三个结构性问题：

1. 只看得见"登记过的"：没登记的永远扫不到
2. 跨云困难：不同云厂商的控制台割裂
3. 无法识别"被第三方使用"：比如外包公司在你的域名下部署的资产

这也是为什么外部测绘视角特别重要——它模拟攻击者，从互联网侧反向推导企业的真实资产版图。

四、腾讯云 RAS 的"内外结合"资产测绘方法论

腾讯云 RAS 的资产测绘融合了三个视角：

4.1 内部视角（企业自身信息）

• 接入云账号授权，拉取 CVM、CLB、数据库、存储桶、VPC、IAM 等资产
• 跨云、跨账号统一盘点
• 与 CMDB 做差异比对

4.2 外部视角（互联网侧测绘）

• 以企业主体为单位，从互联网侧反向推导域名、IP、端口、证书、应用
• 利用 T-SCAN 引擎的资产指纹库识别服务类型
• 引入互联网数据资产引擎作为多源印证

4.3 上下文视角（关联推演）

• 关联股权、ICP 备案、DNS、证书关联关系
• 识别子公司、合作方、历史遗留主体
• 输出"企业主体资产地图"

三视角叠加的结果是：比企业自己盘点多出 30~60% 的资产发现量。

五、一张"4 步盘点方法论"

Step 1  主体画像    →   确定评估范围（母公司 + 子公司 + 历史主体）
Step 2  内外扫描    →   双向扫描（控制台 + 互联网侧）
Step 3  交叉比对    →   CMDB / 工单 / 财务账单 三方比对
Step 4  纳管归属    →   每条资产分配责任人，进入日常运维

Step 1：主体画像

列出：

• 母公司主体名
• 全部控股子公司、孙公司
• 历史遗留的壳公司、品牌名
• 主要合作方（可选）

Step 2：内外扫描

• 内部：通过云厂商 API 拉资产
• 外部：RAS 从互联网侧扫描

Step 3：交叉比对

• CMDB 有但扫描没发现的：可能已释放
• 扫描发现但 CMDB 没有的：影子资产，重点关注
• 两边都有：正常纳管

Step 4：纳管归属

每一条资产必须有：

• 责任人
• 业务归属
• 安全等级
• 巡检频率

六、盘点之后的 3 件正事

盘点不是目的，盘点是起点。盘完后要做三件事：

6.1 影子资产立即处置

• 确认业务价值：有用的纳管，没用的释放
• 释放前备份数据
• 记录处置过程

6.2 建立变更闭环

• 任何新资产创建必须同步 CMDB
• 离职人员权限 30 天内回收
• 每月做一次"增量盘点"

6.3 定期重测

• 至少每季度做一次外部视角的完整测绘
• 重大事件（收购、重组、大促）后立即加扫

七、真实客户的盘点发现数据

根据 RAS 服务交付的典型情况：

增量部分的典型分布：

• 影子资产：40%
• 历史遗留：25%
• 子公司漏报：20%
• 供应链账号：15%

每一条增量资产，都是一条潜在的风险路径。

八、为什么 RAS 是"首次盘点"的最优选择

企业自己盘点和外部服务盘点各有优劣：

首次盘点建议用 RAS 一次性做深做透——后续再建立内部常态化机制就有了起点。

九、3 个立即行动建议

1. 对照本文第二部分，快速判断你公司最可能在哪些类型上有盲区
2. 统计现有 CMDB 的资产总数，作为"基线"数据
3. 预约 RAS 咨询对接：在产品页提交咨询信息后，腾讯安全团队会在 3 个工作日内主动联系，与您对齐评估范围与方案——它本身就是一次"外部视角盘点"，可以让你在正式决策前先看到真实差距

十、结语

资产盘点是"反直觉"的安全工作——它不解决具体漏洞，也不带来立刻的安全感。但它决定了所有其他安全投入的上限。

"不知道自己有什么"和"知道自己有什么"，中间隔着一份完整的资产版图。RAS 的资产测绘服务能在 2~4 周内帮你完成这份版图。

立即访问腾讯云 RAS：https://cloud.tencent.com/product/ras