任何希望管理安全风险的企业都需要理解自己究竟是如何被暴露的。企业运行的应用程序占据了这种攻击的很大数量，这是因为应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是，在健全的风险管理发生之前，企业能够确认攻击面。

在确认应用程序的攻击面时，我们必须首先判定哪些是企业范围之内的，哪些是范围之外的。企业部署了很多不同类型的应用程序，而且从风险管理的观点来看，每种应用程序都被区别对待。常见的应用程序类型包括Web应用程序、Web和微服务、移动应用以及已部署的其它类型的软件。根据软件的来源不同，软件也可区别对待。有些应用程序可以是本地开发的定制软件，而有些可能是由第三方开发的软件，或是商品化软件，或者是由外部的大小厂商提供的外部软件。非常重要的一点是，统计出企业应用程序的攻击面中的任何云服务，这是因为这些服务常被用于存储和管理敏感信息。

确定应用程序范围的目标是，尽可能决定最全面的清单。确切地说，构建这个清单是一个反复的过程，并且很难真正地实现。为什么攻击面的清查过程如此困难？在多数企业中，原有的应用程序是在调查开始之前就部署好了，这就需要分析人员在对已有的应用程序的“存货”进行清查。此外，新的应用程序又在不断地开发，或者由于公司的合并或收购而产生新的应用程序。云供应商和云服务还使得各种企业和行业以一种“去中心化”的方式获得了更多的攻击面。最后，在很多企业中，随着现有的应用程序被重新设计和扩展，开发运维和其它的战略构想还可能导致各种微服务和其它软件攻击而的激增。

那么，分析人员如何找到部署在企业中的应用程序呢？其方法依据企业而不同，但是企业的规模可能影响攻击面以及攻击面的发现方式。

大企业往往拥有更多的业务、服务和产品，而这些往往与应用程序的暴露密切相关。在小企业中，与其它部门（如会计部门）合作时，使用非技术手段也许更可行。企业所属行业也可能影响到攻击面。大型银行或金融服务公司往往比大型的矿业公司拥有更多的定制软件开发，因为后者往往依赖的是封装好的软件和大量的特定行业软件。IT的成熟度和集中化会影响到确认应用程序的过程，由于拥有更高成熟度的公司其资产管理方法更好，因而其清查应用程序的起点就可能更好。

云的利用也影响到攻击面的确认过程。未利用云服务的企业和依赖自有数据中心的企业可能更容易发现已部署的应用程序。不过，必须重视的趋势是，企业日益将其大量的服务推送给云供应商，用以支持开发运维（DevOps）和其它的灵活性策略。

技术手段和非技术手段都可以确认应用程序。确认应用程序的技术方法可包括扫描数据中心的IP范围，其目的是为了确认在网络中存在哪些系统。目标nmap扫描与脚本的结合有助于为更多的人工分析提供起点。获取web应用程序主页的标志并进行审查可以知道基础架构的不同部分部署了哪些应用。此外，检查企业拥有域的DNS记录也可以知道配置了哪些应用和服务。搜索应用商店也可以找到企业已经发布的移动应用。

确认应用程序的非技术手段包括与会计部门的协作，确认由云供应商管理的外部应用程序。还有一些厂商可以帮助企业分析和优化云计算的花费。与这些厂商协作的另一个作用是厂商还往往能够帮助企业确认与未知的应用程序攻击面有关联的云计算花费。此外，分析人员可以与IT部门协作，可以检查灾难恢复计划。如果一个系统足够重要，以至于需要人员来保持持续运行，那么，监视其安全性也往往是很重要的事情。与来自不同业务的人员进行讨论还往往能够确定一些关于应用程序攻击面的令人吃惊的信息。发现能够增加攻击面的应用程序的最佳方法往往就是与来自不同业务的人员进行内部的沟通。这种交流还可以使安全分析者找到他们了解的应用程序，也可以发现放弃老应用程序的一些机会，或者是安装和部署新应用程序的可能性。对于一些IT部门不太成熟和不集中的企业来说，这往往是获悉不断演变的应用程序组合的重要方法之一。

在得到应用程序清单后，如何处理？技术上的发现向分析人员提供了决定攻击面的原始材料。非技术方面的发现可以向分析人员提供关于应用程序和服务的很多有价值的元数据（元信息）。然后，分析人员就需要整合这些材料，其目标是形成一个清单，根据被管理的数据、业务的重要程度、有关的合规要求等对应用程序进行评级。这种补充的元数据可以为日后实施关于测试和修复的风险管理决策提供材料。

应用程序资产的管理过程是一个不断重复的过程，无论是发现早期遗漏的信息，还是应对企业攻击面的不断演变问题，都是如此。甚至一个不完整的清单也要比根本不理解企业的攻击面都要好得多，因为未知的攻击面是无法防御的。