Hier wird unterschieden, welche grundlegende Art von Dienst eine Plattform für das Attack Surface Management zur Verfügung stellt. Genauer wird beurteilt, ob die Untersuchung dadurch erfolgt, dass spezifische Schwachstellen in der konkreten Kundenumgebung aufgedeckt werden, oder ob großflächig Informationen zusammengetragen und als Datenbasis bereitgestellt werden. Letztere werden hier weiter unterteilt in kundenspezifische Ansätze, zur Aufarbeitung individueller Umgebungen, sowie in globale Sammelplattformen, die umfangreiche Informationen aus dem Internet beziehen und als Datenbasis zur Verfügung stellen. Die dabei wichtigsten Methoden, wie Web-Crawling oder Open Source Intelligence (OSINT), mit denen sicherheitstechnische Erkenntnisse aus offenen Quellen aggregiert werden, unterliegen hier ebenfalls einer Bewertung.

Kunden-spezifischer Schwachstellenscanner / automatisierte Pentest-Tools
Scanner innerhalb dieser Kategorie führen eine Anzahl klar definierter Tests gegen die IT-Systeme eines einzelnen Kunden aus. Ziel ist es dabei, technische Schwachstellen in dessen Diensten, Anwendungen und Konfigurationen aufzudecken. Mängel in der internen IT-Sicherheit werden durch die Prüfung bekannter Angriffsmuster, Signaturen und regelbasierter Tests identifiziert. Die Befunde werden anschließend übersichtlich voneinander abgegrenzt und einer Prioritätsbewertung unterzogen, bei der sie mit einem Severity-Score versehen und einem Common Vulnerability and Exposure-Eintrag (CVE) zugeordnet werden. Der Mehrwert für den Kunden besteht letztlich darin, die erfassten Sicherheitslücken nachvollziehen zu können, um daraus Maßnahmen wie etwa Patch- oder Konfigurationsmanagement abzuleiten.

Datenplattform
Im Kontext der Schwachstellenanalyse verfolgen Datenplattformen einen grundlegend anderen Ansatz als klassische Scanner. Anstelle der Durchführung einzelner Tests konzentriert man sich bei dieser Herangehensweise auf den fortlaufenden Aufbau umfassender sicherheitsrelevanter Datenbestände. Plattformen, die in erster Linie Daten aggregieren, um Kunden ein Lagebild ihrer IT-Sicherheitssituation zu verschaffen, lassen sich in die Bereiche kundenspezifische und globale Datensammlung unterteilen. Insgesamt soll erreicht werden, ein konsistentes Lagebild über die digitale Präsenz des Kunden zu erzeugen und Risiken in einem geschäftsübergreifenden Zusammenhang bewerten zu können. Die Betrachtung einzelner, konkreter Schwachstellen und Fehlkonfigurationen stellt dabei lediglich einen Teilaspekt dar.

Kunden-spezifische ASM / Datensammlung und Aufarbeitung
Kundenspezifische ASM-Plattformen konzentrieren sich bei ihrer Datenaggregation ausschließlich auf die Angriffsfläche einer einzelnen Organisation. Daten, die in diese Sammlung einfließen, stammen in erster Linie aus der eigenen Infrastruktur des Kunden und entstehen aus der kontinuierlichen Beobachtung und Kontextualisierung aller Assets und Dienste des Zielsystems sowie deren Eigenschaften und Abhängigkeiten. Entdeckte Risiken ergeben sich dabei nicht aus einzelnen Befunden, sondern aus einer übergeordneten Sortierung in systemübergreifende Bedrohungslagen. Zusätzlich wird die aufgedeckte Angriffsfläche häufig in den Kontext aktueller globaler Bedrohungsentwicklungen gestellt, nach denen Anbieter aktiv im Netz forschen. Anhand des dadurch entstehenden Profils können Kunden entscheiden, welche Strategie zur Reduzierung des Gesamtrisikos am sinnvollsten ist.

Globale Datensammlung / Data-Lake
Diese Herangehensweise durchsucht das Internet großflächig nach sicherheitstechnischen Informationen. Anbieter sammeln hierbei enorme Mengen an Rohdaten über Hosts, Dienste, Zertifikate, Protokolle und Metadaten und ordnen diese in einen zentralen Datenbestand ein. Der Hauptbestandteil dieser Informationen wird durch kontinuierliches Scannen und weitläufiges Web-Crawling öffentlich erreichbarer IP-Adressräume erlangt. OSINT-Bestände, wie Registrierungsdaten oder Zertifikats-Logs, die öffentlich im Netz zur Verfügung stehen, werden häufig ebenfalls einbezogen. Auf diesen wachsenden Data Lake erhalten Nutzer schließlich Zugriff, um damit eigene Analysen und Vergleiche durchzuführen. Der Anbieter selbst stellt keine kundenspezifischen Bewertungen zur Verfügung. Der Mehrwert entsteht aus der Breite, Tiefe und Aktualität der gesammelten Informationen und ist als Grundlage, auf der große Organisationen interne Sicherheitsanalysen durchführen, nicht zu vernachlässigen.