Anhand der hier behandelten Scan-Bereiche und Scan-Arten kann differenziert werden, auf welche Art Informationen über die Angriffsfläche gewonnen werden. Dies schließt sowohl die Perspektive ein, aus der die IT-Systeme betrachtet werden, als auch die Methoden, mit denen die erreichbaren Komponenten abgefragt werden. Die Bereiche sind von großer Bedeutung, da sie bestimmen, welche Teile der Angriffsfläche überhaupt sichtbar werden und wie tiefgehend die zusammengestellten Erkenntnisse sind.

Internes ASM
Bei Attack Surface Management-Ansätzen dieser Art werden Schwachstellen analysiert, die sich innerhalb der nicht öffentlichen Netzwerke und IT-Systeme einer Organisation befinden. Die Analyse beginnt damit, dass interne IP-Adressbereiche angesprochen und alle Ports erfasst werden, die von außerhalb zwar durch Firewalls abgeschirmt sind, innerhalb des Netzes jedoch erreichbar bleiben. Alle dabei identifizierten, öffentlich nicht erreichbaren Komponenten wie Server, Workstations, Dienste oder Netzwerkmodule werden auf ungepatchte Serverdienste, Fehlkonfigurationen und andere Risiken überprüft. Der Scan ist darauf ausgelegt, das IT-System aus Sicht eines potenziellen Angreifers zu durchleuchten, welcher sich mithilfe kompromittierter Privilegien bereits einen Zugang zur innerbetrieblichen Infrastruktur verschaffen konnte, um somit weitere ausnutzbare Angriffspfade zu unterbinden.

Externes ASM
Externes Attack Surface Management bezieht sich auf den Teil der Angriffsfläche einer Organisation, die aus der Perspektive öffentlich erreichbarer IP-Adressen und Domains sichtbar ist. Gemeint sind dabei exponierte Assets wie Webapplikationen, APIs, DNS- und E-Mail-Server sowie Cloud-Dienste, die für Angreifer über das Internet erreichbar sind. Anders als beim internen ASM erfolgt der Zugriff des Scanners hierbei über die wenigen Netzwerkports, die nicht hinter Firewall- oder NAT-Grenzen verborgen sind. Schwachstellen, die direkt aus dem Internet ausnutzbar sind, umfassen beispielsweise Webanwendungsprobleme, fehlerhafte Transportschicht-Konfigurationen oder öffentlich exponierte Services.

Blackbox-Ansatz
Im Rahmen eines Blackbox-Ansatzes wird das zu untersuchende IT-System als eine undurchsichtige Einheit betrachtet, die keine Einblicke in ihre inneren Abläufe zulässt. Die Analyse der Angriffsfläche erfolgt ohne internes oder programmtechnisches Vorwissen über die Zielumgebung und beschränkt sich auf die Interaktion mit öffentlich zugänglichen Schnittstellen und die Auswertung deren Reaktionen. Hierunter fallen die meisten gängigen externen Schwachstellenscanner, die aus der Perspektive eines außenstehenden Angreifers agieren und ausschließlich Ressourcen untersuchen, die ohne Authentifizierung oder besondere Zugriffsrechte erreichbar sind.

Whitebox-Ansatz
Bei einer Whitebox-Herangehensweise wird der Scanner um zusätzliche Informationsquellen und Mechanismen ergänzt, durch deren Einsatz tiefere Endpunkte und Anwendungslogiken erreicht werden können. Dadurch lässt sich der Aufbau einer Applikation aus einer transparenten Sichtweise analysieren. Die Implementierung von Whitebox-Methoden ermöglicht es manchen Scannern, den verborgenen Quellcode oder andere tieferliegende Strukturen und Metadaten einzubeziehen, was die Untersuchung einer Vielzahl ansonsten unerreichbarer Risiken ermöglicht. Auf Programmierebene können beispielsweise unsichere Funktionen identifiziert sowie fehlende Eingabevalidierung und versehentlich vermerkte Zugangsdaten herausgefunden werden. Veraltete Bibliotheken und Frameworks können ebenfalls überprüft und die vorhandene Zugriffskontrolle genau eingeschätzt werden. Neben einem höheren Konfigurationsaufwand erfordert diese Art der Analyse, aufgrund der benötigten Zugriffsrechte, jedoch auch ein näher gehendes Vertrauen zum Kunden.

Greybox-Ansatz
Greybox-Verfahren stellen eine Mischform aus Blackbox- und Whitebox-Ansätzen dar. Sie kommen insbesondere bei Netzwerkscans zum Einsatz, welche zum Großteil auf Systemebene operieren und daher in der Regel keine direkte Whitebox-Einsicht auf Entwicklerbereiche wie Quellcode oder Build-Umgebungen gewährleisten. Gleichzeitig erlaubt die interne Position des Scanners jedoch einen deutlich tieferen Einblick in Systemzustände, Konfigurationen und Dienste als beim reinen Blackbox-Testing. Darüber hinaus gibt es Greybox-Strategien, die sich genauso bei externen Scans einsetzen lassen. Hierzu zählt etwa die Einbeziehung von Authentifizierungsdaten. Dies ermöglicht keinen vollständigen Whitebox-Ansatz im Sinne einer quellcodebasierten Analyse, bringt jedoch erweiterte Einblicke in geschützte Konfigurationen und Dateisysteme

Aktives Scannen
Hierbei handelt es sich um ein Verfahren, bei dem der Scanner gezielte Anfragen an das Zielsystem sendet, um mögliche Schwachstellen und technische Merkmale zu ermitteln. Neben den üblichen Portscans bedient man sich dabei Protokollabfragen und spezieller Testpakete innerhalb gesendeter Anfragen, mit denen vordefinierte Prüfungen abgearbeitet werden. Je nachdem, wie die kontaktierten Systeme auf diese Interaktionen reagieren, können Rückschlüsse auf unsichere Konfigurationen, Dienste und IT-Sicherheitslücken gezogen werden. Aktives Scannen wird sowohl bei externen als auch bei internen Tests eingesetzt. Mithilfe dieser können aussagekräftige Ergebnisse erlangt werden, die den Ausgangskontext eines Angreifers realistisch widerspiegeln. Ein Nachteil besteht jedoch darin, dass die entstehende Belastung des IT-Systems unerwünschte Spuren hinterlassen kann, wie eine Störung arbeitender Dienste oder ein erhöhter Ressourcenverbrauch.

Passives Scannen
Passives Scannen wird meistens als Alternative zu aktiven Scans eingesetzt, wenn keine direkte Belastung der Zielsysteme entstehen darf. Als Ergänzung aktiver Sicherheitsstrategien ist es jedoch ebenfalls wertvoll. Die Ergebnisse basieren hierbei auf der bloßen Beobachtung der bereits bestehenden Kommunikation des zu analysierenden IT-Systems. Da auf aktive Anfragen verzichtet wird, bleibt der Scanner selbst unsichtbar. Durch das Interpretieren des natürlichen Netzwerkverkehrs und das Korrelieren der gewonnenen Erkenntnisse können Hinweise auf Konfigurationen, IT-Systeme, Dienste oder andere interne Zusammenhänge herausgefunden werden. Die Aussagekraft der Resultate ist letztlich weitaus weniger substanziell als bei aktiven Verfahren. Aufgrund der geringen Intrusivität eignet sich diese Art der Angriffsflächenerkennung allerdings besser für eine fortlaufende Überwachung der Kundenplattform.