安全可以被“看見”嗎？華云安的答案是“可以，且持續(xù)驗證”

科技云報道原創(chuàng)。

近年來，隨著攻防對抗技術的不斷升級，安全運營市場“新貴”不斷涌現(xiàn)，從安全信息和事件管理（SIEM）、擴展檢測與響應（XDR），到攻擊面管理（ASM）、入侵與攻擊模擬（BAS），安全運營領域創(chuàng)新技術集聚，可謂一片繁榮景象。

其中，攻擊面管理（ASM）、入侵與攻擊模擬（BAS）作為近兩年內(nèi)國際范圍內(nèi)公認的創(chuàng)新方向，成為了安全運營領域當之無愧的“頂流”。

放眼全球，一家叫“華云安”的中國網(wǎng)安企業(yè)已與國際頂尖安全公司一起，站在了攻擊面管理賽道的最前列，甚至以一己之力影響著國際攻擊面管理技術的走向。

這家成立僅僅3年的初創(chuàng)公司，是如何成為攻擊面管理領域的“新王”？它所倡導的“攻擊面管理”技術，與現(xiàn)有的安全運營技術有何不同，又能解決企業(yè)客戶的什么痛點？

在近日召開的“2023網(wǎng)絡安全運營技術峰會（SecOps 2023）”上，華云安給出了明確的答案。

安全威脅防不住不如轉(zhuǎn)變思路

提起華云安，并沒有如大廠般人盡皆知的名氣，但在“攻擊面管理”這個賽道，卻是響當當?shù)慕巧?/p>

一年106場攻防演習，平均3天一場的強度，即便是一家安全大廠也未必吃得消，但這卻是華云安過去一年的戰(zhàn)績。

隨著國內(nèi)攻防演習常態(tài)化和安全實戰(zhàn)化趨勢的到來，一些央企、金融、政府機構(gòu)主動找到華云安，希望在組織內(nèi)部開展常態(tài)化的攻防演習模擬，以審視自身弱點，全面提升安全防御能力。

在此之前，這些企業(yè)用戶大多已有完備的安全防護和運營體系，但即便如此，依然防不住越來越復雜高級的攻擊手法。

究其原因，不妨從網(wǎng)絡安全防護技術的三要素——漏洞、資產(chǎn)、情報來看。

先說漏洞。

漏洞治理一直是網(wǎng)絡安全的“共性頑疾”，是安全管理的重點和難點。

傳統(tǒng)的漏洞管理往往通過漏洞掃描、安全管理平臺等產(chǎn)品或人工的方式，將漏洞掃描的結(jié)果進行相應的處置。但在漏洞管理過程中，常常會出現(xiàn)海量漏洞驗證確認難、修復難、定位難等問題。

除此之外，在數(shù)字化越來越普及的時代，僅僅圍繞已知主機上存在的已知漏洞進行管理已經(jīng)遠遠不夠。面對不斷增長的供應鏈、開源組件、過期證書、泄漏數(shù)據(jù)、IoT 類啞終端等薄弱環(huán)節(jié)，是否納入了漏洞管理視野？

除了軟件漏洞，用戶權限、泄露數(shù)據(jù)、釣魚網(wǎng)站等多樣性的漏洞層級是否被充分重視？從防御者視角獲取到的漏洞，和從攻擊者視角看到的企業(yè)攻擊面是否一致？種種問題都將傳統(tǒng)意義上的漏洞管理逼到了死角。

再說資產(chǎn)。

過去企業(yè)用戶保護目標，絕大部分是IT系統(tǒng)、網(wǎng)絡、應用，但在當前數(shù)字化的場景下，保護目標已經(jīng)進一步拓展到數(shù)字化的資產(chǎn)，比如API、小程序、攝像頭、傳感器、身份信息、數(shù)據(jù)泄露信息、用戶憑證等等。

在這種情況下，企業(yè)用戶的資產(chǎn)數(shù)量成倍增長，面臨非常大的暴露面。

但在現(xiàn)實中，企業(yè)用戶往往對自身IT資產(chǎn)管理較為粗放，很多資產(chǎn)沒有及時清點更新，出現(xiàn)了大量影子資產(chǎn)、僵尸資產(chǎn)，成為被攻擊和利用的短板。

同時，互聯(lián)網(wǎng)業(yè)務邊界的泛化，以及與三方服務商的供應鏈業(yè)務逐漸增多，進一步引發(fā)了更多的不可控因素。

面對不斷增長變化的IT資產(chǎn)，企業(yè)用戶越來越難以確保所有資產(chǎn)的安全，包括：企業(yè)內(nèi)部訪問的所有暴露于攻擊者的IT資產(chǎn)、暴露于互聯(lián)網(wǎng)的資產(chǎn)以及供應商基礎設施中的資產(chǎn)。

最后說情報。

盡管威脅情報在提高對風險和威脅可見性方面發(fā)揮了重要作用，但是在攻擊面動態(tài)變化、供應鏈攻擊威脅加大、威脅者攻擊策略更具有針對性的情況下，傳統(tǒng)威脅情報（CTI）已不足以為企業(yè)用戶提供有效的保護和防御。

由于傳統(tǒng)威脅情報（CTI）對非公開網(wǎng)絡數(shù)據(jù)收集和分析能力有限，比如缺乏對閉源和暗網(wǎng)情報的關注，導致早期預警方面能力欠缺，這對于企業(yè)的安全運營是遠遠不夠的。

如果說站在防御方角度，企業(yè)用戶已經(jīng)盡可能地去做了大量安全運營工作，但依然面臨資產(chǎn)不全不準、威脅告警過多、碎片化安全產(chǎn)品、安全運營效率低等問題，那么是時候轉(zhuǎn)變安全防護思路了，而這正是華云安脫穎而出的機會。

攻擊面管理：安全實戰(zhàn)化趨勢下的新視角

作為Gartner推薦的全球“攻擊面管理”代表廠商，華云安結(jié)合國內(nèi)網(wǎng)絡安全發(fā)展現(xiàn)狀與特性率先定義了“攻擊面管理”。

所謂攻擊面管理，其本質(zhì)在于轉(zhuǎn)換了攻防視角，強調(diào)以攻擊者的視角，審視組織內(nèi)部和外部可能存在的網(wǎng)絡攻擊面，以更快更全更準地發(fā)現(xiàn)薄弱環(huán)節(jié)，在攻擊者利用之前提前響應，改變攻防極度不對稱的局面。

打個比方，這就好比在黑客進攻之前，企業(yè)先找“白帽子”來審視自己，提前找到自身弱點。

很顯然，攻擊面管理這一概念源于“以攻促防”的攻防對抗基本理念，而它的正式提出來自2021年7月Gartner發(fā)布的“安全運營技術成熟曲線”。

該報告把攻擊面管理分為外部攻擊面（EASM）和網(wǎng)絡資產(chǎn)攻擊面（CAASM）。

其中，EASM強調(diào)外部攻擊者視角，針對暴露在公網(wǎng)的資產(chǎn)（包括互聯(lián)網(wǎng)、云、物聯(lián)網(wǎng)、智慧城市等環(huán)境下的資產(chǎn)與風險），主要通過黑客探測的手法與情報來進行分析。

CAASM則強調(diào)內(nèi)外部全局視角，通過API與其他系統(tǒng)集成的方式來解決持續(xù)的資產(chǎn)可見性和漏洞風險。

同年9月，華云安在國內(nèi)發(fā)布攻擊面管理產(chǎn)品體系，這一時間與國際上攻擊面管理技術的正式提出幾乎同步，打破了過去新技術總是國際先行的慣例。

隨后的一年里，微軟、IBM、谷歌等傳統(tǒng)IT巨頭，以及CrowdStirke等創(chuàng)新安全廠商，陸續(xù)以收并購的方式進入到攻擊面管理的領域；同期國內(nèi)一些安全廠商也開始相應推出攻擊面管理解決方案。

至此，攻擊面管理領域真正成為網(wǎng)安行業(yè)公認的未來產(chǎn)業(yè)鏈重要技術創(chuàng)新方向。

而在用戶側(cè)，越來越嚴格的上層監(jiān)管、安全實戰(zhàn)化的趨勢以及數(shù)字化業(yè)務帶來的安全剛需，都讓政企客戶開始迅速接受攻擊面管理這一概念，速度之快超過了以往其他IT新技術。

一個明顯的信號是，越來越多的企業(yè)用戶招標文件中出現(xiàn)了“攻擊面”、“暴露面收斂”等詞匯。

2023年5月1日正式實施的國家標準《信息安全技術 關鍵信息基礎設施安全保護要求》，更是明確提出了收斂暴露面等主動防御要求，進一步推動需求由事件型驅(qū)動向合規(guī)驅(qū)動轉(zhuǎn)變。

在全球安全技術趨勢演進和國內(nèi)安全環(huán)境的雙重推動下，華云安在短短2年內(nèi)就形成了涵蓋網(wǎng)絡資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）、入侵和攻擊模擬（BAS）三大典型場景的攻擊面管理閉環(huán)方法論，并從CAASM、EASM、BAS三個維度推出了攻擊者面管理的完整解決方案。

與傳統(tǒng)安全運營模式相比，華云安攻擊面管理方案最大的不同，在于從攻擊者視角出發(fā)，重新定義了數(shù)字化時代的資產(chǎn)管理、漏洞管理、情報協(xié)同和響應處置。

例如，在資產(chǎn)管理方面，除了已知資產(chǎn)，華云安攻擊面管理更關心未知資產(chǎn)，包括影子資產(chǎn)、惡意資產(chǎn)、供應鏈資產(chǎn)等。

在漏洞和攻擊面檢測方面，華云安除了關注傳統(tǒng)漏洞，還包含配置缺陷、不當權限、泄漏數(shù)據(jù)、過期證書、釣魚網(wǎng)站、供應鏈漏洞等，通過漏洞管理閉環(huán)的方式縮小攻擊面。

在漏洞修復上，華云安幫助用戶識別真正高危的漏洞風險，將精力聚焦在有價值的漏洞修復上。

在情報方面，華云安創(chuàng)新性地將國家監(jiān)管的情報、實時漏洞情報和擴展安全情報聚合，提升早期威脅預警能力，縮短威脅的檢測和響應時間。

在響應方面，華云安消除在復雜網(wǎng)絡環(huán)境中管理數(shù)千甚至上萬臺設備的復雜性，并創(chuàng)新性地采用自定義流程、SOAR集成和第三方API，簡化自動化響應的工作流，提高響應速度與效率。

憑借顛覆性的創(chuàng)新技術和出色的實戰(zhàn)驗證效果，即使在2022年疫情影響最嚴峻的一年，華云安也依然憑借攻擊面管理解決方案的核心產(chǎn)品，在各個關基單位（能源、電力、央企、金融）獲得了非常多的成功案例。

華云安：既要“看見”安全還要持續(xù)驗證

如果說2022年，華云安發(fā)布了以攻擊者視角構(gòu)建的攻擊面管理整體解決方案，那么2023年，華云安進一步延伸了攻擊面管理的涵義。

在SecOps 2023大會上，華云安創(chuàng)始人兼CEO沈傳寶提出了“看見安全，持續(xù)驗證”的新觀點。

華云安創(chuàng)始人兼CEO 沈傳寶

沈傳寶認為，在數(shù)字化時代，網(wǎng)絡安全必須被“看見”才安全；同時，安全防御的有效性也需要被“持續(xù)驗證”，才能夠真正提升網(wǎng)絡安全防御能力。

那么問題來了，安全真的可以被看見嗎？安全的有效性又該如何被持續(xù)驗證？

據(jù)沈傳寶介紹，在過去一年里，華云安參加了百余場攻防演練活動，涉及十多個重要行業(yè)的關基單位，梳理了30萬以上的外部互聯(lián)網(wǎng)資產(chǎn)，發(fā)現(xiàn)有相當大比例的資產(chǎn)和漏洞不在這些關基單位的視野范圍內(nèi)。

因此，安全必須被看見，一是安全保護的目標需要被看見，二是安全防御的效果需要被看見。

關于如何看見安全，華云安有一套完整的方法論和配套產(chǎn)品體系。

首先是靈洞·網(wǎng)絡資產(chǎn)攻擊面管理系統(tǒng)（Ai·Vul）。

靈洞整合了攻擊者視角信息和防御者視角信息，讓用戶先于攻擊者“看見”數(shù)字化攻擊手段和攻擊路徑，并采取針對性措施進行高效敏捷響應，幫助企業(yè)降低被攻擊的可能性。

例如，在漏洞管理方面，靈洞支持配置缺陷、不當權限、泄漏數(shù)據(jù)、過期證書、釣魚網(wǎng)站、供應鏈漏洞等6類漏洞類型，能夠分析弱點可能產(chǎn)生的風險情況，識別弱點優(yōu)先級，自動化進行標記和生命周期跟蹤。

在資產(chǎn)管理方面，靈洞能夠提供更為全面的資產(chǎn)分類，可覆蓋的資產(chǎn)涵蓋主機資產(chǎn)、WEB資產(chǎn)、IoT資產(chǎn)、容器集群資產(chǎn)的4大類信息資產(chǎn)，以及對應如API、數(shù)字暴露面等18種數(shù)字資產(chǎn)，并通過支持知識圖譜技術對無主資產(chǎn)、僵尸資產(chǎn)、影子資產(chǎn)等5種資產(chǎn)進行標記和可視化呈現(xiàn)。

在情報方面，靈洞采用了全新的擴展威脅情報（XTI）技術，結(jié)合傳統(tǒng)威脅情報和目前已積累10億多條漏洞數(shù)據(jù)、超過50億的實體和關系模型，這些數(shù)據(jù)在實現(xiàn)監(jiān)管和行業(yè)打通、與外部攻擊面的視角關聯(lián)、攻擊面的實時響應方面，發(fā)揮了尤為重要的作用。

其次是靈知·互聯(lián)網(wǎng)情報監(jiān)測預警中心（Ai·Radar）。

基于華云安知識圖譜的安全風險庫、基于企業(yè)暴露面數(shù)據(jù)源、托管服務及安全服務三類數(shù)據(jù)源，靈知以攻擊者思維定向梳理、發(fā)現(xiàn)企業(yè)未知資產(chǎn)暴露面及脆弱性，形成具有即時性、可定位性、可追溯性的暴露面測繪圖，讓企業(yè)持續(xù)“看見”網(wǎng)絡安全態(tài)勢，實現(xiàn)從“被動防御”向“主動防御”的進階。

當然，僅僅實現(xiàn)“看見”安全還不夠，安全防御是否真的起到了效果，同樣需要被驗證。沈傳寶認為，安全驗證是未來必然發(fā)生的方向。

這與Gartner在“2023年9大主要網(wǎng)絡安全趨勢”中提到的安全驗證趨勢不謀而合。Gartner認為，“到2026年，超過40%的組織（包括三分之二的中型企業(yè)）將依靠整合平臺來運行安全驗證評估?！?/p>

那么站在攻擊者視角，應該如何做好網(wǎng)絡安全防御體系的持續(xù)驗證？華云安將其劃分為5個方面：

第一，安全攻擊面驗證，攻擊面評估包括資產(chǎn)可見性、錯誤配置、補丁修復等，從攻擊者角度評估可利用的威脅。

第二，安全有效性驗證，自動化的評估現(xiàn)有安全控制措施是否可以檢測和阻止來自攻擊者的行為。

第三，安全一致性驗證，持續(xù)的驗證和評估安全工具配置分析、檢測效率以及對抗性的威脅模擬，發(fā)現(xiàn)問題并改進。

第四，事件響應效率，對事件響應機制的及時性和有效性進行評估，衡量檢測、調(diào)查和響應的時間。

第五，安全成熟度改進。詳細的驗證評估結(jié)果呈現(xiàn)系統(tǒng)的優(yōu)勢和差距，幫助運營方提升改進安全能力。

沈傳寶表示，最終安全驗證的目標，一定是提供一套完整的、量化的方法，來評估企業(yè)安全風險的整體態(tài)勢。

在工具層面，Gartner將入侵和攻擊模擬（BAS）作為一項驗證工具囊括在安全驗證這一整體趨勢下。同樣，華云安也將其入侵與攻擊模擬產(chǎn)品——靈刃·智能滲透與攻擊模擬系統(tǒng)（Ai·Bot），作為安全持續(xù)驗證的有力工具，提供安全能力的可視。

總體而言，華云安借助創(chuàng)新技術來“看見”復雜難測的數(shù)字資產(chǎn)，幫助企業(yè)實現(xiàn)對自身安全態(tài)勢的全面認知，進而審視自身弱點，驗證安全防御的有效性，持續(xù)提升安全運營能力。

技術與商業(yè)雙輪驅(qū)動 華云安領跑“攻擊面管理”

隨著攻擊面管理概念的持續(xù)爆紅，這一賽道也出現(xiàn)了越來越多的競爭者。

據(jù)數(shù)說安全2023年發(fā)布的《攻擊面管理產(chǎn)品市場分析報告》顯示，國內(nèi)攻擊面管理市場廠商數(shù)量已達到20-30家，大多數(shù)廠商以資產(chǎn)測繪與管理、漏洞掃描與漏洞管理、威脅情報等作為核心能力，通過疊加微創(chuàng)新，參與市場競爭。

即便市場競爭激烈，華云安依然成為國內(nèi)唯一在攻擊面管理（ASM）和入侵和攻擊模擬（BAS） 雙領域入選Gartner《Hype Cycle for Security in China，2022》的代表廠商；并與國際漏洞管理頂級廠商Tenable、Qualys一起入選《Competitive Landscape: External Attack Surface Management》，被Gartner列為EASM全球代表性供應商，充分凸顯了華云安在ASM與BAS方面的技術創(chuàng)新與最佳實踐的價值。

對一家創(chuàng)業(yè)公司而言，成立短短3年，卻能站在全球前沿安全技術之巔、領跑全國賽道，實屬不易。但仔細審視華云安的過去和現(xiàn)在，就能發(fā)現(xiàn)其成功自有道理。

首先，刻在骨子里的攻防基因。

華云安在正式創(chuàng)立前，其團隊就常年服務于國家網(wǎng)絡安全相關主管部門，承擔了國家信息安全漏洞庫(CNNVD)下一代國家漏洞庫的漏洞采集、數(shù)據(jù)融合、漏洞分析等核心系統(tǒng)建設工作。

作為國家信息安全漏洞庫(CNNVD)技術支持單位，華云安原創(chuàng)漏洞報送量常年居于前列。

同時，華云安還是中國信息協(xié)會信息安全專業(yè)委員會攻防與應急保障工作部的牽頭單位,團隊曾多次參與“兩會”、北京教委、公安部等國家重大活動的保障工作。

作為漏洞挖掘分析、攻防對抗出身的專業(yè)團隊，華云安天生擁有攻防基因，提出攻擊者視角的攻擊面管理技術水到渠成，具備天然優(yōu)勢。

公司成立后常年參加實戰(zhàn)攻防演練，尤其每2022年百余場實戰(zhàn)攻防演練的戰(zhàn)績，也使得華云安積累了很多自動化攻防、關鍵數(shù)據(jù)采集、自動化檢測引擎的經(jīng)驗和工具，這些能力能夠很好地轉(zhuǎn)化為攻擊面管理產(chǎn)品提供給政企客戶應用。

其次，高占比的研發(fā)投入。

一家公司的研發(fā)投入，決定了其科技創(chuàng)新能力和核心競爭力。在攻擊面管理這一細分領域，華云安可謂是傾注全力，研發(fā)投入比例之高遠勝于很多安全大廠。

據(jù)了解，華云安目前整個公司技術研發(fā)人員占比80%以上，多數(shù)核心團隊成員曾任職于奇安信、深信服、綠盟、360等一線網(wǎng)絡安全企業(yè)。成立三年以來，華云安的研發(fā)投入還在持續(xù)攀升。

不僅如此，華云安還成立了兩大安全研究院，長期承擔國家級科研項目，開展攻防對抗、人工智能和知識圖譜等前沿技術研究，已經(jīng)取得多項技術創(chuàng)新成果，獲批多項相關專利，保持著其核心能力的領跑位置。

最后，技術和商業(yè)“兩條腿”走路。

在商業(yè)市場，技術的領先不一定代表商業(yè)成功，創(chuàng)業(yè)公司的成功往往依靠“兩條腿”走路，一是以技術為依托的創(chuàng)新能力，二是以商業(yè)為依托的創(chuàng)業(yè)能力。

面對中國網(wǎng)安市場上千家安全廠商碎片化的競爭，甚至是同質(zhì)化到“內(nèi)卷”的競爭，華云安核心競爭力的打造，正是依托了技術和商業(yè)模式的雙輪驅(qū)動。

沈傳寶認為，從短期看，核心競爭力一定來自攻防實力，只有在攻防一線才有可能真正的去掌握攻擊面管理的技術。從長期看，核心競爭力來自商業(yè)模式和技術投入兩方面。

在商業(yè)模式上，華云安打造了基于云原生的原子化安全能力平臺，以微服務的方式提供不斷迭代的安全能力。

平臺化架構(gòu)讓華云安的多個產(chǎn)品諸如資產(chǎn)管理、漏洞/弱點管理、情報預警、響應中心等，既可以獨立提供各自的安全能力，也可以將原子化的安全能力編排成攻擊面管理的整體解決方案，實現(xiàn)了一個平臺覆蓋所有安全能力，快速構(gòu)建不同客戶具體應用場景的解決方案。

這種平臺化能力，既能很好地解決當前政企客戶面臨眾多產(chǎn)品難以抉擇、碎片化產(chǎn)品難以協(xié)同等問題，符合未來網(wǎng)安供應商和平臺走向整合的大趨勢，也為華云安持續(xù)在平臺上增加不同的安全能力、構(gòu)建下一代數(shù)字安全防御體系打下了堅實基礎，同時也為華云安未來不斷拓展商業(yè)版圖留下了非常大的想象空間。

在技術投入上，華云安作為作為國內(nèi)人工智能與網(wǎng)絡安全實踐的先行者，也開啟了對網(wǎng)絡安全大模型的研究。

在SecOps 2023大會上，華云安展示了AI大模型在攻擊面管理典型場景中的應用：在擴展威脅情報方面，通過對1day漏洞情報、敏感數(shù)據(jù)泄露情報分析，幫助企業(yè)快速感知情報價值，決斷響應和修復；在智能攻防方面，基于大模型的語義理解和生成，將晦澀的攻防技術成果進行易讀性文字總結(jié)，以及場景化驗證腳本和思路生成，進一步提高了安全運營效率，縮小攻防信息差。

無論是平臺化還是AI大模型的能力，都需要大量投入和長期建設，但在華云安看來是“難而正確的事”，必須盡早開始并持續(xù)堅持。

結(jié)語

攻擊面管理作為近幾年新涌現(xiàn)的技術，無論是在企業(yè)的最佳實踐層面還是方法論層面，都在不斷地迭代和演進之中。

隨著數(shù)字化轉(zhuǎn)型的進一步深入，基于攻擊者視角構(gòu)建新一代的數(shù)字資產(chǎn)攻擊面管理體系，將是數(shù)字時代下安全管理的必然選擇。

以華云安為代表的攻擊面管理廠商，在讓政企客戶看見安全、持續(xù)驗證安全的同時，也在為構(gòu)建下一代的數(shù)字安全防御體系筑基拓土。

生成海報

免責聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關。文章僅供讀者參考，并請自行核實相關內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。