‍《畅聊安全》第二期 | 攻击面管理市场与价值剖析

本期《畅聊安全》节目仍然延续上一期的主题——攻击面管理，这一次安全419特别邀请到了来自安全企业、甲方以及安全学术研究领域的嘉宾一同来探讨攻击面管理理念及相关产品在市场端、在用户侧落地应用等话题，分享各自在实际工作中的经验感受，以期为甲方用户及安全行业从业者提供有益参考。

主持人：张　毅 安全419创始人、CEO

嘉　宾：金　飞 北京云科安信科技有限公司 CEO

嘉　宾：文仲慧 融通开源数据研究院 院长

嘉　宾：杨　雷 北京神州新桥科技有限公司 安全技术中心总经理

对话伊始，主持人张毅依然还是从较为宏观的视角与嘉宾一同就当前数字经济发展如火如荼的背景之下，网络安全在发展趋势方面呈现出怎样的特点这一话题展开探讨。

融通开源数据研究院院长文仲慧表示，从学术的角度看，网络安全其实同信息安全和网络空间安全有所不同，但从应用的角度看，现在普遍用“网络安全”一词来统称概括这三者。结合网络活动本身的特点，文仲慧对当前网络安全形势的特点归纳为以下4点：

总体而言，由于网络活动具有着不受时间、地点约束且应用广泛的特点，上述所谈论的4点之中的因素在彼此之间已经很难区分，也由此给当前的网络安全带来巨大挑战。其中第3点所谈的硬伤、软伤，则主要从物理或硬件层面的损伤及虚拟或软件层面的损伤两个维度去看待安全的重要性，文仲慧表示，硬件层面的损伤大多都可以计算出具体的损失，但软件层面的损伤却难以计算，从这个角度看，时刻保证网络安全在当前数字经济时代下，是重中之重的事情，同时，安全也须做到时刻守护而容不得一丝放松。

杨雷对文仲慧所表达的观点表示非常认同，尤其是在战时、平时不分这一点上，他也结合自身的体会进行了一些分享。杨雷表示，现在的安全是在原有的合规基础之上增加了一层内涵。在2016年以前，绝大部分用户在做安全时普遍会按照标准化的方式去建设，以垂直分层、水平分区这一思路去购买诸多安全设备等等。而在现在，用户在购买设备的同时，还会去关注如何将设备利用好。之所以会有这种变化，正是由于网络安全具有常态化、碎片化的特点，再加上攻防双方之间彼此对抗的过程具有动态化的特点，因此“安全风险是否存在”并不是一个问题，因为它随时都有可能发生。

如果说早年间还可以通过以合规的方式去进行安全建设，那么现在无疑是不够的，因为它难以满足现状所需，需要采用新的思维方式、新的技术手段去解决安全问题，在杨雷看来，用户现在也开始意识到这一点，因为越来越多的用户都开始以体系化而非单一化的思维去考虑安全问题，这也是用户层面近几年表现较为突出的变化之一。

结合前面两位嘉宾的发言，金飞则从云科安信所专注的攻击面管理角度继续延续这一话题，他表示，在全球化、数字化的背景下，数字资产边界已远远超出我们所想象的范围，与此同时，在我国当前的经济规模不断增长、经济总量占世界经济比重也越来越高的情况下，就会成为某些国家或某些利益的斗争面，因此总体来看，无论是科技的发展还是国际形势的变化，我们当前所面临的网络安全风险肯定要比十年前更多。“既然整体环境已然如此，那么与之相匹配的，是必须提高我们的防御能力。”金飞表示，“如果说以往做信息安全重在建设本身，也就是建设者视图的角度，而网络安全呈现高频对抗特点的当前，则需要从另一个视角去提升自身的安全能力，在我看来，攻击面管理恰恰是能够以一个攻击者视图的角度去帮助我们做到这一点。”

‍安全419注意到，在2022年8月的ISC2022大会上，云科安信发布OSINT-ASM开源情报攻击面管理的概念，而在本期《畅聊安全》节目中，恰好与此相关的双方都有嘉宾到场，主持人张毅也围绕OSINT-ASM（开源情报攻击面管理）到底是怎样的概念等相关话题与和位嘉宾展开了探讨。

金飞表示，现在的网络攻击之所以细粒度高，是在于它攻击的目标开始多元化，以往可能只会对数字资产进行有针对性的攻击，现在则还会将使用数字资产的人也同样作为攻击目标，并且将其作为一个非常重要的切入点。在他看来，数字资产中出现漏洞、风险的频率虽然不会比人更高，但人也许会成为放大剂、催化剂，“假设有1条攻击路径被确认，后面有1万个人在使用这条攻击路径，那么对我们而言，它不是1条攻击路径，而是1万条。”金飞介绍道，“如果某些热衷于在社交媒体或其他平台分享信息的员工，掌握着公司的重要资产，那么该员工个人在互联网上的这些暴露面也许就会对公司形成巨大的安全隐患，如果他的电脑被控制，相关权限被攻击者获取，那么后果不堪设想。”

通过上述阐述，大家不难想到经常说的社会工程学（简称社工），金飞认为，社工实际上只提供了一种方法论，并未与攻击完全相融合，而云科安信所提出的OSINT-ASM概念则相当于以一种递归筛选的方式去确定数字资产的边界，随后在这一边界内寻到数字资产的使用者，并进一步找出其中安全意识最浅薄的那群人，并将其与最危急的漏洞相关联，以发现最有效路径。事实上，OSINT-ASM本身并非是原有攻击面概念所包含的内容，但云科安信的做法则是在基础之上做进一步的丰富，从某种角度上看，这也是一种创新性的做法。

谈到融通开源数据研究院与云科安信之间在OSINT-ASM方面的合作时，文仲慧介绍道，开源网络情报意指从网络空间中公开来源信息中所获取的情报，它既可以作为一个独立的分支去运作，也可以作为其他系统的补充和支持，融通开源数研院则是在这两方面均与云科安信有着较为深入的合作，在研究和落地两方面以相互赋能的方式实现相互促进，进而得以让开源网络情报发挥出在实践中发挥出更大价值和更好效果。

近些年来，安全这件事情本身同以往相比发生了很大的变化，如我们开始更多去谈从传统的被动防御到现在的主动防御，从合规建设到现在的强调实战能力等等，但归根到底，目的还是为了抵御网络上这些攻击者发起的攻击，对于用户来说，如果能够将防御尽可能地前置，那么相对也会提升防御成功的概率，大幅降低甚至规避这些攻击以及相关损失。

说到主动防御这一话题，金飞也分享了自己的一些观察和思考，其中重要一点则在于此前安全行业内很多企业都是相对专注于攻、防一端的，如做攻的不会去防，反之亦如此。“我们认为，攻和防相当于硬币两面 只有两者面积相同时才是最佳状态。”金飞阐述道，攻击能力强而防御能力弱，意味着你只能做一个发现问题的吹哨人，因为你无法解决问题。但反过来看，防御能力是需要攻击来验证的，如果不具备强大的攻击能力，又何谈强大的防御能力呢？“我们有一个理念叫做能攻者擅守，一个合格的攻击者或防御者就和硬币两面一样，一定是相称的。攻击面管理从实战角度来讲，‍‍它类似于一个非常强悍的狙击手，但是能够干掉一个狙击手的总会是另外一个狙击手。”

的确，攻、防这两个能力之间应可以是相互联动的，既是相互升级的过程，也是同步递进的过程，且两者能力最好可以在一个最小场景中实现闭环且互相驱动，而云科安信的做法则是在通过SaaS化的方式，实现攻、防两大能力的相互调用，从而在帮助用户发现问题的同时，还能帮助用户解决问题。

杨雷认为，主动防御和攻击面管理的内涵是高度一致的，所倡导的都是攻防兼备这一理念。具体到主动防御概念本身，他结合神州金桥多年来为企业用户提供服务的落地经验和心得，从两个维度进行了分享：

● 一是要真正做好网络安全意识的整体提升。在杨雷看来，这对于企业提升整体的主动防御能力非常重要，而且应覆盖到企业的所有人，以尽可能地降低某一个人成为企业攻击面弱点的可能性。

● 二是要真正地从攻和防两个角度去看安全。杨雷在这里再一次强调要以体系化而非单一化的思维去看待安全，单一视角下的安全建设必然难以很好地应对当前的复杂安全形势，而如果真正理解了攻防理念，那么对于如何做好安全建设将会有清晰的方向，比如通过寻找相关的优秀工具、专业团队及服务等，从而有效地提升整体安全水平。

作为2022年网络安全行业最火热的赛道之一，攻击面管理所包含的内容本身并不算是新兴事物，但它作为一个多技术、多能力融合的概念被提出，仍让人眼前一亮，但无论如何，它终归还是要面对一个巨大的挑战，用主持人张毅的话说，就是它能否独自撑起一个市场，也就是独立于其他领域的攻击面管理市场。

在金飞看来，要想说服一个企业去购买网络安全相关的产品或服务，那么必须首要做的事情就是先验证风险的客观存在，而且用户的投入程度与所验证且客观存在的风险范围大小有着正相关的关系。“攻击面管理能否单独去作为工具、产品或解决方案去销售，我认为没有问题，但它最大的价值并不在这点钱，而是在于它教育了市场。”金飞谈道，“从工具的角度看，攻击面管理让很多对于网络安全没有意识的人对于威胁、风险客观存在这一事实有了清晰的认知。”

“安全行业有一个特征，用一个有趣的比喻就是‘说服你的最好方法就是先把你打倒然后再扶你起来。’”金飞笑着说道，“再简单点就是能动手就别开口。”的确，安全企业在和用户沟通时，很多时候都会遇到这边苦口婆心，那边却无动于衷甚至抬杠的情况，如果通过攻击面管理工具去将他们的潜在风险点全部展现到用户眼前，很有可能就会彻底扭转这一局面。

由此不难看出，攻击面管理的确是一个有效挖掘网络安全行业需求的系统化工具，几乎可以和任何一个细分的安全领域进行结合，如供应链安全领域、工控安全领域、物联网安全领域等等。“事实上，攻击面管理可以与任何一个数字资产的领域衔接，而且一旦衔接就会产生一个全新的场景，我认为这就是它的意义所在。”但金飞也坦承，如果单纯依靠销售攻击面管理的产品或解决方案，如果试图通过这一单一业务去支撑起拥有一定规模的企业仍比较难。以云科安信为例，他们一直坚持以SaaS化模式为用户提供攻防一体、互为闭环的攻击面管理解决方案，在和客户的初期沟通过程中，SaaS化的攻击面管理工具可以做到在现场取得客户授权后马上就能查出客户所存在的安全风险点，金飞表示，这一特点对于提升销售成功率有着很大的帮助，更值得一提的是，客户对攻、防两端的产品和服务往往都会选购。

杨雷表示，一个新兴的安全概念，往往是由研究机构经过调研而产生的，对一些行业或领域在解决安全问题方面给出了理论指导，有着引领的作用，接下来，就需要去结合用户的场景和需求，将概念逐一拆解细分，力争每一个点都做得足够优秀，能够帮助用户去解决实际的安全问题。“如果一家公司可以将一个新的理念或概念下的点都做出来且做得很好，那么对于我们神州新桥这样的公司而言就会非常乐意去用，因为它做得越好，就意味着对于相关人员的能力水平要求不再那么高，而且还能够给客户以更好的服务。”杨雷说道，一是安全企业的产品做得好能够卖得出去，二是这样的产品可为包括神州新桥在内的服务提供商在保证效果的同时提高效率，三是能够真正帮助用户解决问题，这就相当于实现了三赢，对于市场无疑将会是巨大的促进，但在这之中，对安全企业的要求是非常高的。

“三赢是一个最佳结果，安全企业首先要在一个点上做的足够优秀，其后是自身能力在未来要进一步延展，因为随着环境的变化以及时间的推移，客户的需求也会发生变化，如果安全企业不能跟上步伐，那么所面对的只能是淘汰的结局。需要说明的是，这种淘汰并不是客户层面的人为淘汰，而是一种不努力的淘汰。”杨雷阐述道。

针对这个话题，张毅也分享了自己的观点，那就是对于包括攻击面管理在内的任何安全行业新兴赛道而言，都需要经历一个从新兴到成熟的过程，由于攻击面管理当前在国内仍处在一个相对早期的阶段，因此这个赛道的玩家目前普遍仍在不断提升自己核心能力，同时也积极地去探索、实践，虽然距离市场的成熟仍还有很长的一段路要走，但其前景仍值得期待。

在节目的最后，张毅进一步总结道，攻击面管理本身并不算新，它是将以往所有相关的经验进行汇总和沉淀，最终形成了一条独立的新赛道，而一条赛道的兴起，一方面需要更多参与其中的从业者不断创新，另一方面也要走出适合自己的路。以我国攻击面管理领域来看，目前参与者虽然还不是很多，但专业厂商已呈现出增长的态势，而且综合型厂商也开始积极关注这一领域，在这一逐步发展壮大的过程当中，安全419所接触并了解到的这些厂商彼此之间都有着各自所擅长的点，可谓各有特色，这对于攻击面管理在未来的发展无疑是有益的。只有当所有参与者抱团一起把攻击面管理做成安全建设当中非常重要的一环，那么像包括云科安信在内的这些安全企业也会进一步扩大自己的生存空间，也才有可能令攻击面管理形成自己独立的市场。