从攻击面管理到风险管理 全新的云科安信将如何进化？

日前，业内两大咨询机构数说安全和数世咨询相继发布了对“攻击面管理赛道”的最新观察，阐述了各自对当前攻击面管理市场的调研结果和观察分析报告。（详见数说安全《攻击面管理产品市场分析报告》、数世咨询《攻击面收敛能力指南》）

从两家发布的报告和调研数据中，能够明显感觉到攻击面管理一词在业内已经得到了较高的关注，包括过去从事资产测绘、漏洞管理，以及自动化渗透测试工具的厂商，国内安全市场已经有20余家安全厂商涉足这一赛道。

安全419注意到，在两家的报告中，云科安信作为攻击面管理核心能力代表性厂商，其解决方案均得到了重点展示。恰逢不久前，云科安信向安全419表示，未来将由攻击面管理厂商升级为风险管理厂商，未来将“以风险为核，做数字世界的风险管理者”作为企业发展Slogan，并基于此将发布“信息图鉴”系列产品。

众所周知，凭借在安全实战攻防领域的强大技术实力和领先的白泽攻击面管理平台产品，成立于2018年的云科安信已经发展成为攻击面管理赛道的代表性厂商。在“攻击面管理”大热的第二年，云科安信宣布战略升级的消息，可想而知，必然是经历了长期思考之后，为自己规划的一个全新未来。

从“攻击面管理”到“风险管理”，全新的云科安信将如何进化？日前安全419独家采访了云科安信COO陈思，为我们解读云科安信的新战略、新思考与新变化。

陈思首先为我们分享了云科安信对行业变化的观察。她表示，云科安信将安全行业近30年的发展历程（1995—2023）分为3个阶段：单机/网络时代、互联网/云计算时代和数字时代。

在1995年时，随着病毒、木马等网络威胁的出现，网络安全行业也随之出现，安全厂商与甲方用户关注的焦点是“不发生安全事故”和“威胁防治”。在这样的思维下，一批如防火墙、反病毒的设备应运而生，通过签名库、特征库等识别技术，来帮助用户针对特定的威胁进行识别和防护。

时间推移到2015年，经过10年的技术迭代，一批有组织的攻击者开始出现。“APT组织”和“高级可持续威胁”逐渐成为关注焦点，针对全新的威胁态势，“安全可视化”成为了行业应对高级威胁的抓手。安全厂商们普遍开始讨论数据驱动安全、AI安全和态势感知，试图通过发现技术、分析技术和安全运营的思路来感知威胁。

很快时间来到了2020年，数字化成为新的时代基调。随着数字世界与物理世界的连通，数字世界与社会、经济的连通，数字世界的边界已经逐渐消亡。而这时安全厂商们开始认识到，威胁只能防治却始终无法消灭，甚至用户必须与风险共存，通过一个更大的体系化框架，将关注的视角放大到风险本身，去考虑如何让风险整体可控。

陈思表示：“在数字化时代，‘风险’显然是一个更浩瀚的宇宙，而‘威胁’只是构成这个风险宇宙的一个奇点。现在整个安全已经泛化到数字世界开始跟物理世界去连通、数字世界开始跟经济去连通了。‍‍随着数字世界范围的扩张，再去谈奇点也变得没有意义了，所以我们要去看整个大的‍‍安全宇宙，我们认为未来的安全宇宙一定是一个风险宇宙，而不是威胁宇宙。”

因此云科安信提出，实现风险可控则需要聚焦度量和鉴定技术，用攻击思路解防守难题。基于这一认知，云科安信也顺势提出了“以风险为核，做数字世界的风险管理者”的全新战略口号。

陈思表示，之所以提出做数字世界的风险管理者，其背后实际上汇聚了云科安信几位创始人对安全行业更深度的思考。云科安信将其概括为“叠加思维”和“度量动态变化思维”。

云科安信发现，随着数字时代的到来，物理世界与数字世界之间的关系已经发生了新改变。在过去，物理世界和数字世界是交互关系，‍‍物理世界中生长出来了数字世界，为数字世界的迭代提供信息，数字世界将情报反哺给物理世界。

但在今天，数字世界已经和物理世界变成了共生关系，甚至已经开始影响物理世界的变化。小到一次针对智能网联汽车的攻击事件，大到美国输油管道因黑客攻击而关停的事件中，都能够深刻地感知，数字世界已经反向成为了物理世界的基础设施，未来物理世界一切的社会活动、社会行为都将建立在自动化、智能化的数字基础之上，依赖于数字世界，又被数字世界所控制。在这种情况下，网络安全的边界已经名存实亡，围绕边界展开的一切防御工事，最终将进化为在整个数字世界中的风险管理，云科安信将其称之为物理世界与数字世界的“叠加”。

在传统认知中，攻击往往来自于网络域、设备域，攻击者会去寻找攻击入口、漏洞之类的攻击点来进入企业内部。因此，在防御侧，传统网络安全厂商的做法是，通过工具、手段先于攻击者发现漏洞，提前修复漏洞来阻止入侵。

但事实上，在网络攻防领域，攻击者也同样在用叠加的思维来看待每一个攻击目标。“首先，将企业的数字资产与企业员工进行叠加，就会叠加出一个新的风险暴露面。假设企业应用有一个漏洞，如果有10个人拥有访问权限，那么这就是10条攻击路径，如果有1000个人有权限， 那它就是1000条攻击路径，而不仅仅是一个漏洞。其次，在人的维度上还能够再次外延，将企业上下游生态相关联的参股企业、供应链企业一起纳入攻击范围，或是对企业员工的家人、朋友发起攻击作为攻击跳板。任何一个系统都绝非信息孤岛，当IT资产叠加上一层应用后风险暴露面再次扩张，再在此基础上叠加业务的维度，叠加人的维度，每做一次叠加，风险就会呈指数级增长。”

在这样的叠加思维下，企业的资产暴露面将以级数的速度扩张，攻击事件的发生已经成为必然性事件。因此云科安信提出一个全新洞察：对风险的管理，将是网络安全的终极形态。

那么，既然对风险的管理是网络安全的终极形态，风险又该如何管理？云科安信将风险的本质定义为“被防御目标的变化”，将风险管理的本质定义为度量被防御目标的变化。

陈思解释到，假设一家企业的IT 资产是1万台电脑，1万台电脑中有1万个应用，一年以后再来看，这家企业的资产数量和应用数量并没有变化，既然资产是确定的，那么这家企业对静态资产做资产测绘几乎毫无意义。而当这家企业收购了另一家公司时，他的安全边界就向下延伸到了下属企业，风险也随之而产生。

云科安信认为，包括攻击技术的演进、更多维度的叠加，企业资产的变化、系统的升级都会引起风险的变化，想要管理好这些风险就需要持续对被防御目标的变化做度量。云科安信将这一种度量被防御目标变化的能力命名为“信息图鉴”，云科安信将围绕信息图鉴这条产品主线，发布攻击图鉴、资产图鉴、角色图鉴、路径图鉴系列产品，把不同维度、不同边界的风险管理聚合在一起并实现动态度量。

“信息图鉴有两层含义，图就是绘制画像，鉴其实就是甄别、鉴别，‍‍如果拥有这种信息图鉴的能力，其实就掌握了动态度量风险变化的能力。只有让风险具象化、可视化，让风险看得见，才能进行有效的管理。‍‍‍”

在陈思看来，安全是一直在迭代的，为了应对攻击者的技术升级，防守者也被迫必须持续投入。但信息图鉴的价值在于，这是一种应试思维，从出题者的角度将所有的考点、考题告知考生，集中全部精力解决关键难题。

因此，云科安信实际上是以一种高频、实时的方式，基于多维度叠加的视角对可能引起风险变化的因素持续度量，再通过简单、轻量化的交付方式，为更广泛的客户提供专业的实战安全服务。

简而言之，就是用攻击者的视角、攻击者的思路去找到所有入侵路径，让防守者能够聚焦于与己相关的安全隐患上，对暴露面进行收敛，对漏洞风险进行修复和防治，以轻量化的方式找到安全投入和安全有效性之间的平衡点。

“为什么说用攻击思路解防守难题？过去行业有一个大家都认同的观点‘永远无法做到100%的安全’，的确安全是一直不断迭代变化的，但大多数的新兴威胁未必与己有关。因此，当我们通过维度叠加的视角收获一个全新的安全视野后，同时也将自己的安全边界划到了数字世界。接下来我们要做的就是持续去感知攻击者的变化，洞悉自身组织的风险变化，像攻击者一样轻量化的去发现自身弱点。”

陈思透露，基于全新的风险管理战略和安全认知，云科安信已完成全新的产品规划设计，其“信息图鉴”系列产品也将于近期集中发布，用度量变化的方法和信息图鉴的技术重新治理风险，用全新的手段重塑安全边界，然后把它用极简的方式交还给用户。