沈传宝：攻击者视角的漏洞治理实践

日前，第五届“纵横”网络空间安全创新论坛—网络安全漏洞治理技术专题论坛圆满举行，来自政府部门、科研机构、高校以及网络安全资深专家进行了主题分享。今天，我们将华云安创始人兼CEO沈传宝的演讲《攻击者视角的漏洞治理实践》与大家分享，全文如下。

网络空间资产与脆弱性发现技术经历了早期的漏洞扫描工具、网络空间搜索引擎、网络空间安全情报、网络空间攻击面管理等几个典型的发展周期。漏洞发现技术至今其实已经超过30多年的发展，2010年国内外陆续出现一些资产测绘平台，2020年之后随着云计算、数字化技术的发展，各种类型非IT类资产不断涌现，攻击面管理技术就出现了，更多的是面向数字化时代的安全发展需求，将数字资产纳入到攻击面管理的范畴。

从应用角度来看，广为熟知的网络空间资产测绘、网络空间漏洞发现是攻击面管理的比较典型的应用领域。除此外，网络空间数据挖掘，主要通过分析暗网、社区及开源平台（如GitHub、Gitee）的信息，实现对潜在威胁的监控和收集，为安全攻防提供关键情报；网络空间暴露发现分析涵盖证书过期、登录点、上传点、信息泄露等，旨在全面识别并解决系统可能存在暴露在互联网的潜在安全隐患：还有个应用场景是云安全态势监测，通过实时监测和分析云环境，迅速识别暴露在公网的云主机、云服务等网络资产，用于分析互联网网云环境的安全态势，确保云平台的安全稳定；最后是关于供应链安全风险监测，未来5到10年供应链仍是安全研究重要热点，很多的攻击不再是传统手段，而是通过供应链、供应商长期的来进行攻击，这些都是关于攻击面应用的场景。

华云安的攻击面管理体系形成了检测、评估、响应的完整闭环，连续两年入选全球知名IT研究机构Gartner®“中国网络安全技术成熟度曲线”ASM与BAS双领域代表厂商；国内知名数字产业第三方调研咨询机构数世咨询发布《攻击面收敛能力指南》中，华云安展现出技术实力和市场竞争力的双重优势：从应用创新维度和市场执行力维度都位居前列。

实际上，我们是基于全局视角来持久、深度绘制攻击面的图谱：在明确目标企业的基础上，帮助企业梳理关键词，包括企业的名称、业务特征词、产品特征词等，然后基于自身经验沉淀渠道和规则，例如，怎样使用资产测绘系统快速检索和目标有关的信息资产，怎样使用Github快速查询可能泄露的密钥信息等。

攻击者视角与资产和漏洞有关，漏洞是攻击者之眼，也往往是攻防对抗中破局的关键。广义上的漏洞，不仅仅是具像的IT类漏洞，还包括一些人为缺陷、暴露在互联网上的隐患、以及在网络上各种各样的威胁等。在这部分，华云安基于关键词关系深度挖掘的系统的提供三个比较典型的应用场景：

攻防研究是一个需要技术积累的长期过程，在过程中我们需要不断积累经验，沉淀为知识，快速应用在攻防对抗中。不仅仅是攻防实战，华云安也承担网络空间安全智能攻防方向的国家重点研发计划，华云安在漏洞知识图谱和人工智能为核心的两个技术上面拥有众多核心专利。我们也根据这几年攻防演练过程中的战法积累、大量的战法知识集成到里面去。

在企业防御者视角这块，攻击面管理兼具内外两侧的视角，华云安能够将内外两个视角结合构建一个完整的从外到内的攻击面管理能力，通过统一安全能力编排的方式，能够实现多元的资产数据的融合，同时站在攻击者视角把内外资产进行可视化的分析。

华云安在漏洞管理和处置响应上也做了大量实践，从漏洞发现到分析，再到漏洞消控完整的过程。比如在电力行业某案例中，华云安根据国家标准的漏洞分级分类的方法、以及漏洞多元的融合、漏洞的评估模型，来构建持续的漏洞发现、分析、验证到修复的完整生命周期的解决方案。  

在攻击面可视化这一侧，华云安做了大量相关的实践，可以把攻击面跟业务、资产进行结合，形成一个完整的基于图谱化的攻击面管理。站在业务的角度基于不同的场景进行分析和响应，同时根据各种场景按需编排安全能力形成不同攻击面管理解决方案。支持对目标进行检测能力、防御能力、调查能力、响应能力、自身安全等多维度安全效果验证，综合评估组织安全设备在攻击环境下有效性。