攻击面争夺战的红与黑

四年前的华云安，决定投身“攻击面”的争夺战，但他面临两项选择：一是视角；二是平台。

虽然黑客们利欲熏心，可他们的视角确实毒辣。这就有了华云安的第一个选择：只有站在攻击者的视角，才能知道他们在想什么、干什么，才能为防御者（红方）提供更妥当的安全保障。

华云安的第二个选择是“平台化”。投入高，且回报慢的“平台化”，显然并非初创公司最好的选择，但现在不做平台，以后就很难回头；现在不做平台，公司很快就会陷入安全产业的内卷。

攻击面管理火了

两年之后的2021年，注定要改变很多安全企业的思维。在攻防实战的背景下，此前虽也出现了如“互联网资产管理”、“暴露面管理”等技术，但“攻击面管理（ASM）”还是备受关注的火了。

此时的资本市场也诚实地表达态度。2020年12月之后的21个月内，全球发生了不少于10次涉及攻击面管理的重要企业并购。其中包括：Palo Alto收购Expanse、微软收购RiskIQ、Google收购Mandiant、Tenable收购Discovery、IBM收购Randori、CrowdStrike收购Reposify。

原因很简单：就像华云安当初的选择。安全企业和防御者也希望改变一下，希望跳出自我的固化思维。他们尝试将网络攻击手法、黑客的攻击流程进行结构化和标准化，进而重新评估自身的安全建设水平。

Gartner也洞察到此变化。同样是在2021年，Gartner首次清晰定义出“攻击面管理”概念，并将其涉及的EASM（外部攻击面管理）和CAASM（网络资产攻击面管理）两项能力，列为“安全运营的关键新兴技术”。

华云安的方法论

这正是华云安一直在做的事情。

还是在2021年。华云安正式发布网络资产攻击面管理、外部攻击面管理，以及智能渗透与攻击模拟三大解决方案。一年之后，华云安又在业内率先提出“攻击面管理”，需同时关注检测发现、分析研判、情报预警、响应处置四个环节。

不同之处就在于，华云安已经将“攻击面管理”，延伸至情报预警、响应处置，而非只停留在检测发现、分析研判的前两个环节，其形成了完整的攻击面收敛方法论，形成了安全运营闭环。

“针对攻击面管理的研究，国内与国际几乎同步。”沈传宝是华云安公司创始人兼CEO，正是基于上述方法论的成熟，他很自信的表达了观点：“攻击面管理更偏向场景、应用、需求，而中国市场中的应用场景非常丰富，甚至比国外更丰富。中国安全企业的观点、方法论和技术方案，正深度影响着全球对攻击面管理的认知和发展。”

持续验证、 看见安全

确实如此。

建立方法论并实践的一年之后，站上SecOps2023的讲台，沈传宝首先再次强调“以攻击者视角”的攻击面管理，随之其又将此前的理论延伸为“持续验证、看见安全”。前者是华云安所有技术的核心价值观，后者则是华云安对攻击面管理的最新认识。

套用《孙子兵法》于攻击面管理，“知己知彼，百战不殆；不知彼而知己，则一塌糊涂；不知彼，不知己，则漏洞百出。”或者说，“以攻击者视角”的攻击面管理，就是要在防护前搞清对手是谁？例如，对手是白起，就要防止他偷袭粮道补给；对手是王翦，就要想着应付他的大兵团作战。

而在“知彼”的基础上，更进一步就是“知己”，华云安将此解释为“被看见，才安全”。当然，这里的“看见安全”包括两层含义：

企业的“攻击面”和“暴露面”，首先需要“被看见”，要比攻击者更早的看见。而且不仅要看见“物理面”中的IT基础设施、网站、外部应用系统，更要看见“数字面”中API、小程序、摄像头、传感器、身份信息、用户凭证等资产。毕竟，数字化转型的摊子铺的越大，暴露面和风险弱点就越多。

在此方面，华云安的视野就不错。2022年，华云安参加106场攻防演练活动，涉及10多个重要行业的关基单位，帮助客户梳理超过30万个外部互联网资产。“其中，相当一部分资产，是在客户此前的视野之外。”沈传宝说。

除此之外，“被看见”还有另一层含义——企业的安全防御措施、防御手段需要“被看见”，安全设备、安全软件、安全服务的价值需要“被看见”。换句话说，网络安全保障的最高目标是“不出事”，但到底是侥幸“没出事”，还是打赢了攻防战，需要有量化的手段和指标进行评估判断。

当然，“看见安全”不是最终目的，安全防御的效果被看见，就需要通过“持续验证”来检测防御的有效性，需要通过“持续验证”来不断重新评估自身的安全建设水平，不断巩固自身的安全防御体系。

其实，早期的漏洞扫描，智能渗透，以及之后出现的入侵与攻击模拟（BAS）都属于验证技术。甚至，攻防演练就是一种检测防御有效性的手段。

只不过，攻防演练是限定周期、限定时间、限定环境的验证测试。但黑客不会跟你打“默契球”，黑客也不会以不影响业务为前提，听话的遵守“限定”规则。所以网络安全防御必是常态化工作，所以“持续验证”就是将周期性的、行动性的活动，变成常态的、持续的安全肌肉记忆。

正是基于此，华云安还想推着验证技术，再向前走一步。其站在攻击者视角，将安全验证分为5个方面：安全攻击面验证、安全有效性验证、安全一致性验证、事件响应效率验证、安全成熟度改进验证。

平台化的华云安

不仅如此。

华云安还基于华为的Atlas算力平台，构建推出安全大语言模型，并将“大模型”技术，应用于灵刃·智能渗透与攻击模拟系统（Ai.Bot）与灵知·互联网威胁监测预警中心（Ai.Radar）。尤其在扩展威胁情报方面，“大模型”可通过对1day漏洞情报、敏感数据泄露情报分析，帮助企业快速感知情报价值，决断响应和修复。

至此，华云安基于攻击者视角，更已构建形成完整的安全验证产品与服务体系：

■  定位于内部资产攻击面管理的灵洞·网络资产攻击面管理（Ai.Vul）；

■  定位于外部资产攻击面管理的灵知·互联网监测预警中心（Ai.Radar）；

■  定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟（Ai.Bot），

■  以及渗透测试即服务、红军服务等。

这又要回到四年前，华云安的第二个选择——“平台化”。在科技领域，安全行业最为内卷，没有之一。以数说安全发布的“2022年中国网络安全市场全景图”作为参照，全景图中就涉及13大领域、84个细分赛道，参与调研的安全企业达到406家，入围的安全产品达1381款。

也就是说，网络安全市场始终处于高度碎片化，每个细分赛道的市场天花板都没那么高，细分赛道的技术的壁垒也没那么高，但从国际市场来看，“平台化”趋势已经相当明显。

Gartner对此就曾提出：整合的安全平台是未来。2022年，有75%的组织正在寻求整合的安全方案供应商，在两年前这一比例只有29%。到2026年超过40%的组织将依靠整合的安全平台来运行网络安全验证评估。

四年前的华云安，就毫不犹豫地选择了云原生的技术平台。虽然平台化研发成本更高，但其已经意识到，攻击面管理与安全验证两者趋于融合，完整的攻击面管理业务闭环，也需要统一的平台进行支撑。“更重要的是，基于每一项安全原子能力，才能构建华云安的核心技术竞争壁垒。”沈传宝说。

也是在SecOps2023期间，华云安联合数世咨询发布《原子化安全能力白皮书》。白皮书即代表了华云安未来的技术思路。其正将所有的技术功力，抽象成为资产识别、漏洞识别、响应处理、目标分析、攻击检测、威胁检测、溯源分析、情报监测等原子化安全能力。

而且华云安正在以平台支撑原子化安全能力，以原子化的安全能力构建解决方案。这也正如沈传宝最后所说：“华云安始终坚持采用云原生技术，以云原生安全平台来构建下一代数字安全防御体系。”

转载声明

本文转载自张戈，经协商华云安官方公众号已获得

转载资格，特此声明。

往期回顾

01 持续验证 看见安全丨2023网络安全运营技术峰会成功召开

02 SecOps 2023丨大模型在情报分析和攻防场景的应用

03 华云安沈传宝：被看见,才安全；持续验证,才有价值。

04 华云安列入Gartner《Hype Cycle™ for Security in China, 2022》两大领域代表厂商

05 华云安入选Gartner®外部攻击面管理国际竞争格局代表厂商 06 华云安入选IDC Innovators:中国攻击面管理（ASM）技术

资质荣誉

核心客户

原文始发于微信公众号（华云安）：“攻击面”争夺战的红与黑