华云安沈传宝：攻击面管理要做的是比攻击者更快一步

为什么做了这么多的安全建设，仍有安全事件发生？因为攻击者更有优势。攻击面管理要做的是比攻击者更快一步。数字安全时代，攻击面管理将是安全运营技术的基石。

 ———沈传宝

数字化的时代呼唤数字化的安全。5月6日，在北京华云安信息技术有限公司承办的2022网络安全运营技术峰会（简称SecOps2022）上，华云安创始人兼CEO沈传宝进行了“数字时代，安全从攻击面管理开始”的主题分享，以下为分享全文：

华云安成立于2019年，到现在两年多一点的时间。这两年多的时间，也是我国抗击新冠疫情最严峻的一段时间。新冠疫情给我们生活带来很大的变化，最主要的感受是新冠疫情加速了我们进入数字化时代。

新冠疫情加速了我们进入数字化时代

刚刚发布的《中国互联网络发展状况统计报告》显示，目前为止我国在线办公数用户人数已经增长到4.69亿，与上期相比增长了35.7%，在线医疗也增长了将近40%左右；发改委《关于加强数字政府建设的指导意见》中指出，“十四五”要把数字技术广泛应用到数字政府领域；在物联网IoT这个领域里面，GSMA预测到2025年的时候，全球大概有250亿终端连接，这250亿里面大概有60%（也就是140亿）是工业物联网终端连接；今年第一季度，即使在新冠疫情严重的情况下，软件业仍然达到2万亿的规模……所以说新冠疫情加速了我们进入数字化时代。

数字化时代网络安全面临着巨大的挑战，数字安全的形式发生了巨大的改变：

首先是战场发生了变化，过去我们更多是面向网络的世界，现在面向更多是数字化的世界；

其次是对手发生了变化，过去对手主要是从事网络犯罪，现在国家间对抗明显加剧；

第三，网络安全的攻击形式也有很大的变化，过去主要是传统的攻击手段，在新的数字化时代里需要面对更多的类似于勒索攻击、APT、供应链这样的攻击；

最后是目标也发生了巨大的变化，过去目标更多是网络世界，现在更多是数字化的世界，包括数据、业务等等。

这些都是数字化的世界带来数字化的安全挑战，数字化的安全挑战呼唤数字化的安全方案。

对抗型防御一定是下一代安全防御体系的演进方向

国际知名机构SANS的滑动尺安全模型把安全分成五个阶段，从最基础的架构安全到被动防御、主动防御、情报协同和进攻反制。数字化时代需要数字化的安全方案，我们认为新一代的安全防御体系一定是整合了主动防御能力、情报协同能力，同时具备了进攻反制能力的体系，这就是我们定义的对抗型防御能力。随着数字技术的发展和数字安全方案的演进，「对抗型防御」一定是下一代安全防御体系的演进方向。

最近几年网络安全技术体系和应用场景都发生了比较大的变化，最明显的变化是网络安全逐步进入到由重视建设到重视运营的一个转变。从几年前的自适应安全体系，到近几年的零信任体系，都是聚焦在安全建设领域。随着国家级攻防演练活动越来越深入，大家发现安全运营的重要性越来越高，特别是最近两三年以来，网络安全的创新更多发生在安全运营这个领域。

集聚创新技术的网络安全运营：RBVM、BAS、VPT、XDR、CAASM和EASM

国际知名研究机构Gartner在2019年发布的一个安全运营技术曲线中提出了两个创新型的技术，RBVM（Risk-Based Vulnerability Management,基于风险的漏洞管理）和BAS（Breach and Attack Simulation, 入侵和攻击模拟）。RBVM聚焦在漏洞全生命周期管理的挑战，通过融合威胁和漏洞信息，动态调整漏洞优先级，提高漏洞管理效率。BAS聚焦在以攻击者视角进行渗透测试和攻击模拟，通过持续性攻防对抗发现深层次的安全问题，测试安全防御体系的有效性。

2020年Gartner报告又有两个新的技术。一个是VPT（Vulnerability Prioritization Technology，漏洞优先级技术），聚焦在确定漏洞响应的优先级，通过使用威胁情报、资产上下文和风险建模方法来分析漏洞并确定响应优先级；另一个是XDR（Extended Detection and Response，扩展检测响应），聚焦在整合全面的威胁预防、检测与响应能力，通过集成和关联多源数据来进行威胁预防、检测和响应，实现威胁快速精准防御。

2021年的时候Gartner正式提出来CAASM（Cyber Asset Attack Surface Management，网络资产攻击面管理）、EASM（External Attack Surface Management，外部攻击面管理）两个攻击面管理相关技术。CAASM聚焦在资产可见性和漏洞管理的挑战，刚才提到的RBVM和VPT都是聚焦在漏洞管理领域，CAASM更强调第三方集成能力，通过 API集成所有已有工具，显示所有的资产（包括内部和外部）攻击面；EASM更多是聚焦在外部视角，以外部攻击者的视角来看待数字化时代所面临的数字资产的风险，通过数据和情报的方式，来快速定位企业面临的数字风险。

安全的本质是对抗，我们要做的，是比攻击者更快一步

为什么会有这么多的创新技术涌现？一方面是因为新技术新应用带来新风险，另一方面也是长期重建设轻运营的结果。过去，国家级攻防演练活动经常会让大家认识到，为什么投入了大量资金进行安全建设，在实战攻防面前却仍然不堪一击呢？

我们认为主要有以下原因：

• 数字化转型带来的挑战

数字化转型带来巨大的变化，数字时代的资产不仅仅包含传统的信息资产，也包括类似于像物联网、IoT、传感器，也包括网站、域名、数字证书、敏感数据、应用API等。

• 漏洞的多样性

漏洞已经不再是传统意义上软硬件漏洞或缺陷，更多的包括像弱口令、不正确的配置、泄露数据、过期证书、恶意网站、钓鱼网站，也包括供应链漏洞、分支机构/分子公司的弱点等。

• 攻击者更快

防御者要考虑完整的体系，而攻击者只需要突破一点；防御者需要24小时在线，而攻击者只需要攻其不备，所以我们认为攻击者是更有优势的。

• 安全建设盲区

产生安全事故的原因不在于你防护了什么，而在于你没有防护什么。影子资产、不正确的安全配置、未生效的安全策略等都属于容易被我们忽视的安全建设盲区。

怎么应对这些问题？还是回到攻击面的本质，我们认为网络安全的本质就是对抗，我们要做的，是比攻击者更快一步。

• 像攻击者一样思考

网络安全团队不仅仅站在防御视角来看待安全，数字时代更要用攻击者视角来监测完整的数字攻击面，包括内部和外部、供应链和分支机构、云资产和物联网资产。

• 关注最重要的漏洞

并不是所有的漏洞都需要修复，也并不是所有的漏洞都可以修复。根据统计，前 10 大安全漏洞会带来 90% 以上的安全问题。我们要用漏洞优先级技术（VPT），把精力放到最重要的事情上面去。

• 持续的检验防御有效性

过去大量的安全建设，到底有没有起到作用？要用自动化的技术来进行持续不断的检测和验证，采用攻击模拟技术，以攻击者视角，持续不断的检验现有安全机制的有效性。

• 更快的响应速度

既然攻击者更有优势，那就要比攻击者更快的发现漏洞，协同联动各种安全能力，提高安全事件的响应速度，在漏洞被利用前修复漏洞。

华云安：以攻击者视角构建完整的攻击面管理体系

数字时代需要数字安全，华云安提出以攻击者视角构建完整的攻击面管理体系：以数字资产管理、自动化测试、优先级评估、情报预警、快速处置五个步骤来构建完整的攻击者视角的数字安全管理闭环。

1、资产清点。全面的资产清点，识别最完整的资产暴露面。

资产的多样性既包含了像物联网、传感器、打印机、摄像机等非传统的IT资产，也包括像网站域名、数字证书、敏感数据、业务API、云资产、SaaS应用、第三方组件等。除已知资产外，攻击面管理更关注未知资产，包括影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务，以及恶意资产、钓鱼网站、分子公司和分支机构的资产、供应链资产。

2、自动化测试。多维度的自动化测试，以攻击者视角绘制完整的资产攻击面。

漏洞的多样性既包含了传统的软硬件缺陷、弱口令，也包括配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞。华云安创新的采用主/被动的轻量级的漏洞检测方式，除了能够快速的检测到漏洞外，还能够便捷的对漏洞进行验证，确保客户从海量漏洞误报里解脱出来；同时，华云安采用AI驱动的自动化渗透和攻击模拟系统，以攻击者视角持续不断的检测客户网络的内外部环境，确保网络防御体系的有效性。

3、优先级评估。基于风险的漏洞管理，将精力聚焦在有价值的漏洞修复上。

并不是所有检测出的漏洞需要修复，也并不是所有的漏洞一经发现后其危害性就一成不变。华云安采用具有核心专利的漏洞优先级评估技术，除了引用漏洞自身危害性，漏洞扩散范围，漏洞情报外，还引入了资产价值维度；漏洞优先级评估模型允许用户在实际应用过程中对资产的价值进行动态调整，从而能够有效的帮助用户识别真正高危的漏洞风险，将精力聚焦在有价值的漏洞修复上。

4、情报预警。实时情报预警，先于攻击者发现弱点和漏洞。

情报预警的价值，是通过早期预警信号来缩短威胁的检测和响应时间。新一代的扩展威胁情报将防御者思维转换为攻击者思维，从攻击者的角度来思考和处理安全问题；华云安创新的将国家级监管通报、实时漏洞情报、外部攻击面管理（EASM）进行结合，监控和处理包括漏洞数据库、社交媒体、SSL证书、域名注册、泄漏数据、暗网资源、代码存储库等数据源，通过识别暴露在外部的数字资产来了解不断变化的外部攻击环境，及早发现弱点和漏洞，先于攻击者进行预警。

5、快速响应。缩短漏洞响应时间，建设安全运营闭环。

通过自动聚合、关联和规范化以及知识图谱的可见性，消除在复杂网络环境中管理数千甚至上万台设备的复杂性；华云安创新的采用自定义流程、SOAR集成和第三方API，实现持续的检测响应，不断发现安全差距、验证控制策略有效性，加快响应速度；自定义流程通过详尽的漏洞修复手册、及时的漏洞情报、有效的修复验证、简化的工作流程集成，通过简单的集成，简化自动化响应的工作流，提高响应速度与效率。

华云安攻击面管理：重新定义资产、漏洞、情报和响应

数字化转型带来新的风险和挑战，数字时代的安全也需要我们用新的方法去应对。华云安攻击面管理，从攻击者视角出发，重新定义了数字化时代的资产管理、漏洞管理、情报协同和响应处置。

1．重新定义资产管理

除了传统信息资产，攻击面管理更关心数字化资产；除了已知资产，攻击面管理更关心未知资产，包括影子资产、恶意资产、供应链资产。

在新场景下的资产管理中，我们能够提供更为全面的资产分类，对比内外视角分析资产安全情况，支持网格化管理模式，灵活进行数字资产管理。目前产品可覆盖的资产涵盖主机资产、WEB资产、IoT资产、容器集群资产的4大类信息资产，以及对应如API、数字暴露面等18种数字资产。

在资产发现方式上，我们除了自身的主、被动资产发现能力外，产品同样支持通过API双向集成，接入其他资产数据，包括ITSM、CMDB、SIEM和云资产，甚至支持第三方EDR产品的资产集成能力。

在数字资产的可视化方面，我们通过使用自然语言处理（NLP）和机器学习来分析识别数字攻击面中的资产，对无主资产、僵尸资产、影子资产等多种资产进行标记和可视化呈现，通过知识图谱技术建立数十亿的实体关系模型，实现完全的资产可视性。

2．重新定义漏洞管理

我们需要重新定义数字时代的漏洞管理。我们将传统漏洞扩展为弱点，除传统意义的漏洞外，还包含配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞等，通过漏洞管理闭环的方式缩小攻击面，打通弱点与资产、情报、响应间的关系，分析弱点可能产生的风险情况，识别弱点优先级，自动化进行标记和生命周期跟踪。

在漏洞和攻击面检测方面，华云安具备新一代的轻量级漏洞检测系统、AI驱动的自动渗透和攻击模拟系统，再辅以我们专业的红队测试服务，能够全方位、多维度的进行持续的安全检测和验证，实现安全体系有效性评估和业务影响评价。

在漏洞修复上，华云安采用具有核心专利的漏洞优先级评估技术，帮助用户识别真正高危的漏洞风险，将精力聚焦在有价值的漏洞修复上。

3．重新定义安全情报

华云安攻击面管理创新的将国家监管的情报、实时漏洞情报和扩展安全情报聚合，重新定义安全情报能力。

我们通过建设多个国家级和行业级漏洞库工程，参与制定漏洞管理国家标准和漏洞资源共享规范，打通国监管、行业预警、企业响应技术通道，提升多级协同联动和情报信息共享能力。

我们的情报监测预警中心集成了漏洞情报、威胁情报和外部攻击面监测的能力，基于自然语言处理（NLP）和知识图谱（KG）技术对30多个数据源进行大数据处理捕获情报数据。目前已支持超过十类点数据资产暴露面，包括不限于WEB站点、IP运营、服务、组件、密码、API等；支持暗网监测、开源情报数据源等数据资产暴露面；与组织、人员、对应的网站三类业务进行关联，发现企业数字资产暴露面、敏感数据暴露面、关联业务暴露面。

华云安的外部攻击面管理产品，通过把原来传统的防御视角转化为攻击者视角，通过暴露在外部的数字化资产来了解不断变化的攻击环境，帮助安全团队比攻击者更早的发现弱点和漏洞。通过早期预警信号来缩短威胁的检测和响应时间，从发现情报到发出预警仅有2小时左右的时差，目前我们情报系统已支持定向情报订阅服务。

4．重新定义响应处置

华云安通过强化自定义工作流、第三方集成和强化自动化响应能力来缩短漏洞响应时间，建设安全运营闭环。

我们通过自动聚合、关联和规范化以及知识图谱的可见性，消除在复杂网络环境中管理数千甚至上万台设备的复杂性；华云安创新的采用自定义流程、SOAR集成和第三方API，实现持续的检测响应，不断发现安全差距、验证控制策略有效性，加快响应速度；通过简单的集成，简化自动化响应的工作流，提高响应速度与效率。

我们在自动化响应这一块不断探索和实践，目前自定义安全策略能够在资产出现风险时自动触发自定义操作，提醒用户、通知第三方工具，执行远程命令、开启扫描验证等，通过自动化的方式提升安全响应速度。

攻击面管理，数字时代的安全运营技术的基石

在数字化时代，攻击面管理作为安全运营的创新技术，成为数字时代安全运营技术的基石。我们认为，在攻击面管理基石之上，通过创新的资产漏洞管理、自动化安全测试、扩展的安全情报技术，共同实现新一代的企业全面风险管理。

华云安作为国内首家聚焦攻击面管理的网络安全公司，以攻击者视角构建攻击面管理产品解决方案，基于资产漏洞管理、自动化安全测试、扩展安全情报，分别推出定位CAASM的灵洞·网络资产攻击面管理系统（Ai·Vul）、定位EASM的灵知·互联网情报监测预警中心（Ai·Radar）、定位BAS的灵刃·智能渗透与攻击模拟系统（Ai·Bot），三款产品都是基于攻击者视角从不同维度共同打造数字化时代数字安全风险管控的完整解决方案。

同时，华云安的产品是微服务架构的平台化产品，华云安原子化安全平台（VUL.AI PLATFORM）基于云原生架构、以微服务的方式提供不断迭代的安全能力，充分考虑了弹性、冗余和高性能，安全能力敏捷且易用。平台化架构让多个产品既可以独立提供各自的安全能力，也可以将原子化的安全能力编排成全面且完整的攻击面整体解决方案。平台化架构也使得华云安以云原生的方式构建下一代的数字安全防御体系。

 

（2022.5.7数说安全报道）

原文始发于微信公众号（数说安全）：华云安沈传宝：攻击面管理要做的是比攻击者更快一步