“安全風險是否存在”并不是一個問題

　　因為它隨時都有可能發生

　　對話伊始，主持人張毅依然還是從較為宏觀的視角與嘉賓一同就當前數字經濟發展如火如荼的背景之下，網絡安全在發展趨勢方面呈現出怎樣的特點這一話題展開探討。

　　融通開源數據研究院院長文仲慧表示，從學術的角度看，網絡安全其實同信息安全和網絡空間安全有所不同，但從應用的角度看，現在普遍用“網絡安全”一詞來統稱概括這三者。結合網絡活動本身的特點，文仲慧對當前網絡安全形勢的特點歸納為以下4點：

　　01 戰時、平時不分

　　02 軍用、民用不分

　　03 硬傷、軟傷不分

　　04 顯性、隱性不分

　　總體而言，由于網絡活動具有著不受時間、地點約束且應用廣泛的特點，上述所談論的4點之中的因素在彼此之間已經很難區分，也由此給當前的網絡安全帶來巨大挑戰。其中第3點所談的硬傷、軟傷，則主要從物理或硬件層面的損傷及虛擬或軟件層面的損傷兩個維度去看待安全的重要性，文仲慧表示，硬件層面的損傷大多都可以計算出具體的損失，但軟件層面的損傷卻難以計算，從這個角度看，時刻保證網絡安全在當前數字經濟時代下，是重中之重的事情，同時，安全也須做到時刻守護而容不得一絲放松。

　　楊雷對文仲慧所表達的觀點表示非常認同，尤其是在戰時、平時不分這一點上，他也結合自身的體會進行了一些分享。楊雷表示，現在的安全是在原有的合規基礎之上增加了一層內涵。在2016年以前，絕大部分用戶在做安全時普遍會按照標準化的方式去建設，以垂直分層、水平分區這一思路去購買諸多安全設備等等。而在現在，用戶在購買設備的同時，還會去關注如何將設備利用好。之所以會有這種變化，正是由于網絡安全具有常態化、碎片化的特點，再加上攻防雙方之間彼此對抗的過程具有動態化的特點，因此“安全風險是否存在”并不是一個問題，因為它隨時都有可能發生。

　　如果說早年間還可以通過以合規的方式去進行安全建設，那么現在無疑是不夠的，因為它難以滿足現狀所需，需要采用新的思維方式、新的技術手段去解決安全問題，在楊雷看來，用戶現在也開始意識到這一點，因為越來越多的用戶都開始以體系化而非單一化的思維去考慮安全問題，這也是用戶層面近幾年表現較為突出的變化之一。

　　結合前面兩位嘉賓的發言，金飛則從云科安信所專注的攻擊面管理角度繼續延續這一話題，他表示，在全球化、數字化的背景下，數字資產邊界已遠遠超出我們所想象的范圍，與此同時，在我國當前的經濟規模不斷增長、經濟總量占世界經濟比重也越來越高的情況下，就會成為某些國家或某些利益的斗爭面，因此總體來看，無論是科技的發展還是國際形勢的變化，我們當前所面臨的網絡安全風險肯定要比十年前更多。“既然整體環境已然如此，那么與之相匹配的，是必須提高我們的防御能力。”金飛表示，“如果說以往做信息安全重在建設本身，也就是建設者視圖的角度，而網絡安全呈現高頻對抗特點的當前，則需要從另一個視角去提升自身的安全能力，在我看來，攻擊面管理恰恰是能夠以一個攻擊者視圖的角度去幫助我們做到這一點。”

　　OSINT-ASM

　　將原有攻擊面管理概念進一步延展

　　?安全419注意到，在2022年8月的ISC2022大會上，云科安信發布OSINT-ASM開源情報攻擊面管理的概念，而在本期《暢聊安全》節目中，恰好與此相關的雙方都有嘉賓到場，主持人張毅也圍繞OSINT-ASM（開源情報攻擊面管理）到底是怎樣的概念等相關話題與和位嘉賓展開了探討。

　　金飛表示，現在的網絡攻擊之所以細粒度高，是在于它攻擊的目標開始多元化，以往可能只會對數字資產進行有針對性的攻擊，現在則還會將使用數字資產的人也同樣作為攻擊目標，并且將其作為一個非常重要的切入點。在他看來，數字資產中出現漏洞、風險的頻率雖然不會比人更高，但人也許會成為放大劑、催化劑，“假設有1條攻擊路徑被確認，后面有1萬個人在使用這條攻擊路徑，那么對我們而言，它不是1條攻擊路徑，而是1萬條。”金飛介紹道，“如果某些熱衷于在社交媒體或其他平臺分享信息的員工，掌握著公司的重要資產，那么該員工個人在互聯網上的這些暴露面也許就會對公司形成巨大的安全隱患，如果他的電腦被控制，相關權限被攻擊者獲取，那么后果不堪設想。”

　　通過上述闡述，大家不難想到經常說的社會工程學（簡稱社工），金飛認為，社工實際上只提供了一種方法論，并未與攻擊完全相融合，而云科安信所提出的OSINT-ASM概念則相當于以一種遞歸篩選的方式去確定數字資產的邊界，隨后在這一邊界內尋到數字資產的使用者，并進一步找出其中安全意識最淺薄的那群人，并將其與最危急的漏洞相關聯，以發現最有效路徑。事實上，OSINT-ASM本身并非是原有攻擊面概念所包含的內容，但云科安信的做法則是在基礎之上做進一步的豐富，從某種角度上看，這也是一種創新性的做法。

　　談到融通開源數據研究院與云科安信之間在OSINT-ASM方面的合作時，文仲慧介紹道，開源網絡情報意指從網絡空間中公開來源信息中所獲取的情報，它既可以作為一個獨立的分支去運作，也可以作為其他系統的補充和支持，融通開源數研院則是在這兩方面均與云科安信有著較為深入的合作，在研究和落地兩方面以相互賦能的方式實現相互促進，進而得以讓開源網絡情報發揮出在實踐中發揮出更大價值和更好效果。

　　攻和防相當于硬幣兩面

　　只有兩者面積相同時才是最佳狀態

　　近些年來，安全這件事情本身同以往相比發生了很大的變化，如我們開始更多去談從傳統的被動防御到現在的主動防御，從合規建設到現在的強調實戰能力等等，但歸根到底，目的還是為了抵御網絡上這些攻擊者發起的攻擊，對于用戶來說，如果能夠將防御盡可能地前置，那么相對也會提升防御成功的概率，大幅降低甚至規避這些攻擊以及相關損失。

　　說到主動防御這一話題，金飛也分享了自己的一些觀察和思考，其中重要一點則在于此前安全行業內很多企業都是相對專注于攻、防一端的，如做攻的不會去防，反之亦如此。“我們認為，攻和防相當于硬幣兩面 只有兩者面積相同時才是最佳狀態。”金飛闡述道，攻擊能力強而防御能力弱，意味著你只能做一個發現問題的吹哨人，因為你無法解決問題。但反過來看，防御能力是需要攻擊來驗證的，如果不具備強大的攻擊能力，又何談強大的防御能力呢？“我們有一個理念叫做能攻者擅守，一個合格的攻擊者或防御者就和硬幣兩面一樣，一定是相稱的。攻擊面管理從實戰角度來講，？？它類似于一個非常強悍的狙擊手，但是能夠干掉一個狙擊手的總會是另外一個狙擊手。”

　　的確，攻、防這兩個能力之間應可以是相互聯動的，既是相互升級的過程，也是同步遞進的過程，且兩者能力最好可以在一個最小場景中實現閉環且互相驅動，而云科安信的做法則是在通過SaaS化的方式，實現攻、防兩大能力的相互調用，從而在幫助用戶發現問題的同時，還能幫助用戶解決問題。

　　楊雷認為，主動防御和攻擊面管理的內涵是高度一致的，所倡導的都是攻防兼備這一理念。具體到主動防御概念本身，他結合神州金橋多年來為企業用戶提供服務的落地經驗和心得，從兩個維度進行了分享：

　　● 一是要真正做好網絡安全意識的整體提升。在楊雷看來，這對于企業提升整體的主動防御能力非常重要，而且應覆蓋到企業的所有人，以盡可能地降低某一個人成為企業攻擊面弱點的可能性。

　　● 二是要真正地從攻和防兩個角度去看安全。楊雷在這里再一次強調要以體系化而非單一化的思維去看待安全，單一視角下的安全建設必然難以很好地應對當前的復雜安全形勢，而如果真正理解了攻防理念，那么對于如何做好安全建設將會有清晰的方向，比如通過尋找相關的優秀工具、專業團隊及服務等，從而有效地提升整體安全水平。

　　攻擊面管理獨自撐起一個市場很難

　　攻防一體、互為閉環的解決方案或是最佳答案

　　作為2022年網絡安全行業最火熱的賽道之一，攻擊面管理所包含的內容本身并不算是新興事物，但它作為一個多技術、多能力融合的概念被提出，仍讓人眼前一亮，但無論如何，它終歸還是要面對一個巨大的挑戰，用主持人張毅的話說，就是它能否獨自撐起一個市場，也就是獨立于其他領域的攻擊面管理市場。

　　在金飛看來，要想說服一個企業去購買網絡安全相關的產品或服務，那么必須首要做的事情就是先驗證風險的客觀存在，而且用戶的投入程度與所驗證且客觀存在的風險范圍大小有著正相關的關系。“攻擊面管理能否單獨去作為工具、產品或解決方案去銷售，我認為沒有問題，但它最大的價值并不在這點錢，而是在于它教育了市場。”金飛談道，“從工具的角度看，攻擊面管理讓很多對于網絡安全沒有意識的人對于威脅、風險客觀存在這一事實有了清晰的認知。”

　　“安全行業有一個特征，用一個有趣的比喻就是‘說服你的最好方法就是先把你打倒然后再扶你起來。’”金飛笑著說道，“再簡單點就是能動手就別開口。”的確，安全企業在和用戶溝通時，很多時候都會遇到這邊苦口婆心，那邊卻無動于衷甚至抬杠的情況，如果通過攻擊面管理工具去將他們的潛在風險點全部展現到用戶眼前，很有可能就會徹底扭轉這一局面。

　　由此不難看出，攻擊面管理的確是一個有效挖掘網絡安全行業需求的系統化工具，幾乎可以和任何一個細分的安全領域進行結合，如供應鏈安全領域、工控安全領域、物聯網安全領域等等。“事實上，攻擊面管理可以與任何一個數字資產的領域銜接，而且一旦銜接就會產生一個全新的場景，我認為這就是它的意義所在。”但金飛也坦承，如果單純依靠銷售攻擊面管理的產品或解決方案，如果試圖通過這一單一業務去支撐起擁有一定規模的企業仍比較難。以云科安信為例，他們一直堅持以SaaS化模式為用戶提供攻防一體、互為閉環的攻擊面管理解決方案，在和客戶的初期溝通過程中，SaaS化的攻擊面管理工具可以做到在現場取得客戶授權后馬上就能查出客戶所存在的安全風險點，金飛表示，這一特點對于提升銷售成功率有著很大的幫助，更值得一提的是，客戶對攻、防兩端的產品和服務往往都會選購。

　　楊雷表示，一個新興的安全概念，往往是由研究機構經過調研而產生的，對一些行業或領域在解決安全問題方面給出了理論指導，有著引領的作用，接下來，就需要去結合用戶的場景和需求，將概念逐一拆解細分，力爭每一個點都做得足夠優秀，能夠幫助用戶去解決實際的安全問題。“如果一家公司可以將一個新的理念或概念下的點都做出來且做得很好，那么對于我們神州新橋這樣的公司而言就會非常樂意去用，因為它做得越好，就意味著對于相關人員的能力水平要求不再那么高，而且還能夠給客戶以更好的服務。”楊雷說道，一是安全企業的產品做得好能夠賣得出去，二是這樣的產品可為包括神州新橋在內的服務提供商在保證效果的同時提高效率，三是能夠真正幫助用戶解決問題，這就相當于實現了三贏，對于市場無疑將會是巨大的促進，但在這之中，對安全企業的要求是非常高的。

　　“三贏是一個最佳結果，安全企業首先要在一個點上做的足夠優秀，其后是自身能力在未來要進一步延展，因為隨著環境的變化以及時間的推移，客戶的需求也會發生變化，如果安全企業不能跟上步伐，那么所面對的只能是淘汰的結局。需要說明的是，這種淘汰并不是客戶層面的人為淘汰，而是一種不努力的淘汰。”楊雷闡述道。

　　針對這個話題，張毅也分享了自己的觀點，那就是對于包括攻擊面管理在內的任何安全行業新興賽道而言，都需要經歷一個從新興到成熟的過程，由于攻擊面管理當前在國內仍處在一個相對早期的階段，因此這個賽道的玩家目前普遍仍在不斷提升自己核心能力，同時也積極地去探索、實踐，雖然距離市場的成熟仍還有很長的一段路要走，但其前景仍值得期待。

　　在節目的最后，張毅進一步總結道，攻擊面管理本身并不算新，它是將以往所有相關的經驗進行匯總和沉淀，最終形成了一條獨立的新賽道，而一條賽道的興起，一方面需要更多參與其中的從業者不斷創新，另一方面也要走出適合自己的路。以我國攻擊面管理領域來看，目前參與者雖然還不是很多，但專業廠商已呈現出增長的態勢，而且綜合型廠商也開始積極關注這一領域，在這一逐步發展壯大的過程當中，安全419所接觸并了解到的這些廠商彼此之間都有著各自所擅長的點，可謂各有特色，這對于攻擊面管理在未來的發展無疑是有益的。只有當所有參與者抱團一起把攻擊面管理做成安全建設當中非常重要的一環，那么像包括云科安信在內的這些安全企業也會進一步擴大自己的生存空間，也才有可能令攻擊面管理形成自己獨立的市場。

更多信息可以來這里獲取==>>電子技術應用-AET<<