近年來，隨著企業數字化轉型進程的加快，數字化技術對企業的業務模式、組織架構和企業文化產生了深遠的影響，大量的業務和辦公應用開始走上云端，擁抱互聯網。但在這一過程中，企業面臨的攻擊面也隨之擴大，暴露在互聯網中的企業資產讓全新的安全威脅和風險隨之而來。

　　更嚴峻的安全形勢，推動著企業用戶的安全需求正在從合規驅動階段逐步過渡向實戰驅動階段，在用戶需求的呼喚下，一批更先進的安全產品和安全理念也應運而生，如零信任、XDR擴展威脅響應與檢測、攻擊面管理等都是這一階段的典型代表。

　　日前，安全419接觸到了一家近期在業內聲名鵲起的攻擊面管理領域廠商——云科安信，邀請到了云科安信COO陳思，立足于云科安信對攻擊面管理的洞察和理解，為我們分享攻擊面管理在當前新一代網絡安全防御體系中的能動作用，以及云科安信的相關實踐。

　　據介紹，云科安信成立于2018年10月，其創始團隊主要來自F5Networks、賽門鐵克等全球化安全企業，具備多年一線攻防的實戰經驗。創始人金飛曾在哈工大任職10年，從事國防安全相關技術研究；隨后金飛曾在惠普、F5Networks等企業擔任安全架構師，積累了豐富的甲方安全建設經驗。

　　云科安信致力于以最簡單便捷的方式將實戰攻防能力輸送給用戶，讓每一個單體企業用戶都能夠輕松具備強大的實戰能力，以此提升全社會的網絡安全實戰水平。

　　作為專注實戰攻防的平臺型公司，云科安信將自身實戰應用多年的攻擊面管理工具升級，打造了白澤攻擊面管理平臺——以攻擊者視角聚焦企業網絡空間IT資產，幫助客戶時刻洞察網絡空間資產風險，主動掌控資產動態，及時提出收斂資產暴露面的數據支撐，驗證暴露資產的漏洞可利用性，并形成關聯關系的可快速構建的實戰化、自動化、智能化的攻擊面管理平臺，無需專業實戰攻防人才，即可讓企業直接擁有攻擊者視角及能力，提前預判風險，從而及時修補漏洞。

　　安全合規市場正在向實戰化市場轉變

　　用戶需求催發了攻擊面管理市場的興起

　　云科安信COO陳思告訴我們，近年來在大國博弈的背景下，網絡空間已經沒辦法再獨善其身，從俄烏網絡戰中能夠看到，網絡空間已經成為了下一個戰場。在這樣的大背景之下，國內客戶的安全意識也進一步被喚醒了，用戶們開始清晰地意識到，應對更復雜的安全威脅僅僅做好安全合規是不夠的，實戰能力方面也需要得到真正的提升。

　　此外，數字化的發展以及企業業務的發展讓安全來到了一個業務驅動的時代，原來一些企業的業務對互聯網依賴性并不強，但是隨著企業對于應用系統和數據的依賴程度逐漸加深以及業務的拓展，企業暴露在互聯網上的業務資產正在急劇增長。

　　“在攻擊者視角下，只要企業將業務發布到互聯網上，或者是跟互聯網存在關聯，那么無論這家企業位于世界上哪個國家，哪個角落，他們面對的風險和挑戰其實是一樣的。因此，實際上是客戶自身的安全需求正在從合規向實戰能力提升轉變。”

　　拿醫院舉例來說，過去人們看病都是在線下醫院，但現在各大醫院也正在推出互聯網醫院應用，網上掛號、復診、報告查詢等等越來越多的業務都被搬到了互聯網上，與患者相關的個人隱私信息、病例信息就有可能暴露在外，成為一個安全隱患。

　　從監管的角度，國家自2016年以來開始舉行常態化攻防演練活動，包括公安部、網信辦以及各個行業的監管機構也都在通過不同的演習形式和手段去敦促重點的行業用戶去提升他們的實戰能力。

　　“行業中經常提到，安全的本質是攻防兩端的對抗，在過去做安全建設時，企業用戶更多是從防守者視角出發，通過采購安全設備和安全服務來查漏補缺，按圖索驥般的強化自身的安全防御機制。但攻擊者的視角和能力卻被他們忽略了，攻與防兩個視角缺一不可。”

　　攻擊者視角的缺失催發了攻擊面管理概念的誕生，攻擊面管理概念最早由國際知名咨詢機構Gartner于2018年首次提出，在2021年7月，Gartner發布了《2021安全運營技術成熟度曲線》，將攻擊面管理相關技術定義為新興技術。

　　圖：Gartner對攻擊面管理技術的定義

　　隨著攻擊技法的快速迭代，防守的技法也需要跟蹤攻擊技法的技術演進而演進，但對于企業用戶來說，在有限的安全投入下，持續地跟進學習當前行業內最專業的技術是不現實的，如何借助一種技術，或是一個安全平臺來幫助彌補攻擊者視角的缺失，在無需學習攻擊技法的情況下，也能夠不斷的動態調整防御策略，持續性地對自身安全態勢進行監控和管理成為企業當下的核心需求。

　　“我們看到的一個趨勢是，用戶目前已經對安全建設提出了新的需求，他們意識到自身資產的邊界正在變得越來越模糊，擴大的速度也越來越快，使得用戶想要去收斂攻擊面，但又無從下手，這對云科安信來說無疑是一個發展的機遇期。”

　　持續探測暴露在互聯網上的資產

　　以攻擊者視角審視企業安全的薄弱環節

　　近年來隨著安全形勢的升級，“攻擊者視角”這一次也正在成為一個安全熱點詞匯，國內包括安全的甲方和乙方目前也在圍繞其進行探討，那么具體什么是攻擊者視角和攻擊者思維？就這一話題我們請陳思分享了云科安信的理解。

　　陳思認為，之所以不同的安全廠商對于攻擊者視角的解讀存在差異，這其實取決于各自的攻防基因和相關經驗。云科安信對攻擊者視角的理解是，站在攻擊者的位置用攻擊者的思路思考、審視目標系統，持續性的監測目標的暴露面變化情況，高效、迅速地找到突破路徑。

　　她談到，云科安信旗下的SERAPH實驗室一直活躍在網絡安全攻防一線，自2016年開始也一直以紅隊的身份參與到常態化攻防演練活動中，在這一過程中逐漸沉淀下來了一套具備網絡空間測繪和漏洞滲透能力的強大工具，借助這一工具能夠迅速找到攻入目標系統的最短路徑，從包括時間、速度、精準度以及全面性等各個方面來提升紅隊攻擊的效率。在這一工具的支撐下，其SERAPH實驗室在過往的各項攻防演練和比賽中多次獲獎，2020年還曾獲得CNVD原創漏洞積分全國第一的成績。

　　2021年Gartner報告中提到了“攻擊面管理”的概念，云科安信發現這正與過去幾年中自身的理念和相關的產品技術不謀而合。因此，云科安信開始圍繞這一工具雛形，在更深層的資產測繪功能和可視化層面逐漸豐富，并最終打造出了“白澤攻擊面管理平臺”。

　　陳思認為，攻擊面管理既然是一個以攻促防的技術思維，它就應該將真正的攻擊者的能力帶給用戶，讓用戶能夠清晰看到，當一個攻擊者將自己作為目標的時候，攻擊者會在互聯網上搜集哪些資產和暴露面，他們能搜集到的資產信息能夠深入到哪個節點，在它的資產暴露面中，我們再去尋找進一步去尋找突破的這種入口，去驗證漏洞入口的可利用性，最終為客戶形成全部可見的攻擊路徑圖。

　　通過白澤攻擊面管理平臺，云科安信將攻擊者的思路去融匯到這個平臺里面，讓客戶得以用攻擊者視角來審視自身的缺陷。“我們以攻擊者的能力告訴防守者，如果是基于實戰視角的防御建設，應該從什么地方開始做防御，它的優先級是什么。其中哪些安全漏洞要修復，哪些暴露面要收斂，哪里存在薄弱環節需要安全加固，增加防御策略等等。這是我們對攻擊者視角的理解。”

　　以平臺化思路打造攻擊面管理產品

　　為企業提供信手拈來的實戰化攻防能力

　　陳思介紹，白澤攻擊面管理平臺在2020年便已實現商業化落地，目前平臺累計服務政府、國央企、醫療、教育、金融、運營商等各行業客戶近1000余家，為用戶的數字業務安全提供了堅實保障。

　　她表示，白澤攻擊面管理平臺將云科安信團隊過往所有的攻防技戰術和資源濃縮其中，以一種極簡的使用方式交付給用戶，能夠完全自動化地幫助用戶持續性的發現和梳理資產暴露面的情況，將包括域名、IP地址、端口情況，web應用、中間件、數據庫、組件、指紋等等這些跟目標系統相關的信息詳細地展現在用戶眼中。

　　白澤攻擊面管理平臺架構

　　在梳理完用戶全部暴露在外的資產和攻擊面后，白澤平臺還會從應用的視角、關聯關系的視角、端口數據的視角將不同資產之間的關聯關系進行展示，幫助用戶了解到未知的資產暴露情況。“公開的這些信息我們可以看到，別人其實也可以看到，攻擊者和商業競爭對手也仍然可以看到，所以梳理它的資產情況，梳理它的這些細節和暴露面，是實施攻擊面管理的基礎。”

　　云科安信認為，一家企業的暴露面能夠分為以下幾類：

　　第一類是不得不暴露在外面的資產。比如企業官網或對公的一些服務應用，這類暴露面很容易可以被測繪，但是它的業務又必須依托于互聯網，因此云科安信會幫助用戶做安全加固，相應的去提升它的防御的能力。

　　第二類是可以不暴露在外的資產。比如說一些企業的綜合管理系統、OA系統等內部管理系統也都暴露在互聯網上。對于企業來說，在不知情的情況下每一個暴露在互聯網上的應用都是一個突破口，帶來不可預知的風險，因此，云科安信會指導企業用戶將此類暴露面進行收斂。

　　第三類是必須不能暴露在外的資產。這一部分的暴露面典型的代表如開發工具的管理入口、API文檔的系統信息等等，從安全角度來說是絕對不能放在互聯網上的，針對這一類資產暴露面云科安信會告知用戶及時收斂和處置。

　　在協助用戶將暴露面梳理清晰后，白澤攻擊面管理平臺會在暴露在外的資產中尋找漏洞，對漏洞做可利用性的驗證。最終讓客戶看到在他已知范圍和他未知范圍內，攻擊者能夠突破進來的全部路徑。

　　“我們經常舉個例子，一個國家級運動員可能4年才參加一次奧運會，但他們需要每天堅持不斷的訓練技巧和體能，去參加各種大小比賽，以此來保證自己一直處于最好的狀態，最終在奧運會這樣的大考面前才能夠拿到很好的成績，同樣做企業安全建設也是如此，攻擊面管理就是企業在做的一次次常態化攻防演練。只有每天不斷地錘煉和打磨，才能夠保持一直跟蹤最先進的攻擊方法和思路，跟蹤最新的漏洞信息，持續在攻防一線收斂風險隱患。”

　　陳思談到，極簡的使用方式是白澤攻擊面管理平臺的最大特點。“既然攻擊者在最初面對一個目標時，可能掌握的最基礎的信息只有企業的名稱或者域名，那么白澤平臺就以同樣的視角來提供給用戶。她介紹，用戶只需要輸入企業的公司名稱或域名，平臺便能夠迅速在整個互聯網中檢測相關的暴露面資產，驗證攻擊路徑，最終將全部攻擊面自動化地向用戶交付。”

　　她表示，云科安信在將白澤攻擊面管理平臺交付給用戶時，通常會告訴用戶自己最終的目的并非是為用戶提供安全服務，而是希望將這種自動化的暴露面發現能力、資產梳理能力賦能給企業，讓其能夠真正為人所用。

　　采訪最后，在談及未來攻擊面管理市場的發展趨勢時，陳思認為，當前國內整體安全市場剛剛從合規安全轉向實戰化驅動和業務驅動，攻擊面管理細分市場也處于剛剛起步階段。補足攻擊者視角的缺失注定成為企業用戶們下一步安全防御建設的重要方向。隨著安全意識的深入轉變，實戰化導向的攻擊面管理市場很快會迎來爆發期。

　　在這樣蓬勃發展的市場環境下，云科安信也會繼續持續擴大白澤攻擊面管理平臺的既有優勢，持續以SAAS和定制化的模式向企業輸送攻擊者能力，賦能企業實戰攻防能力建設。同時在技術層面不斷增強資產測繪、漏洞驗證以及暴露面收斂的能力，推動白澤攻擊面管理平臺在更多用戶場景中得到廣泛應用。

更多信息可以來這里獲取==>>電子技術應用-AET<<