其中,攻击面管理(ASM)、入侵与攻击模拟(BAS)作为近两年内国际范围内公认的创新方向,成为了安全运营领域当之无愧的“顶流”。 放眼全球,一家叫“华云安”的中国网安企业已与国际顶尖安全公司一起,站在了攻击面管理赛道的最前列,甚至以一己之力影响着国际攻击面管理技术的走向。 这家成立仅仅3年的初创公司,是如何成为攻击面管理领域的“新王”?它所倡导的“攻击面管理”技术,与现有的安全运营技术有何不同,又能解决企业客户的什么痛点? 在近日召开的“2023网络安全运营技术峰会(SecOps 2023)”上,华云安给出了明确的答案。 一年106场攻防演习,平均3天一场的强度,即便是一家安全大厂也未必吃得消,但这却是华云安过去一年的战绩。 随着国内攻防演习常态化和安全实战化趋势的到来,一些央企、金融、政府机构主动找到华云安,希望在组织内部开展常态化的攻防演习模拟,以审视自身弱点,全面提升安全防御能力。 在此之前,这些企业用户大多已有完备的安全防护和运营体系,但即便如此,依然防不住越来越复杂高级的攻击手法。 究其原因,不妨从网络安全防护技术的三要素——漏洞、资产、情报来看。 先说漏洞。 漏洞治理一直是网络安全的“共性顽疾”,是安全管理的重点和难点。 传统的漏洞管理往往通过漏洞扫描、安全管理平台等产品或人工的方式,将漏洞扫描的结果进行相应的处置。但在漏洞管理过程中,常常会出现海量漏洞验证确认难、修复难、定位难等问题。 除此之外,在数字化越来越普及的时代,仅仅围绕已知主机上存在的已知漏洞进行管理已经远远不够。面对不断增长的供应链、开源组件、过期证书、泄漏数据、IoT 类哑终端等薄弱环节,是否纳入了漏洞管理视野? 除了软件漏洞,用户权限、泄露数据、钓鱼网站等多样性的漏洞层级是否被充分重视?从防御者视角获取到的漏洞,和从攻击者视角看到的企业攻击面是否一致?种种问题都将传统意义上的漏洞管理逼到了死角。 再说资产。 过去企业用户保护目标,绝大部分是IT系统、网络、应用,但在当前数字化的场景下,保护目标已经进一步拓展到数字化的资产,比如API、小程序、摄像头、传感器、身份信息、数据泄露信息、用户凭证等等。 在这种情况下,企业用户的资产数量成倍增长,面临非常大的暴露面。 但在现实中,企业用户往往对自身IT资产管理较为粗放,很多资产没有及时清点更新,出现了大量影子资产、僵尸资产,成为被攻击和利用的短板。 同时,互联网业务边界的泛化,以及与三方服务商的供应链业务逐渐增多,进一步引发了更多的不可控因素。 面对不断增长变化的IT资产,企业用户越来越难以确保所有资产的安全,包括:企业内部访问的所有暴露于攻击者的IT资产、暴露于互联网的资产以及供应商基础设施中的资产。 最后说情报。 尽管威胁情报在提高对风险和威胁可见性方面发挥了重要作用,但是在攻击面动态变化、供应链攻击威胁加大、威胁者攻击策略更具有针对性的情况下,传统威胁情报(CTI)已不足以为企业用户提供有效的保护和防御。 由于传统威胁情报(CTI)对非公开网络数据收集和分析能力有限,比如缺乏对闭源和暗网情报的关注,导致早期预警方面能力欠缺,这对于企业的安全运营是远远不够的。 如果说站在防御方角度,企业用户已经尽可能地去做了大量安全运营工作,但依然面临资产不全不准、威胁告警过多、碎片化安全产品、安全运营效率低等问题,那么是时候转变安全防护思路了,而这正是华云安脱颖而出的机会。 作为Gartner推荐的全球“攻击面管理”代表厂商,华云安结合国内网络安全发展现状与特性率先定义了“攻击面管理”。 所谓攻击面管理,其本质在于转换了攻防视角,强调以攻击者的视角,审视组织内部和外部可能存在的网络攻击面,以更快更全更准地发现薄弱环节,在攻击者利用之前提前响应,改变攻防极度不对称的局面。 打个比方,这就好比在黑客进攻之前,企业先找“白帽子”来审视自己,提前找到自身弱点。 很显然,攻击面管理这一概念源于“以攻促防”的攻防对抗基本理念,而它的正式提出来自2021年7月Gartner发布的“安全运营技术成熟曲线”。 该报告把攻击面管理分为外部攻击面(EASM)和网络资产攻击面(CAASM)。 其中,EASM强调外部攻击者视角,针对暴露在公网的资产(包括互联网、云、物联网、智慧城市等环境下的资产与风险),主要通过黑客探测的手法与情报来进行分析。 CAASM则强调内外部全局视角,通过API与其他系统集成的方式来解决持续的资产可见性和漏洞风险。 同年9月,华云安在国内发布攻击面管理产品体系,这一时间与国际上攻击面管理技术的正式提出几乎同步,打破了过去新技术总是国际先行的惯例。 随后的一年里,微软、IBM、谷歌等传统IT巨头,以及CrowdStirke等创新安全厂商,陆续以收并购的方式进入到攻击面管理的领域;同期国内一些安全厂商也开始相应推出攻击面管理解决方案。 至此,攻击面管理领域真正成为网安行业公认的未来产业链重要技术创新方向。 而在用户侧,越来越严格的上层监管、安全实战化的趋势以及数字化业务带来的安全刚需,都让政企客户开始迅速接受攻击面管理这一概念,速度之快超过了以往其他IT新技术。 一个明显的信号是,越来越多的企业用户招标文件中出现了“攻击面”、“暴露面收敛”等词汇。 2023年5月1日正式实施的国家标准《信息安全技术 关键信息基础设施安全保护要求》,更是明确提出了收敛暴露面等主动防御要求,进一步推动需求由事件型驱动向合规驱动转变。 在全球安全技术趋势演进和国内安全环境的双重推动下,华云安在短短2年内就形成了涵盖网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、入侵和攻击模拟(BAS)三大典型场景的攻击面管理闭环方法论,并从CAASM、EASM、BAS三个维度推出了攻击者面管理的完整解决方案。 与传统安全运营模式相比,华云安攻击面管理方案最大的不同,在于从攻击者视角出发,重新定义了数字化时代的资产管理、漏洞管理、情报协同和响应处置。 例如,在资产管理方面,除了已知资产,华云安攻击面管理更关心未知资产,包括影子资产、恶意资产、供应链资产等。 在漏洞和攻击面检测方面,华云安除了关注传统漏洞,还包含配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞等,通过漏洞管理闭环的方式缩小攻击面。 在漏洞修复上,华云安帮助用户识别真正高危的漏洞风险,将精力聚焦在有价值的漏洞修复上。 在情报方面,华云安创新性地将国家监管的情报、实时漏洞情报和扩展安全情报聚合,提升早期威胁预警能力,缩短威胁的检测和响应时间。 在响应方面,华云安消除在复杂网络环境中管理数千甚至上万台设备的复杂性,并创新性地采用自定义流程、SOAR集成和第三方API,简化自动化响应的工作流,提高响应速度与效率。 凭借颠覆性的创新技术和出色的实战验证效果,即使在2022年疫情影响最严峻的一年,华云安也依然凭借攻击面管理解决方案的核心产品,在各个关基单位(能源、电力、央企、金融)获得了非常多的成功案例。 如果说2022年,华云安发布了以攻击者视角构建的攻击面管理整体解决方案,那么2023年,华云安进一步延伸了攻击面管理的涵义。 在SecOps 2023大会上,华云安创始人兼CEO沈传宝提出了“看见安全,持续验证”的新观点。 华云安创始人兼CEO 沈传宝 沈传宝认为,在数字化时代,网络安全必须被“看见”才安全;同时,安全防御的有效性也需要被“持续验证”,才能够真正提升网络安全防御能力。 那么问题来了,安全真的可以被看见吗?安全的有效性又该如何被持续验证? 据沈传宝介绍,在过去一年里,华云安参加了百余场攻防演练活动,涉及十多个重要行业的关基单位,梳理了30万以上的外部互联网资产,发现有相当大比例的资产和漏洞不在这些关基单位的视野范围内。 因此,安全必须被看见,一是安全保护的目标需要被看见,二是安全防御的效果需要被看见。 关于如何看见安全,华云安有一套完整的方法论和配套产品体系。 首先是灵洞·网络资产攻击面管理系统(Ai·Vul)。 灵洞整合了攻击者视角信息和防御者视角信息,让用户先于攻击者“看见”数字化攻击手段和攻击路径,并采取针对性措施进行高效敏捷响应,帮助企业降低被攻击的可能性。 例如,在漏洞管理方面,灵洞支持配置缺陷、不当权限、泄漏数据、过期证书、钓鱼网站、供应链漏洞等6类漏洞类型,能够分析弱点可能产生的风险情况,识别弱点优先级,自动化进行标记和生命周期跟踪。 在资产管理方面,灵洞能够提供更为全面的资产分类,可覆盖的资产涵盖主机资产、WEB资产、IoT资产、容器集群资产的4大类信息资产,以及对应如API、数字暴露面等18种数字资产,并通过支持知识图谱技术对无主资产、僵尸资产、影子资产等5种资产进行标记和可视化呈现。 在情报方面,灵洞采用了全新的扩展威胁情报(XTI)技术,结合传统威胁情报和目前已积累10亿多条漏洞数据、超过50亿的实体和关系模型,这些数据在实现监管和行业打通、与外部攻击面的视角关联、攻击面的实时响应方面,发挥了尤为重要的作用。 其次是灵知·互联网情报监测预警中心(Ai·Radar)。 基于华云安知识图谱的安全风险库、基于企业暴露面数据源、托管服务及安全服务三类数据源,灵知以攻击者思维定向梳理、发现企业未知资产暴露面及脆弱性,形成具有即时性、可定位性、可追溯性的暴露面测绘图,让企业持续“看见”网络安全态势,实现从“被动防御”向“主动防御”的进阶。 当然,仅仅实现“看见”安全还不够,安全防御是否真的起到了效果,同样需要被验证。沈传宝认为,安全验证是未来必然发生的方向。 这与Gartner在“2023年9大主要网络安全趋势”中提到的安全验证趋势不谋而合。Gartner认为,“到2026年,超过40%的组织(包括三分之二的中型企业)将依靠整合平台来运行安全验证评估。” 那么站在攻击者视角,应该如何做好网络安全防御体系的持续验证?华云安将其划分为5个方面: 第一,安全攻击面验证,攻击面评估包括资产可见性、错误配置、补丁修复等,从攻击者角度评估可利用的威胁。 第二,安全有效性验证,自动化的评估现有安全控制措施是否可以检测和阻止来自攻击者的行为。 第三,安全一致性验证,持续的验证和评估安全工具配置分析、检测效率以及对抗性的威胁模拟,发现问题并改进。 第四,事件响应效率,对事件响应机制的及时性和有效性进行评估,衡量检测、调查和响应的时间。 第五,安全成熟度改进。详细的验证评估结果呈现系统的优势和差距,帮助运营方提升改进安全能力。 沈传宝表示,最终安全验证的目标,一定是提供一套完整的、量化的方法,来评估企业安全风险的整体态势。 在工具层面,Gartner将入侵和攻击模拟(BAS)作为一项验证工具囊括在安全验证这一整体趋势下。同样,华云安也将其入侵与攻击模拟产品——灵刃·智能渗透与攻击模拟系统(Ai·Bot),作为安全持续验证的有力工具,提供安全能力的可视。 总体而言,华云安借助创新技术来“看见”复杂难测的数字资产,帮助企业实现对自身安全态势的全面认知,进而审视自身弱点,验证安全防御的有效性,持续提升安全运营能力。 随着攻击面管理概念的持续爆红,这一赛道也出现了越来越多的竞争者。 据数说安全2023年发布的《攻击面管理产品市场分析报告》显示,国内攻击面管理市场厂商数量已达到20-30家,大多数厂商以资产测绘与管理、漏洞扫描与漏洞管理、威胁情报等作为核心能力,通过叠加微创新,参与市场竞争。 即便市场竞争激烈,华云安依然成为国内唯一在攻击面管理(ASM)和入侵和攻击模拟(BAS) 双领域入选Gartner《Hype Cycle for Security in China,2022》的代表厂商;并与国际漏洞管理顶级厂商Tenable、Qualys一起入选《Competitive Landscape: External Attack Surface Management》,被Gartner列为EASM全球代表性供应商,充分凸显了华云安在ASM与BAS方面的技术创新与最佳实践的价值。 对一家创业公司而言,成立短短3年,却能站在全球前沿安全技术之巅、领跑全国赛道,实属不易。但仔细审视华云安的过去和现在,就能发现其成功自有道理。 首先,刻在骨子里的攻防基因。 华云安在正式创立前,其团队就常年服务于国家网络安全相关主管部门,承担了国家信息安全漏洞库(CNNVD)下一代国家漏洞库的漏洞采集、数据融合、漏洞分析等核心系统建设工作。 作为国家信息安全漏洞库(CNNVD)技术支持单位,华云安原创漏洞报送量常年居于前列。 同时,华云安还是中国信息协会信息安全专业委员会攻防与应急保障工作部的牵头单位,团队曾多次参与“两会”、北京教委、公安部等国家重大活动的保障工作。 作为漏洞挖掘分析、攻防对抗出身的专业团队,华云安天生拥有攻防基因,提出攻击者视角的攻击面管理技术水到渠成,具备天然优势。 公司成立后常年参加实战攻防演练,尤其每2022年百余场实战攻防演练的战绩,也使得华云安积累了很多自动化攻防、关键数据采集、自动化检测引擎的经验和工具,这些能力能够很好地转化为攻击面管理产品提供给政企客户应用。 其次,高占比的研发投入。 一家公司的研发投入,决定了其科技创新能力和核心竞争力。在攻击面管理这一细分领域,华云安可谓是倾注全力,研发投入比例之高远胜于很多安全大厂。 据了解,华云安目前整个公司技术研发人员占比80%以上,多数核心团队成员曾任职于奇安信、深信服、绿盟、360等一线网络安全企业。成立三年以来,华云安的研发投入还在持续攀升。 不仅如此,华云安还成立了两大安全研究院,长期承担国家级科研项目,开展攻防对抗、人工智能和知识图谱等前沿技术研究,已经取得多项技术创新成果,获批多项相关专利,保持着其核心能力的领跑位置。 最后,技术和商业“两条腿”走路。 在商业市场,技术的领先不一定代表商业成功,创业公司的成功往往依靠“两条腿”走路,一是以技术为依托的创新能力,二是以商业为依托的创业能力。 面对中国网安市场上千家安全厂商碎片化的竞争,甚至是同质化到“内卷”的竞争,华云安核心竞争力的打造,正是依托了技术和商业模式的双轮驱动。 沈传宝认为,从短期看,核心竞争力一定来自攻防实力,只有在攻防一线才有可能真正的去掌握攻击面管理的技术。从长期看,核心竞争力来自商业模式和技术投入两方面。 在商业模式上,华云安打造了基于云原生的原子化安全能力平台,以微服务的方式提供不断迭代的安全能力。 平台化架构让华云安的多个产品诸如资产管理、漏洞/弱点管理、情报预警、响应中心等,既可以独立提供各自的安全能力,也可以将原子化的安全能力编排成攻击面管理的整体解决方案,实现了一个平台覆盖所有安全能力,快速构建不同客户具体应用场景的解决方案。 这种平台化能力,既能很好地解决当前政企客户面临众多产品难以抉择、碎片化产品难以协同等问题,符合未来网安供应商和平台走向整合的大趋势,也为华云安持续在平台上增加不同的安全能力、构建下一代数字安全防御体系打下了坚实基础,同时也为华云安未来不断拓展商业版图留下了非常大的想象空间。 在技术投入上,华云安作为作为国内人工智能与网络安全实践的先行者,也开启了对网络安全大模型的研究。 在SecOps 2023大会上,华云安展示了AI大模型在攻击面管理典型场景中的应用:在扩展威胁情报方面,通过对1day漏洞情报、敏感数据泄露情报分析,帮助企业快速感知情报价值,决断响应和修复;在智能攻防方面,基于大模型的语义理解和生成,将晦涩的攻防技术成果进行易读性文字总结,以及场景化验证脚本和思路生成,进一步提高了安全运营效率,缩小攻防信息差。 无论是平台化还是AI大模型的能力,都需要大量投入和长期建设,但在华云安看来是“难而正确的事”,必须尽早开始并持续坚持。 |
|