科技云報道原創。

近年來，隨著攻防對抗技術的不斷升級，安全運營市場“新貴”不斷涌現，從安全信息和事件管理（SIEM）、擴展檢測與響應（XDR），到攻擊面管理（ASM）、入侵與攻擊模擬（BAS），安全運營領域創新技術集聚，可謂一片繁榮景象。

其中，攻擊面管理（ASM）、入侵與攻擊模擬（BAS）作為近兩年內國際范圍內公認的創新方向，成為了安全運營領域當之無愧的“頂流”。

放眼全球，一家叫“華云安”的中國網安企業已與國際頂尖安全公司一起，站在了攻擊面管理賽道的最前列，甚至以一己之力影響著國際攻擊面管理技術的走向。

這家成立僅僅3年的初創公司，是如何成為攻擊面管理領域的“新王”？它所倡導的“攻擊面管理”技術，與現有的安全運營技術有何不同，又能解決企業客戶的什么痛點？

在近日召開的“2023網絡安全運營技術峰會（SecOps 2023）”上，華云安給出了明確的答案。

安全威脅防不住不如轉變思路

提起華云安，并沒有如大廠般人盡皆知的名氣，但在“攻擊面管理”這個賽道，卻是響當當的角色。

一年106場攻防演習，平均3天一場的強度，即便是一家安全大廠也未必吃得消，但這卻是華云安過去一年的戰績。

隨著國內攻防演習常態化和安全實戰化趨勢的到來，一些央企、金融、政府機構主動找到華云安，希望在組織內部開展常態化的攻防演習模擬，以審視自身弱點，全面提升安全防御能力。

在此之前，這些企業用戶大多已有完備的安全防護和運營體系，但即便如此，依然防不住越來越復雜高級的攻擊手法。

究其原因，不妨從網絡安全防護技術的三要素——漏洞、資產、情報來看。

先說漏洞。

漏洞治理一直是網絡安全的“共性頑疾”，是安全管理的重點和難點。

傳統的漏洞管理往往通過漏洞掃描、安全管理平臺等產品或人工的方式，將漏洞掃描的結果進行相應的處置。但在漏洞管理過程中，常常會出現海量漏洞驗證確認難、修復難、定位難等問題。

除此之外，在數字化越來越普及的時代，僅僅圍繞已知主機上存在的已知漏洞進行管理已經遠遠不夠。面對不斷增長的供應鏈、開源組件、過期證書、泄漏數據、IoT 類啞終端等薄弱環節，是否納入了漏洞管理視野？

除了軟件漏洞，用戶權限、泄露數據、釣魚網站等多樣性的漏洞層級是否被充分重視？從防御者視角獲取到的漏洞，和從攻擊者視角看到的企業攻擊面是否一致？種種問題都將傳統意義上的漏洞管理逼到了死角。

再說資產。

過去企業用戶保護目標，絕大部分是IT系統、網絡、應用，但在當前數字化的場景下，保護目標已經進一步拓展到數字化的資產，比如API、小程序、攝像頭、傳感器、身份信息、數據泄露信息、用戶憑證等等。

在這種情況下，企業用戶的資產數量成倍增長，面臨非常大的暴露面。

但在現實中，企業用戶往往對自身IT資產管理較為粗放，很多資產沒有及時清點更新，出現了大量影子資產、僵尸資產，成為被攻擊和利用的短板。

同時，互聯網業務邊界的泛化，以及與三方服務商的供應鏈業務逐漸增多，進一步引發了更多的不可控因素。

面對不斷增長變化的IT資產，企業用戶越來越難以確保所有資產的安全，包括：企業內部訪問的所有暴露于攻擊者的IT資產、暴露于互聯網的資產以及供應商基礎設施中的資產。

最后說情報。

盡管威脅情報在提高對風險和威脅可見性方面發揮了重要作用，但是在攻擊面動態變化、供應鏈攻擊威脅加大、威脅者攻擊策略更具有針對性的情況下，傳統威脅情報（CTI）已不足以為企業用戶提供有效的保護和防御。

由于傳統威脅情報（CTI）對非公開網絡數據收集和分析能力有限，比如缺乏對閉源和暗網情報的關注，導致早期預警方面能力欠缺，這對于企業的安全運營是遠遠不夠的。

如果說站在防御方角度，企業用戶已經盡可能地去做了大量安全運營工作，但依然面臨資產不全不準、威脅告警過多、碎片化安全產品、安全運營效率低等問題，那么是時候轉變安全防護思路了，而這正是華云安脫穎而出的機會。

攻擊面管理：安全實戰化趨勢下的新視角

作為Gartner推薦的全球“攻擊面管理”代表廠商，華云安結合國內網絡安全發展現狀與特性率先定義了“攻擊面管理”。

所謂攻擊面管理，其本質在于轉換了攻防視角，強調以攻擊者的視角，審視組織內部和外部可能存在的網絡攻擊面，以更快更全更準地發現薄弱環節，在攻擊者利用之前提前響應，改變攻防極度不對稱的局面。

打個比方，這就好比在黑客進攻之前，企業先找“白帽子”來審視自己，提前找到自身弱點。

很顯然，攻擊面管理這一概念源于“以攻促防”的攻防對抗基本理念，而它的正式提出來自2021年7月Gartner發布的“安全運營技術成熟曲線”。

該報告把攻擊面管理分為外部攻擊面（EASM）和網絡資產攻擊面（CAASM）。

其中，EASM強調外部攻擊者視角，針對暴露在公網的資產（包括互聯網、云、物聯網、智慧城市等環境下的資產與風險），主要通過黑客探測的手法與情報來進行分析。

CAASM則強調內外部全局視角，通過API與其他系統集成的方式來解決持續的資產可見性和漏洞風險。

同年9月，華云安在國內發布攻擊面管理產品體系，這一時間與國際上攻擊面管理技術的正式提出幾乎同步，打破了過去新技術總是國際先行的慣例。

隨后的一年里，微軟、IBM、谷歌等傳統IT巨頭，以及CrowdStirke等創新安全廠商，陸續以收并購的方式進入到攻擊面管理的領域；同期國內一些安全廠商也開始相應推出攻擊面管理解決方案。

至此，攻擊面管理領域真正成為網安行業公認的未來產業鏈重要技術創新方向。

而在用戶側，越來越嚴格的上層監管、安全實戰化的趨勢以及數字化業務帶來的安全剛需，都讓政企客戶開始迅速接受攻擊面管理這一概念，速度之快超過了以往其他IT新技術。

一個明顯的信號是，越來越多的企業用戶招標文件中出現了“攻擊面”、“暴露面收斂”等詞匯。

2023年5月1日正式實施的國家標準《信息安全技術 關鍵信息基礎設施安全保護要求》，更是明確提出了收斂暴露面等主動防御要求，進一步推動需求由事件型驅動向合規驅動轉變。

在全球安全技術趨勢演進和國內安全環境的雙重推動下，華云安在短短2年內就形成了涵蓋網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）、入侵和攻擊模擬（BAS）三大典型場景的攻擊面管理閉環方法論，并從CAASM、EASM、BAS三個維度推出了攻擊者面管理的完整解決方案。

與傳統安全運營模式相比，華云安攻擊面管理方案最大的不同，在于從攻擊者視角出發，重新定義了數字化時代的資產管理、漏洞管理、情報協同和響應處置。

例如，在資產管理方面，除了已知資產，華云安攻擊面管理更關心未知資產，包括影子資產、惡意資產、供應鏈資產等。

在漏洞和攻擊面檢測方面，華云安除了關注傳統漏洞，還包含配置缺陷、不當權限、泄漏數據、過期證書、釣魚網站、供應鏈漏洞等，通過漏洞管理閉環的方式縮小攻擊面。

在漏洞修復上，華云安幫助用戶識別真正高危的漏洞風險，將精力聚焦在有價值的漏洞修復上。

在情報方面，華云安創新性地將國家監管的情報、實時漏洞情報和擴展安全情報聚合，提升早期威脅預警能力，縮短威脅的檢測和響應時間。

在響應方面，華云安消除在復雜網絡環境中管理數千甚至上萬臺設備的復雜性，并創新性地采用自定義流程、SOAR集成和第三方API，簡化自動化響應的工作流，提高響應速度與效率。

憑借顛覆性的創新技術和出色的實戰驗證效果，即使在2022年疫情影響最嚴峻的一年，華云安也依然憑借攻擊面管理解決方案的核心產品，在各個關基單位（能源、電力、央企、金融）獲得了非常多的成功案例。

華云安：既要“看見”安全還要持續驗證

如果說2022年，華云安發布了以攻擊者視角構建的攻擊面管理整體解決方案，那么2023年，華云安進一步延伸了攻擊面管理的涵義。

在SecOps 2023大會上，華云安創始人兼CEO沈傳寶提出了“看見安全，持續驗證”的新觀點。

華云安創始人兼CEO 沈傳寶

沈傳寶認為，在數字化時代，網絡安全必須被“看見”才安全；同時，安全防御的有效性也需要被“持續驗證”，才能夠真正提升網絡安全防御能力。

那么問題來了，安全真的可以被看見嗎？安全的有效性又該如何被持續驗證？

據沈傳寶介紹，在過去一年里，華云安參加了百余場攻防演練活動，涉及十多個重要行業的關基單位，梳理了30萬以上的外部互聯網資產，發現有相當大比例的資產和漏洞不在這些關基單位的視野范圍內。

因此，安全必須被看見，一是安全保護的目標需要被看見，二是安全防御的效果需要被看見。

關于如何看見安全，華云安有一套完整的方法論和配套產品體系。

首先是靈洞·網絡資產攻擊面管理系統（Ai·Vul）。

靈洞整合了攻擊者視角信息和防御者視角信息，讓用戶先于攻擊者“看見”數字化攻擊手段和攻擊路徑，并采取針對性措施進行高效敏捷響應，幫助企業降低被攻擊的可能性。

例如，在漏洞管理方面，靈洞支持配置缺陷、不當權限、泄漏數據、過期證書、釣魚網站、供應鏈漏洞等6類漏洞類型，能夠分析弱點可能產生的風險情況，識別弱點優先級，自動化進行標記和生命周期跟蹤。

在資產管理方面，靈洞能夠提供更為全面的資產分類，可覆蓋的資產涵蓋主機資產、WEB資產、IoT資產、容器集群資產的4大類信息資產，以及對應如API、數字暴露面等18種數字資產，并通過支持知識圖譜技術對無主資產、僵尸資產、影子資產等5種資產進行標記和可視化呈現。

在情報方面，靈洞采用了全新的擴展威脅情報（XTI）技術，結合傳統威脅情報和目前已積累10億多條漏洞數據、超過50億的實體和關系模型，這些數據在實現監管和行業打通、與外部攻擊面的視角關聯、攻擊面的實時響應方面，發揮了尤為重要的作用。

其次是靈知·互聯網情報監測預警中心（Ai·Radar）。

基于華云安知識圖譜的安全風險庫、基于企業暴露面數據源、托管服務及安全服務三類數據源，靈知以攻擊者思維定向梳理、發現企業未知資產暴露面及脆弱性，形成具有即時性、可定位性、可追溯性的暴露面測繪圖，讓企業持續“看見”網絡安全態勢，實現從“被動防御”向“主動防御”的進階。

當然，僅僅實現“看見”安全還不夠，安全防御是否真的起到了效果，同樣需要被驗證。沈傳寶認為，安全驗證是未來必然發生的方向。

這與Gartner在“2023年9大主要網絡安全趨勢”中提到的安全驗證趨勢不謀而合。Gartner認為，“到2026年，超過40%的組織（包括三分之二的中型企業）將依靠整合平臺來運行安全驗證評估。”

那么站在攻擊者視角，應該如何做好網絡安全防御體系的持續驗證？華云安將其劃分為5個方面：

第一，安全攻擊面驗證，攻擊面評估包括資產可見性、錯誤配置、補丁修復等，從攻擊者角度評估可利用的威脅。

第二，安全有效性驗證，自動化的評估現有安全控制措施是否可以檢測和阻止來自攻擊者的行為。

第三，安全一致性驗證，持續的驗證和評估安全工具配置分析、檢測效率以及對抗性的威脅模擬，發現問題并改進。

第四，事件響應效率，對事件響應機制的及時性和有效性進行評估，衡量檢測、調查和響應的時間。

第五，安全成熟度改進。詳細的驗證評估結果呈現系統的優勢和差距，幫助運營方提升改進安全能力。

沈傳寶表示，最終安全驗證的目標，一定是提供一套完整的、量化的方法，來評估企業安全風險的整體態勢。

在工具層面，Gartner將入侵和攻擊模擬（BAS）作為一項驗證工具囊括在安全驗證這一整體趨勢下。同樣，華云安也將其入侵與攻擊模擬產品——靈刃·智能滲透與攻擊模擬系統（Ai·Bot），作為安全持續驗證的有力工具，提供安全能力的可視。

總體而言，華云安借助創新技術來“看見”復雜難測的數字資產，幫助企業實現對自身安全態勢的全面認知，進而審視自身弱點，驗證安全防御的有效性，持續提升安全運營能力。

技術與商業雙輪驅動 華云安領跑“攻擊面管理”

隨著攻擊面管理概念的持續爆紅，這一賽道也出現了越來越多的競爭者。

據數說安全2023年發布的《攻擊面管理產品市場分析報告》顯示，國內攻擊面管理市場廠商數量已達到20-30家，大多數廠商以資產測繪與管理、漏洞掃描與漏洞管理、威脅情報等作為核心能力，通過疊加微創新，參與市場競爭。

即便市場競爭激烈，華云安依然成為國內唯一在攻擊面管理（ASM）和入侵和攻擊模擬（BAS） 雙領域入選Gartner《Hype Cycle for Security in China，2022》的代表廠商；并與國際漏洞管理頂級廠商Tenable、Qualys一起入選《Competitive Landscape: External Attack Surface Management》，被Gartner列為EASM全球代表性供應商，充分凸顯了華云安在ASM與BAS方面的技術創新與最佳實踐的價值。

對一家創業公司而言，成立短短3年，卻能站在全球前沿安全技術之巔、領跑全國賽道，實屬不易。但仔細審視華云安的過去和現在，就能發現其成功自有道理。

首先，刻在骨子里的攻防基因。

華云安在正式創立前，其團隊就常年服務于國家網絡安全相關主管部門，承擔了國家信息安全漏洞庫(CNNVD)下一代國家漏洞庫的漏洞采集、數據融合、漏洞分析等核心系統建設工作。

作為國家信息安全漏洞庫(CNNVD)技術支持單位，華云安原創漏洞報送量常年居于前列。

同時，華云安還是中國信息協會信息安全專業委員會攻防與應急保障工作部的牽頭單位,團隊曾多次參與“兩會”、北京教委、公安部等國家重大活動的保障工作。

作為漏洞挖掘分析、攻防對抗出身的專業團隊，華云安天生擁有攻防基因，提出攻擊者視角的攻擊面管理技術水到渠成，具備天然優勢。

公司成立后常年參加實戰攻防演練，尤其每2022年百余場實戰攻防演練的戰績，也使得華云安積累了很多自動化攻防、關鍵數據采集、自動化檢測引擎的經驗和工具，這些能力能夠很好地轉化為攻擊面管理產品提供給政企客戶應用。

其次，高占比的研發投入。

一家公司的研發投入，決定了其科技創新能力和核心競爭力。在攻擊面管理這一細分領域，華云安可謂是傾注全力，研發投入比例之高遠勝于很多安全大廠。

據了解，華云安目前整個公司技術研發人員占比80%以上，多數核心團隊成員曾任職于奇安信、深信服、綠盟、360等一線網絡安全企業。成立三年以來，華云安的研發投入還在持續攀升。

不僅如此，華云安還成立了兩大安全研究院，長期承擔國家級科研項目，開展攻防對抗、人工智能和知識圖譜等前沿技術研究，已經取得多項技術創新成果，獲批多項相關專利，保持著其核心能力的領跑位置。

最后，技術和商業“兩條腿”走路。

在商業市場，技術的領先不一定代表商業成功，創業公司的成功往往依靠“兩條腿”走路，一是以技術為依托的創新能力，二是以商業為依托的創業能力。

面對中國網安市場上千家安全廠商碎片化的競爭，甚至是同質化到“內卷”的競爭，華云安核心競爭力的打造，正是依托了技術和商業模式的雙輪驅動。

沈傳寶認為，從短期看，核心競爭力一定來自攻防實力，只有在攻防一線才有可能真正的去掌握攻擊面管理的技術。從長期看，核心競爭力來自商業模式和技術投入兩方面。

在商業模式上，華云安打造了基于云原生的原子化安全能力平臺，以微服務的方式提供不斷迭代的安全能力。

平臺化架構讓華云安的多個產品諸如資產管理、漏洞/弱點管理、情報預警、響應中心等，既可以獨立提供各自的安全能力，也可以將原子化的安全能力編排成攻擊面管理的整體解決方案，實現了一個平臺覆蓋所有安全能力，快速構建不同客戶具體應用場景的解決方案。

這種平臺化能力，既能很好地解決當前政企客戶面臨眾多產品難以抉擇、碎片化產品難以協同等問題，符合未來網安供應商和平臺走向整合的大趨勢，也為華云安持續在平臺上增加不同的安全能力、構建下一代數字安全防御體系打下了堅實基礎，同時也為華云安未來不斷拓展商業版圖留下了非常大的想象空間。

在技術投入上，華云安作為作為國內人工智能與網絡安全實踐的先行者，也開啟了對網絡安全大模型的研究。

在SecOps 2023大會上，華云安展示了AI大模型在攻擊面管理典型場景中的應用：在擴展威脅情報方面，通過對1day漏洞情報、敏感數據泄露情報分析，幫助企業快速感知情報價值，決斷響應和修復；在智能攻防方面，基于大模型的語義理解和生成，將晦澀的攻防技術成果進行易讀性文字總結，以及場景化驗證腳本和思路生成，進一步提高了安全運營效率，縮小攻防信息差。

無論是平臺化還是AI大模型的能力，都需要大量投入和長期建設，但在華云安看來是“難而正確的事”，必須盡早開始并持續堅持。

結語

攻擊面管理作為近幾年新涌現的技術，無論是在企業的最佳實踐層面還是方法論層面，都在不斷地迭代和演進之中。

隨著數字化轉型的進一步深入，基于攻擊者視角構建新一代的數字資產攻擊面管理體系，將是數字時代下安全管理的必然選擇。

以華云安為代表的攻擊面管理廠商，在讓政企客戶看見安全、持續驗證安全的同時，也在為構建下一代的數字安全防御體系筑基拓土。

【關于科技云報道】

專注于原創的企業級內容行家——科技云報道。成立于2015年，是前沿企業級IT領域Top10媒體。獲工信部權威認可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創報道云計算、大數據、人工智能、區塊鏈等領域。

審核編輯 黃宇