鑽石舞台

美國網絡安全審查委員會日前發布報告稱，2021年年底曝光的Log4j漏洞影響將會持續十年之久。近年來，越來越嚴峻的漏洞管理頑疾讓安全團隊意識到，企業對自身資產暴露情況和潛在風險知之甚少，攻擊面管理成為實戰驅動階段的新型安全框架，得到更多關注和認同。

近期，諮詢機構賽迪顧問發布《中國攻擊面管理市場研究報告》，安全419關注到，報告選取華雲安等國內外攻擊面管理領域代表企業，分析了中國攻擊面管理市場的現狀和特點。我們邀請到華雲安技術總監吳璇，立足於攻擊面管理的本土化洞察與實踐，探討攻擊面管理在新一代網絡安全防禦體系中的能動作用。

根據報告，攻擊面管理是一種從攻擊者的角度對企業數字資產攻擊面進行監測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法。而攻擊面並不簡單等同於漏洞，是未經授權即能訪問和利用企業數字資產的所有潛在入口的總和，即存在可能會被攻擊者利用並造成損失的潛在風險。

吳璇表示，任何安全理念或框架的提出和應用，都是順應安全形勢和需求的變化而發展的。在網安法實施以前，企業安全建設及管理普遍採用被動響應的方式，以1994年發布並於2011年修訂的《中華人民共和國計算機系統安全保護條例》為開端，等保1.0及2.0廣泛應用於各行業指導企業開展信息系統安全等級保護的建設整改、等級測評等工作。

隨着數字化基礎設施加速發展，企業面臨的攻擊面也隨之擴大，尤其是國家自2016年以來舉行大型攻防演練活動，推動企業安全建設從合規驅動階段逐步過渡到實戰驅動階段。攻擊面管理強調「獲得攻擊者的視角」，在真實的網絡空間攻防較量中，成為一種更主動、更立體、更貼合現實需求的有利戰法。

攻擊面管理總體框架

圖/《中國攻擊面管理市場研究報告》

遺憾的是，雖然攻擊面管理已逐步獲得認可，但大部分企業仍處於接觸概念的初級階段。根據華雲安的市場觀察和實踐，依賴基礎安全設備開展安全防禦工作是目前國內企業的普遍現狀，並未主動進行暴露面獲取、脆弱點發現工作，同時也不具備內部和外部攻擊態勢以及攻擊影響評價能力。少部分企業具備初步的攻擊面挖掘與定位能力，但可能無法區分出弱點的優先級、無法測繪完整的攻擊面。

吳璇同時強調，攻擊面管理體系是一種開闢式革新的安全框架，它更像一種新興的方法論，一個技術融合的架構。底層基礎支撐包含檢測發現、分析研判、情報預警以及響應處置等方面的技術，可以有效整合為網絡資產管理、脆弱性評估、自動化滲透測試、漏洞優先級評估、擴展威脅情報、擴展監測響應、業務風險管理等安全能力，並組合形成豐富的攻擊面管理產品。

因此，許多踐行主動防禦、以攻促防思想的企業已經在一定程度上積累了相關安全能力，建設攻擊面管理體系並非將現有安全體系推翻重來，而是在天然地融合、盤活已有能力的基礎上，按照攻擊面管理成熟度階梯逐步推進，通常是工具先行，再補上平台進行集中管理，進而擴展到基於業務風險進行動態的安全運營。

作為報告選取的代表性廠商，華雲安是國內最早提出以攻擊者視角構建攻擊面管理產品體系的廠商，吳璇表示，華雲安企業建設攻擊面管理體系的策略是構建了一個基於雲原生架構的、彈性、冗餘的高性能平台，靈活提供能夠適配企業不同階段、不同需求並不斷迭代的安全能力。

吳璇介紹，平台具有兩大核心技術——安全風險庫和人工智能引擎。安全風險庫即為一個基於知識圖譜的擴展威脅情報（XTI），通過結合人工智能和行為模式匹配技術，不斷地發現惡意活動，為平台輸送諸如漏洞信息、暗網信息、威脅情報、攻擊樣本、武器載荷、惡意組織等等兼具深度和廣度的數據與情報信息。據了解，該安全風險庫目前已擁有30+個漏洞情報數據源，1000+數據採集節點，50億+圖譜化實體關係模型，月處理情報信息10萬條，幫助客戶實現威脅和攻擊面可視化管理。並且隨着客戶覆蓋越來越廣泛、數據越來越豐富，將實時更新成為平台更加豐富、更加強大的底層支撐。

人工智能引擎通過安全風險庫提供的豐富的數據和情報信息，結合華雲安長期積累的漏洞挖掘、攻防對抗能力，將人工智能與攻防對抗相結合，實現集目標分析、戰法推演、路徑決策、智能調度於一體的場景化AI模型。目前已積累100+人工智能模型、4000+公開和自研漏洞PoC/Exp、100+面向實戰的單兵工具，可以完成智能目標識別、智能路徑決策、智能戰法推演等功能。相應地，通過安全能力的逐步疊加、AI模型的逐步豐富，平台的整體能力也將逐步提升。

如此一來，平台可以通過整合以及拆分，來提供攻擊面管理體系中通用普適的、滿足最小需求的功能模塊，如網絡資產管理、脆弱性評估、自動化測試、漏洞優先級評估、擴展威脅情報、擴展威脅響應等等。通過雲原生的微服務技術，再結合不同客戶具體的業務需求，靈活組合這些安全能力單元搭建成相適應的解決方案。

對於客戶而言，用一個平台就覆蓋了所有安全能力，這裡的能力既包括整合既有的、滿足現有的，也涵蓋未來通過安全風險庫不斷增強的共享能力，和通過人工智能引擎不斷迭代的對抗能力。吳璇表示，平台集成了自適應安全防禦框架（IACD），因此也可以理解其為一個跨應用場景的統一安全框架，通過不斷迭代的安全能力和自動化的威脅響應，來提升改變網絡安全防禦的及時性和有效性，敏捷且易用。

前面我們談到，華雲安通過該平台進行整合或拆分，可以提供攻擊面管理體系中多種通用且普適的安全能力，對應着不同的應用場景。報告亦提及，企業建設攻擊面管理體系，通常是先推進相關技術工具。因此，企業用戶更習慣站在業務場景的角度來思考攻擊面管理的價值，吳璇表示，從產品視角來看攻擊面管理，華雲安準確把握市場需求，重新定義了資產管理、漏洞管理、安全情報及響應處置，打造了面向網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）、入侵和攻擊模擬（BAS）等典型場景的產品解決方案。

定位CAASM的靈洞·網絡資產攻擊面管理系統將企業網絡空間攻擊面管理過程中的攻擊者視角信息和防禦者視角信息，通過安全分析引擎、數據分析引擎進行統一整合，以主動掃描、被動監測、情報預警和自動化評估等多種手段及時發現內外部數字資產攻擊面，並進行分析評估和響應處置。可面向集團型或多分支的機構收斂網絡攻擊面，以及面向各行業物聯網泛終端管理資產攻擊面，滿足安全監管和漏洞管理的需求。

定位EASM的靈知·互聯網情報監測預警中心基於華雲安安全風險庫、企業暴露面數據源、託管服務及安全服務三類數據源，以攻擊者思維定向梳理、發現企業未知資產暴露面及脆弱性，通過「主動+被動+服務」形成具有即時性、可定位性、可追溯性的暴露面測繪圖，持續監測網絡安全態勢。可面向企業和組織機構先於攻擊者發現和收斂外部攻擊面。

定位BAS的靈刃·智能滲透與攻擊模擬系統通過自動化和人工智能的技術，以攻擊者視角，模擬攻擊者可能進行的攻擊鏈路，測試系統的安全性和防禦策略的有效性。可滿足企業和組織常態化攻防演練的需求，依賴少數安全專家即可完成對靶站環境的模擬攻擊測試，仿照攻擊者意圖進行智能對抗，基於實際實現風險進行漏洞影響性評價。

以上產品的詳細功能和客戶價值可以參見《華雲安：用攻擊面管理實現持續數字風險管理的最佳實踐》。

在數字化的進程中，網絡安全技術體系和應用場景都在不停更迭，最明顯的變化是網絡安全逐步由重視建設進入到重視運營的階段。攻擊面管理作為安全運營的創新技術，承載了安全行業的部分發展趨勢和用戶市場的高度期待。

吳璇分析，在攻擊面管理體系建設中，企業及機構最迫切的需求是提高對風險的可見性，並能做出及時有效的處置。對應的能力要求覆蓋檢測發現、分析研判、情報預警和響應處置各環節，但這絕非一日之功，自動化、智能化技術是攻擊面管理發展的一大趨勢。

以最基礎的發現、分類和管理所有資產來舉例，資產的定義和邊界正隨着數字技術的普及、虛擬化雲場景的應用無限擴大，API、數字暴露面等數字資產，影子資產、供應鏈資產等未知資產成為關注重點。在資產的發現和呈現方式上，引入機器學習、自然語言處理NLP等方法將有效縮短探測時間並提高識別準確性。

同理基於知識圖譜結合人工智能模型進行海量數據分析，可以有效提高威脅檢測和安全風險分析效率，並可根據結果通過SOAR自動化技術進行攻擊面的快速收斂和安全響應，在顯著提升效率的同時降低人員成本的投入。

也正是因為廣大的腰部及中小企業客戶群體缺少做安全運營的能力，網絡安全商業模式逐漸朝向「安全即服務」的形式發展，攻擊面管理體系需要以低門檻、更易用、靈活可配置的方式提供持續進階的安全能力和一致的體驗，智能化技術、自動化編排、自適應架構無疑是未來的重要趨勢。同時，向跨領域、跨技術平台的新興場景的積極擴展，與第三方供應鏈安全、業務風險管理的持續融合，將使得攻擊面管理的覆蓋範圍和環節更加全面、完整、精確，真正基於真實的風險和業務發展需求建立起常態化的安全運營體系。