华云安沈传宝：被看见,才安全；持续验证,才有价值。

以“看见”之力洞悉威胁暴露面，感知风险，持续“验证”安全防御有效性，于攻防之中重塑安全运营的价值。

——华云安创始人兼CEO沈传宝

5月30日，在北京华云安信息技术有限公司承办的2023网络安全运营技术峰会（简称SecOps2023）上，华云安创始人兼CEO沈传宝进行了“持续验证 看见安全”的主题分享，以下为分享全文：

网络安全运营技术峰会（简称SecOps）始于2022年。SecOps2022以“数字时代，安全从攻击面管理开始”为主题，创造了两个“首次”：首次提出完整的攻击面管理方法论，赛迪顾问发布国内首份《中国攻击面管理市场研究报告》。作为网络安全运营技术峰会的发起单位，华云安在峰会上全面介绍了围绕攻击面管理的三款核心产品：定位CAASM的灵洞·网络资产攻击面管理系统（Ai·Vul）、定位EASM的灵知·互联网情报监测预警中心（Ai·Radar）、定位BAS的灵刃·智能渗透与攻击模拟系统（Ai·Bot）的三款核心产品。

在过去一年，我们的国家、我们的生活发生了很多变化，三年疫情宣告结束。同样，从SecOps2022到SecOps2023，这一年网络安全行业发生了哪些变化呢？

2022年5月，赛迪顾问正式发布我国的第一份攻击面管理相关报告；同年9月份的国家网络安全宣传周，攻击面管理、入侵攻击模拟等被评选为2022年中国网络安全十大创新方向。攻击面管理在国内掀起了一股热潮，据数说安全统计，国内在攻击面管理赛道的安全企业已多达20家。今年3月份，全球领先的IT市场研究和咨询公司IDC发布《IDC Innovators：中国攻击面管理（ASM）技术》报告，包括华云安在内的5家安全企业入围报告。5月份，数世咨询和数说安全先后发布了《攻击面收敛能力指南》和《攻击面管理产品市场分析报告》.......可以说2022年中国网络安全市场里，攻击面管理，是被提及次数最多的词汇之一。

从国际视角来看，攻击面管理同样非常的火热。不过与国内不同的是，发生更多的是并购事件：我们看到，不仅仅是Palo Alto、Tenable、CrowdStrike这类网络安全的头部企业，甚至连微软、Google、IBM这些传统的IT巨头们，都加入了攻击面管理的并购大潮。

华云安是国内攻击面管理领域的先行者与领军者。经过一年的发展，华云安在攻击面管理领域不断取得突破。继SecOps2022发布攻击面管理整体产品解决方案之后；同年10月份，全球IT研究机构Gartner®发布“2022中国网络安全技术成熟度曲线”里，ASM和BAS这两大技术正式成为技术曲线里的早期技术，华云安在攻击面管理及入侵和攻击模拟两个领域被列为代表厂商。包括，今年数说安全与数世咨询发布的攻击面管理相关报告中，华云安均处于领先位置。即使在疫情严峻的2022年，华云安以攻击面管理解决方案为核心的产品，在多个关基行业（能源、电力、央企、金融）获得诸多成功案例。

如果说，SecOps2022华云安发布了以攻击者视角构建的攻击面管理整体解决方案；那么SecOps2023我们将站在攻击者视角来“看见”网络安全的完整态势。2022年，华云安参加百余场攻防演练的活动，涉及十多个重要行业的关基单位。在攻防演练实战过程中，我们总结了四个特点：第一个是漏洞防御，第二个是数据安全，第三个是供应链安全，第四个是勒索软件。

从攻防演练看到的结果，我们的感受非常明显，就是数字化转型让网络安全的攻击面大大的扩展。我们梳理的30万以上的外部互联网资产中，有相当大比例的不在客户的视野范围内。所以我认为，在数字化时代，网络安全必须被看见，被看见，才安全。

被看见，才安全。包括两层含义，第一是安全保护的目标需要被看见，第二是防安全防御的效果需要被看见。

为什么安全保护目标需要被看见？因为我们无法保护，我们未知的数字化资产。数字化转型，让很多业务数字化了。今天来现场的一线的朋友们肯定会有一些深刻的感受：我们每上一个新业务，必然伴随着新的安全要求；因为业务数字化了，我们面临层出不穷的新的数字化资产，我们的管理对象，早就从传统的IP、Web这类资产，进一步扩展到应用、API、传感器、摄像头、数字证书等等。层出不穷的数字化应用，必然让我们的威胁暴露面大大的增加，所以基于持续威胁暴露面管理的产品也显得越来越重要了。

第二个，安全防御的效果需要被看见，或者说安全的价值需要被看见。我们需要用持续验证的方法来检测防御有效性。持续验证有三个目标：第一验证攻击面，验证网络资产可见性、安全漏洞、配置缺陷、不当权限等；第二验证安全防御的有效性，验证评估现有安全控制措施是否可以检测和阻止安全攻击；第三安全一致性验证，持续验证和评估安全工具配置、检测分析预期的一致性。我们认为，安全验证是未来必然发生的方向。

站在攻击者视角，未来一定是实战化和智能化的时代。如何用实战化和智能化提升安全验证的能力？Gartner®对于网络安全验证定义：网络安全验证是技术、流程和工具的融合，用于验证潜在攻击者如何实际利用已识别的威胁暴露面，来测试安全防御系统和安全机制的反应。实际上从安全验证发展的脉络来看，从早期漏洞扫描技术，逐步发展到智能渗透技术，到最近比较热门的入侵与攻击模拟（BAS）技术，再到网络安全验证技术，这是一脉相承、逐步演进的结果。

智能渗透在原来漏洞扫描的基础上，用自动化和智能化的技术，来测试和验证目标的安全性。入侵与攻击模拟（BAS）形成了体系化的方法论，站在攻击者视角来验证网络安全防御机制、安全设备以及有效性。在安全验证的角度来看，不仅仅要做攻击者视角的安全模拟，还要验证我们系统安全防御的有效性，还要提升整个安全能力。所以Gartner®在2023年网络安全发展趋势的报告中提到，到2026年将会有40%的大型组织采用网络安全验证技术，用来对整个网络体系进行统一的安全评估。

站在攻击者视角来看怎么样做好网络安全防御体系，我们把安全验证分成了5个方面：

第一：安全攻击面验证，攻击面评估包括资产可见性、错误配置、补丁修复等，从攻击者角度评估可利用的威胁。

第二、安全有效性验证，自动化的评估现有安全控制措施是否可以检测和阻止来自攻击者的行为。

第三、安全一致性验证。持续的验证和评估安全工具配置分析、检测效率以及对抗性的威胁模拟，发现问题并改进。

第四、事件响应的效率。对事件响应机制的及时性和有效性进行评估，衡量检测、调查和响应的时间。

第五、安全成熟度改进。详细的验证评估结果呈现系统的优势和差距，帮助运营方提升改进安全能力。

刚才是从实战的角度看安全，现在从合规的角度看安全。

创业公司经常会面临一个选择：做一个成熟的、市场规模大的合规需求产品，还是做一个创新的、效果型的产品？而实际上，今天的创新技术，就是明天的合规要求。

2023年5月1日，GB/T 39204-2022《关键信息基础设施安全保护要求》正式实施。在关基安全保护要求里明确提到，要检验安全措施的有效性---这是安全验证的范畴，要进行资产识别——这是资产攻击面管理的范畴，要收敛外部暴露面——这是外部攻击面管理的范畴。所以说，今天的创新技术，就是明天的合规要求。

华云安基于攻击者视角构建完整的安全验证产品与服务体系，包括定位于内部资产攻击面管理的灵洞·网络资产攻击面管理（Ai.Vul），定位于外部资产攻击面管理的灵知·互联网监测预警中心（Ai.Radar），定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟（Ai.Bot）：

• 内部资产攻击面管理，主要提供内部资产的可见性，解决漏洞的问题。通过 API 与现有工具集成来管理所有资产，查询整合的数据，确定漏洞的范围和安全控制方面的差距。

• 外部攻击面管理，通过外部视角来发现面向互联网的企业资产、系统和相关漏洞，如服务器、凭证、公共云服务配置错误和可能被利用的第三方软件代码漏洞等。

• 入侵与攻击模拟，入侵与攻击模拟技术，通过测试系统检测和阻止模拟攻击的能力来验证系统的安全状况。使安全服务商或企业能够更好地了解业务系统等安全态势。

• 渗透测试即服务，本质上是通过渗透测试的方法远程对系统进行安全测试。PTaaS 简化了测试流程和管理，更加轻量级、实时且持续。

• 红队服务，攻防演练和红队服务，采用人工服务的方式，以攻击视角进行安全测试。随着技术的演进，自动化渗透测试工具增强了现有的渗透测试和红队能力。

华云安以攻击面视角来构建从检测到分析到响应的攻击面管理完整的闭环体系。此外，在安全验证上，华云安覆盖完整的智能渗透、攻击模拟、战法推演的安全验证能力。安全验证的目标是提供一套完整的、量化的，评估企业安全风险的整体态势，主要功能包括：

• 深度挖掘企业完整攻击面

通过自动化验证性测试发现企业内部真实存在的攻击面；迭代攻击模型能够将多类型弱点进行关联，发现隐藏的漏洞，深度挖掘企业攻击面。

• 整个网络杀伤链的可见性

按照 KillChain 杀伤链模型对目标进行细粒度的模拟攻击测试，呈现完整的攻击链路和攻击方法，暴露弱点的同时不影响业务连续性。

• 基于场景的安全验证策略

不仅仅是对防火墙、WAF、EDR等单一控制措施进行有效性验证，还提供对勒索软件防御、APT检测、云安全合规等场景化的安全验证能力 。

• 全面监控和优化安全状态

通过持续验证，有效地量化和评估企业安全风险，管理企业网络安全态势，在面对威胁变化和业务驱动时，平衡安全与业务的关系。

当我们面临着众多的网络安全产品，如何去选择？华云安认为，整合的安全平台一定是未来。SecOps2023最后，数世咨询与华云安联合发布《原子化安全能力白皮书》。

Gartner®发布2023年网络安全趋势报告里提到:整合的安全平台是未来。企业客户正在寻求整合的单一供应商，来面对当前面临的网络安全的威胁。2022年，有75%的组织正在寻求整合的安全方案供应商，在两年前这一比例只有29%。到2026年超过40%的组织将依靠整合的安全平台来运行网络安全验证评估。从这个角度来讲，整合的安全平台一定是未来。

安全能力原子化的核心思想为“离散式制造、统一式交付、集中化管理、智能化应用”，原子化也是为了满足未来数字业务场景和需求的多样性以及安全能力的有效性。数世咨询认为，云原生原子化安全能力平台是现阶段实现安全能力原子化的最佳方式，通过云原生可以在充分利用云计算算力的同时满足行业用户在数字化转型过程中面临的安全能力敏捷、弹性、按需供给的需求，适配商业系统私有化、云化、多云部署的复杂环境

华云安在过去的几年的实践中，始终坚持平台化和云原生的技术来构建产品体系。华云安面向不同的场景会交付不同的产品（如资产攻击面管理、外部攻击面管理、入侵和攻击面模拟等），但这些产品均在统一的云原生平台上进行原子化能力的迭代，从而构建完整的产品体系。换句话说，平台化架构让华云安的多个产品既可以独立提供各自的安全能力，也可以将原子化的安全能力编排成整体解决方案。

华云安始终坚持采用云原生技术，以云原生安全平台来构建下一代数字安全防御体系。本次峰会，华云安与数世咨询联合发布《原子化安全能力白皮书》，也是将华云安近年以来关于原子化能力和云原生平台以及产品平台化构建的思考的体现。