云科安信：为企业用户打造自动化攻击面管理平台 让实战化攻防能力信手拈来

近年来，随着企业数字化转型进程的加快，数字化技术对企业的业务模式、组织架构和企业文化产生了深远的影响，大量的业务和办公应用开始走上云端，拥抱互联网。但在这一过程中，企业面临的攻击面也随之扩大，暴露在互联网中的企业资产让全新的安全威胁和风险随之而来。

更严峻的安全形势，推动着企业用户的安全需求正在从合规驱动阶段逐步过渡向实战驱动阶段，在用户需求的呼唤下，一批更先进的安全产品和安全理念也应运而生，如零信任、XDR扩展威胁响应与检测、攻击面管理等都是这一阶段的典型代表。

日前，安全419接触到了一家近期在业内声名鹊起的攻击面管理领域厂商——云科安信，邀请到了云科安信COO陈思，立足于云科安信对攻击面管理的洞察和理解，为我们分享攻击面管理在当前新一代网络安全防御体系中的能动作用，以及云科安信的相关实践。

据介绍，云科安信成立于2018年10月，其创始团队主要来自F5Networks、赛门铁克等全球化安全企业，具备多年一线攻防的实战经验。创始人金飞曾在哈工大任职10年，从事国防安全相关技术研究；随后金飞曾在惠普、F5Networks等企业担任安全架构师，积累了丰富的甲方安全建设经验。

云科安信致力于以最简单便捷的方式将实战攻防能力输送给用户，让每一个单体企业用户都能够轻松具备强大的实战能力，以此提升全社会的网络安全实战水平。

作为专注实战攻防的平台型公司，云科安信将自身实战应用多年的攻击面管理工具升级，打造了白泽攻击面管理平台——以攻击者视角聚焦企业网络空间IT资产，帮助客户时刻洞察网络空间资产风险，主动掌控资产动态，及时提出收敛资产暴露面的数据支撑，验证暴露资产的漏洞可利用性，并形成关联关系的可快速构建的实战化、自动化、智能化的攻击面管理平台，无需专业实战攻防人才，即可让企业直接拥有攻击者视角及能力，提前预判风险，从而及时修补漏洞。

云科安信COO陈思告诉我们，近年来在大国博弈的背景下，网络空间已经没办法再独善其身，从俄乌网络战中能够看到，网络空间已经成为了下一个战场。在这样的大背景之下，国内客户的安全意识也进一步被唤醒了，用户们开始清晰地意识到，应对更复杂的安全威胁仅仅做好安全合规是不够的，实战能力方面也需要得到真正的提升。

此外，数字化的发展以及企业业务的发展让安全来到了一个业务驱动的时代，原来一些企业的业务对互联网依赖性并不强，但是随着企业对于应用系统和数据的依赖程度逐渐加深以及业务的拓展，企业暴露在互联网上的业务资产正在急剧增长。

“在攻击者视角下，只要企业将业务发布到互联网上，或者是跟互联网存在关联，那么无论这家企业位于世界上哪个国家，哪个角落，他们面对的风险和挑战其实是一样的。因此，实际上是客户自身的安全需求正在从合规向实战能力提升转变。”

拿医院举例来说，过去人们看病都是在线下医院，但现在各大医院也正在推出互联网医院应用，网上挂号、复诊、报告查询等等越来越多的业务都被搬到了互联网上，与患者相关的个人隐私信息、病例信息就有可能暴露在外，成为一个安全隐患。

从监管的角度，国家自2016年以来开始举行常态化攻防演练活动，包括公安部、网信办以及各个行业的监管机构也都在通过不同的演习形式和手段去敦促重点的行业用户去提升他们的实战能力。

“行业中经常提到，安全的本质是攻防两端的对抗，在过去做安全建设时，企业用户更多是从防守者视角出发，通过采购安全设备和安全服务来查漏补缺，按图索骥般的强化自身的安全防御机制。但攻击者的视角和能力却被他们忽略了，攻与防两个视角缺一不可。”

攻击者视角的缺失催发了攻击面管理概念的诞生，攻击面管理概念最早由国际知名咨询机构Gartner于2018年首次提出，在2021年7月，Gartner发布了《2021安全运营技术成熟度曲线》，将攻击面管理相关技术定义为新兴技术。

图：Gartner对攻击面管理技术的定义

随着攻击技法的快速迭代，防守的技法也需要跟踪攻击技法的技术演进而演进，但对于企业用户来说，在有限的安全投入下，持续地跟进学习当前行业内最专业的技术是不现实的，如何借助一种技术，或是一个安全平台来帮助弥补攻击者视角的缺失，在无需学习攻击技法的情况下，也能够不断的动态调整防御策略，持续性地对自身安全态势进行监控和管理成为企业当下的核心需求。

“我们看到的一个趋势是，用户目前已经对安全建设提出了新的需求，他们意识到自身资产的边界正在变得越来越模糊，扩大的速度也越来越快，使得用户想要去收敛攻击面，但又无从下手，这对云科安信来说无疑是一个发展的机遇期。”

近年来随着安全形势的升级，“攻击者视角”这一次也正在成为一个安全热点词汇，国内包括安全的甲方和乙方目前也在围绕其进行探讨，那么具体什么是攻击者视角和攻击者思维？就这一话题我们请陈思分享了云科安信的理解。

陈思认为，之所以不同的安全厂商对于攻击者视角的解读存在差异，这其实取决于各自的攻防基因和相关经验。云科安信对攻击者视角的理解是，站在攻击者的位置用攻击者的思路思考、审视目标系统，持续性的监测目标的暴露面变化情况，高效、迅速地找到突破路径。

她谈到，云科安信旗下的SERAPH实验室一直活跃在网络安全攻防一线，自2016年开始也一直以红队的身份参与到常态化攻防演练活动中，在这一过程中逐渐沉淀下来了一套具备网络空间测绘和漏洞渗透能力的强大工具，借助这一工具能够迅速找到攻入目标系统的最短路径，从包括时间、速度、精准度以及全面性等各个方面来提升红队攻击的效率。在这一工具的支撑下，其SERAPH实验室在过往的各项攻防演练和比赛中多次获奖，2020年还曾获得CNVD原创漏洞积分全国第一的成绩。

2021年Gartner报告中提到了“攻击面管理”的概念，云科安信发现这正与过去几年中自身的理念和相关的产品技术不谋而合。因此，云科安信开始围绕这一工具雏形，在更深层的资产测绘功能和可视化层面逐渐丰富，并最终打造出了“白泽攻击面管理平台”。

陈思认为，攻击面管理既然是一个以攻促防的技术思维，它就应该将真正的攻击者的能力带给用户，让用户能够清晰看到，当一个攻击者将自己作为目标的时候，攻击者会在互联网上搜集哪些资产和暴露面，他们能搜集到的资产信息能够深入到哪个节点，在它的资产暴露面中，我们再去寻找进一步去寻找突破的这种入口，去验证漏洞入口的可利用性，最终为客户形成全部可见的攻击路径图。

通过白泽攻击面管理平台，云科安信将攻击者的思路去融汇到这个平台里面，让客户得以用攻击者视角来审视自身的缺陷。“我们以攻击者的能力告诉防守者，如果是基于实战视角的防御建设，应该从什么地方开始做防御，它的优先级是什么。其中哪些安全漏洞要修复，哪些暴露面要收敛，哪里存在薄弱环节需要安全加固，增加防御策略等等。这是我们对攻击者视角的理解。”

陈思介绍，白泽攻击面管理平台在2020年便已实现商业化落地，目前平台累计服务政府、国央企、医疗、教育、金融、运营商等各行业客户近1000余家，为用户的数字业务安全提供了坚实保障。

她表示，白泽攻击面管理平台将云科安信团队过往所有的攻防技战术和资源浓缩其中，以一种极简的使用方式交付给用户，能够完全自动化地帮助用户持续性的发现和梳理资产暴露面的情况，将包括域名、IP地址、端口情况，web应用、中间件、数据库、组件、指纹等等这些跟目标系统相关的信息详细地展现在用户眼中。

白泽攻击面管理平台架构

在梳理完用户全部暴露在外的资产和攻击面后，白泽平台还会从应用的视角、关联关系的视角、端口数据的视角将不同资产之间的关联关系进行展示，帮助用户了解到未知的资产暴露情况。“公开的这些信息我们可以看到，别人其实也可以看到，攻击者和商业竞争对手也仍然可以看到，所以梳理它的资产情况，梳理它的这些细节和暴露面，是实施攻击面管理的基础。”

云科安信认为，一家企业的暴露面能够分为以下几类：

第一类是不得不暴露在外面的资产。比如企业官网或对公的一些服务应用，这类暴露面很容易可以被测绘，但是它的业务又必须依托于互联网，因此云科安信会帮助用户做安全加固，相应的去提升它的防御的能力。

第二类是可以不暴露在外的资产。比如说一些企业的综合管理系统、OA系统等内部管理系统也都暴露在互联网上。对于企业来说，在不知情的情况下每一个暴露在互联网上的应用都是一个突破口，带来不可预知的风险，因此，云科安信会指导企业用户将此类暴露面进行收敛。

第三类是必须不能暴露在外的资产。这一部分的暴露面典型的代表如开发工具的管理入口、API文档的系统信息等等，从安全角度来说是绝对不能放在互联网上的，针对这一类资产暴露面云科安信会告知用户及时收敛和处置。

在协助用户将暴露面梳理清晰后，白泽攻击面管理平台会在暴露在外的资产中寻找漏洞，对漏洞做可利用性的验证。最终让客户看到在他已知范围和他未知范围内，攻击者能够突破进来的全部路径。

“我们经常举个例子，一个国家级运动员可能4年才参加一次奥运会，但他们需要每天坚持不断的训练技巧和体能，去参加各种大小比赛，以此来保证自己一直处于最好的状态，最终在奥运会这样的大考面前才能够拿到很好的成绩，同样做企业安全建设也是如此，攻击面管理就是企业在做的一次次常态化攻防演练。只有每天不断地锤炼和打磨，才能够保持一直跟踪最先进的攻击方法和思路，跟踪最新的漏洞信息，持续在攻防一线收敛风险隐患。”

陈思谈到，极简的使用方式是白泽攻击面管理平台的最大特点。“既然攻击者在最初面对一个目标时，可能掌握的最基础的信息只有企业的名称或者域名，那么白泽平台就以同样的视角来提供给用户。她介绍，用户只需要输入企业的公司名称或域名，平台便能够迅速在整个互联网中检测相关的暴露面资产，验证攻击路径，最终将全部攻击面自动化地向用户交付。”

她表示，云科安信在将白泽攻击面管理平台交付给用户时，通常会告诉用户自己最终的目的并非是为用户提供安全服务，而是希望将这种自动化的暴露面发现能力、资产梳理能力赋能给企业，让其能够真正为人所用。

采访最后，在谈及未来攻击面管理市场的发展趋势时，陈思认为，当前国内整体安全市场刚刚从合规安全转向实战化驱动和业务驱动，攻击面管理细分市场也处于刚刚起步阶段。补足攻击者视角的缺失注定成为企业用户们下一步安全防御建设的重要方向。随着安全意识的深入转变，实战化导向的攻击面管理市场很快会迎来爆发期。

在这样蓬勃发展的市场环境下，云科安信也会继续持续扩大白泽攻击面管理平台的既有优势，持续以SAAS和定制化的模式向企业输送攻击者能力，赋能企业实战攻防能力建设。同时在技术层面不断增强资产测绘、漏洞验证以及暴露面收敛的能力，推动白泽攻击面管理平台在更多用户场景中得到广泛应用。