所谓“漏洞”，指的就是软件在实现过程中的错误或者缺陷，攻击者可以利用漏洞对软件进行攻击。“漏洞管理”一直以来都是企业网络安全管理中的核心任务。漏洞管理的核心目标就一个，即发现并修复所有的漏洞。然而多年的行业实践证明，这样的目标很难完成。

漏洞与软件本身基本上属于双生并存，只要软件存在漏洞就一定存在，而随着企业的数字化水平日益提升，软件部署规模不断增长，企业中的漏洞总量也是在不断膨胀，而且很多时候我们即使发现了漏洞的存在，但不代表我们就知道如何修复这些漏洞，就算我们知道如何修复，因为各种原因（比如系统不能重启、软件不能升级、业务不能停止等等）我们也只能选择让漏洞继续存在着，想要把所有漏洞都修复完是不现实的，就好像要把人体中所有的基因缺陷全部修复完是不现实的一样。

另外，漏洞对企业的影响符合80/20原则，最大的风险往往是由极少一部分漏洞带来的，可是我们往往无法知道那极少的一部分究竟是什么。实际情况是，我们修复了很多漏洞，但企业的风险却并没有得到显著改善。

当漏洞管理路越走越窄的时候，风险管理的大门正在向我们打开。在国外，Gartner提出了基于风险的漏洞管理框架（RBVM）。在国内，国标《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》也于2022年正式发布。这两个重要理论的共同点在于，都不再仅仅关注漏洞自身，而是综合评估漏洞可能对用户造成的影响，也不再把给漏洞打补丁当做唯一的管理手段，而是提倡综合利用一切安全工具对漏洞带来的风险进行缓解。

思路打开了，事情就好办了。事实上，我们并不关心“漏洞”，我们关心的是“漏洞”对企业的影响。在过去我们把这两个概念等同看待，但风险管理理论不这样认为。根据《信息安全风险评估方法》的内容，风险除了要考虑漏洞自身之外，还需综合考虑资产情况、威胁情况以及企业内部的现有安全措施的防御能力。

攻击面的概念由美国国家标准局NIST提出并被Gartner引用。攻击者要攻击一个对象（比如一个网络、一个业务等等）总是要从某一个具体的攻击点开始，比如网络上的某个开放在互联网的服务端口、比如业务的服务页面，这个具体的攻击点就叫攻击面，可以简单理解为能被攻击者看见的资产。而资产上是有漏洞的，这些漏洞可以被攻击者利用进而造成危害，这就是所谓的攻击面脆弱性。但是通过安全防御手段，可以下降这种脆弱性，当攻击者真正对业务进行攻击时，业务的风险是由资产脆弱性及其安全防护手段共同决定的，这种综合了脆弱性与防御能力的评估指标就是攻击面风险。一个攻击面可能有严重的脆弱性，但是同时可能风险并不高。

结合《信息安全风险评估方法》和攻击面理论，蔷薇灵动提出了攻击面风险管理框架。该框架的核心目的在于：“充分利用零信任技术，通过最小权限访问控制和零信任访问代理的方式对漏洞进行封堵和访问控制，从而在不打补丁的情况下对企业攻击面资产的风险实现有效缩减。”该框架主要包含三个主要过程：攻击面发现，攻击面风险量化和攻击面风险缩减。

通过这三个过程，攻击面风险管理框架构建出了一套崭新的漏洞管理思路。

• 从漏洞扫描到攻击面发现

在过去，漏洞治理工作开始于漏洞扫描，但是攻击面风险管理中的“攻击面发现”的内涵却比漏洞扫描要大。攻击面发现首先要做的是发现企业中有哪些资产，然后再评估这些资产上是否有漏洞，同时它还要去研究这些资产的“可见性”。能被看见的资产才叫攻击面！而能被互联网看见的资产显然比只能被办公网看见的资产风险高。基于不同的可见性，攻击面风险管理把资产分为“外部攻击面”和“内部攻击面”，通过综合分析资产的“可见性”及其脆弱性，攻击面发现才能了解漏洞如何对企业构成威胁。

• 从漏洞等级评估到攻击面风险度量

除了可见性外，攻击面风险管理另一个关注点就是攻击面的风险度量。在过去，我们通过CVSS评分来衡量漏洞的严重等级，但这种度量方法是独立于企业具体情况而进行的度量，一个漏洞的CVSS评分在全世界都一样，但一个漏洞所能造成的风险，在每一个企业中都是不一样的，就算是同一个企业，若漏洞存在于不同资产上，那这个漏洞所带来的风险也是不一样的。因此，对于一个攻击面的风险度量，必须要结合企业的具体情况来分析，比如漏洞所在资产的重要性、漏洞对不同访问的可见性、漏洞当下被攻击的态势以及资产是否有安全手段能够对攻击进行防御等等。

• 从给漏洞打补丁到攻击面风险缩减

在过去，应对漏洞的唯一方法就是以软件升级或者打补丁的方式直接修复漏洞，但正如前文所言，这种处置方式所需工作量极大且很多时候无法推进，所以实际情况就是企业内漏洞的修复率极低。而且，即使对漏洞进行了修复，这个修复对企业的意义和价值究竟又是什么，我们通过修复漏洞如何让企业变得更加安全也是一个无法回答的问题。

攻击面风险管理是一种先进的安全理念，但一切理念落地都需要具体的技术支撑，攻击面风险管理对资产可见性发现、攻击面风险评估和攻击面风险缩减等技术都有着内在要求。尤其是攻击面风险缩减，这是重点也是难点，只有解决好这个问题，才能真正下降企业的风险。蔷薇灵动为业界所熟知是因为其领先的“微隔离”产品，而微隔离产品的核心能力就在于细粒度的流量识别与访问控制。而这种能力事实上与攻击面风险管理的内在要求有着很强的一致性，当微隔离遇到了攻击面风险管理，一个跨界的颠覆性创新就诞生了，这就是蔷薇灵动最新发布的“零洞”攻击面风险管理平台。

“零洞”平台具有包括“全视角攻击面发现”“多维度风险量化评估”“自适应风险缩减”和“分层级量化基线”在内的四大核心能力，完整覆盖了攻击面风险管理的全过程要求，凭借独特的微隔离底层能力，以零信任的方式将漏洞管理带入新时代。

• 全视角攻击面发现

攻击面发现的核心任务就是要明确从攻击者视角能够看到哪些资产。要回答这个问题，有两种常见做法，一种是主动探测，一种是旁路流量分析。主动探测就是从攻击者的位置对网络进行探测，看看能够发现什么资产。这种做法的弊端在于一方面无法对大规模网络进行有效扫描，巨大的资产规模和复杂的网络结构将会让扫描很难进行。而流量分析的方法则是通过分析网络的流量信息，看看有哪些资产是可以被访问到的。而这种方法的问题在于，随着网络的开放性越来越高，很难确保捕获全部流量，而对于内部流量来说就更加难于捕捉了，再者，一旦发生了NAT地址转化这种方法就会彻底失去作用。

“零洞”产品的攻击面发现属于“流量分析”技术路线，而与众不同之处在于，零洞的流量获取方式不是旁路镜像而是在工作负载上直接获取，这使得零洞可以掌握完整的网络流量信息，因此可以更全面的对网络的攻击面做出分析。尤其是对于内部攻击面，零洞的产品能力可以说独一无二。

除了能够发现内外部攻击面外，零洞产品更加独到的能力在于可以针对一个特定业务进行攻击面分析。在云计算时代，多租户多业务混合部署，业务资产往往不是分布在一个独立的网段，而是和不同业务资产混合部署在一起。这种情况下，要对一个特定的业务做攻击面分析就很困难了。而零洞利用了微隔离的资产业务属性，可以将同一业务的资产流量进行关联分析，从而完成对特定业务的攻击面分析，并提出了“外部攻击面”、“业务间攻击面”、“业务内攻击面”等概念，为用户对特定业务（而不是整个网络）进行攻击面分析与治理提供了可能。

• 多维度风险量化评估

之所以要对攻击面进行量化风险评估，最主要的目的是对攻击面进行基于风险的排序。攻击面管理认为，并不是所有的攻击面对于企业的风险都是一样的，有的攻击面更加危险，而有的攻击面不那么危险，有的攻击面甚至可以认为没有危险。因此企业应该把工作重点放在那些更加危险的攻击面上，而要做到这一点，就必须对攻击面进行风险量化评估，从而找到那些危险的攻击面。

攻击面的风险评估要考虑众多要素，除了攻击面资产上的漏洞CVSS评分之外，更要考虑攻击面资产所在网络实际情况，比如资产的可见性（互联网可见？办公网可见？业务间可见？）、比如资产的暴露面宽度（几个资产能看见？几百个资产能看见？几千个资产能看见？）、再比如资产所在业务的重要性、所在网络的威胁态势、资产上漏洞的流行情况等等。

“零洞”产品在风险量化上具备很强的数据优势，一方面零洞产品通过全网流量分析掌握了准确的攻击面可见性信息，从而可以为攻击面赋予不同的风险因子。同时，利用精细的微隔离策略可以推算出攻击面的暴露面宽度数据，从而对攻击面可能被攻击的风险进行评估。而且，由于零洞平台掌握了资产的业务属性，结合不同业务的业务重要性指标，零洞可以进一步对攻击面的风险进行调整，从而最终帮助用户找到那些对他们最为关键的攻击面。

• 自适应风险缩减

零洞平台最为强大的能力在于“自适应风险缩减”。漏洞管理的目标是消除漏洞，而攻击面风险管理的目标是风险缩减。两者的区别在于，通过给漏洞打补丁进而消除漏洞固然是缩减攻击面风险的方式，但是缩减攻击面不一定非要打补丁。零洞平台利用了蔷薇灵动完整的零信任能力实现对攻击面的风险缩减。对于内部攻击面而言，零洞利用了微隔离的访问控制能力，可以缩小漏洞的暴露面宽度乃至完全封堵对漏洞的访问从而彻底让漏洞变得不可见，这样一来就可以在不打补丁的情况下做到对攻击面风险的有效缩减。需要指出的是，零洞的攻击面风险缩减能力继承了微隔离的自适应策略计算能力，当用户的网络发生变化时，微隔离的访问控制策略将会发生自适应调整，从而确保对漏洞的封堵实时有效。

而对于外部攻击面，零洞则利用了蔷薇灵动的统一微隔离产品的零信任网络访问能力，通过零信任网关代理来自外部的访问流量从而将外部攻击面转化为内部攻击面进而大大下降了攻击面的风险。与此同时，零洞还会通过微隔离在工作负载上的访问控制能力将外部服务的访问源严格锁死为零信任网关，从而确保外部攻击面的有效隐藏。

• 分层级量化基线

通过对网络中的风险量化指标做定期的评估和记录，就形成了网络的攻击面风险基线。风险基线在攻击面管理中可以发挥非常重要的作用。一方面通过基线可以定量的呈现攻击面风险管理的工作效果，通过有效的攻击面风险管理，将会看到风险基线的走向逐渐收敛。而反过来，风险基线也可以成为管理上的指标抓手，可以通过基线提出定量的管理目标。与此同时，基线还是监控企业风险变化的有效指标，如果出现了新的漏洞，新的未经防护的资产与业务，都会带来风险基线的上扬，从而提示用户进行有针对性的攻击面治理。

值得一提的是，零洞的风险基线是个分层级的评价体系，用户通过零洞不仅可以建立全网络的攻击面风险基线，还可以为每一个业务分别建立不同的风险基线，从而可以支持用户对特定的重点业务做针对性风险治理，用户还可以为每一个资产乃至一个端口维持风险基线，从而实现精细化的攻击面管理。

• 漏洞管理的零信任时代

当“微隔离”遇到“攻击面”，就把“漏洞管理”带入了“零信任”时代。一个产品的能力边界，取决于其底层的基本能力组件。零信任技术作为新时代的强大网络安全基础设施，为漏洞管理带来了新的可能。零信任的基本理念就是“从不信任，永远验证”，而要做到这一点，零信任产品必须具备的技术能力就是对一切网络中实体的全方位认知，以及对其行为的敏锐感知和精细管控。过去的漏洞管理一方面缺少信息获取途径，另一方面缺少行为干预手段，只能靠旁挂的扫描设备做着尽力而为的信息获取，至于说治理那就只能停留在手工阶段了，可以说整体能力非常薄弱，而零信任技术与漏洞管理的结合则极大地改变了这种现状。

在蔷薇灵动这款跨界产品中，实现了许多过去用户高度期盼却无法实现的黑科技功能（例如“漏洞一键封堵”）。凭借微隔离强大的端点级信息采集与访问控制能力，“零洞”的能力远超所有旁路型漏洞管理产品。在过去的漏洞管理工作中，最大的难题在于“发现问题却无法解决”，用户面对漏洞扫描器中成千上万的漏洞常常束手无策。而零洞产品通过结合微隔离的访问控制能力，可以让大量漏洞在网络上完全消失，同时极大地缩减剩余漏洞的暴露面宽度。过去能被全网看到的漏洞，现在可能只能被同一业务中的工作负载访问。最关键的是，用户只需简单点击鼠标，剩下的工作将由产品自动化完成。此外，攻击面风险缩减的效果将实时反映在系统中，用户可以直接看到多少漏洞被屏蔽了、多少漏洞的访问受限了、多少端口被封堵了、风险下降了多少。一次小小的点击，取得的成绩足以写入年终总结，是的，这就是科技的力量。