华云安：探索AI赋能的攻击面管理研究与实践

6月26-28日，“矩阵杯”网络安全大赛开幕式暨全球数智安全大会在青岛国际会议中心圆满举行。在本届“矩阵杯”主论坛上，华云安产品负责人王超以“AI助力智能安全新时代”为题，就华云安在攻击面管理结合AI技术的研究和落地情况进行分享。

随着数字化技术的飞速发展，企业运营的各个环节都越来越依赖于网络和数据。然而，这种数字化趋势也为企业安全运营带来了前所未有的挑战。随着企业数字暴露面的不断增长、实战演练的普及、攻防信息的不确定性，以及安全运营工作的持续与常态化，企业面临着日益严峻的安全压力。这些挑战不仅考验着企业的安全防护能力，也推动着安全运营需求的不断迭代。

在这样一个背景下，企业需要采取更加积极主动的安全防御策略。具体而言，企业需要站在攻击者的视角，审视自身的安全状况，发现可能存在的攻击面，并采取相应的措施进行收敛。收敛攻击面是企业降低潜在攻击风险的关键步骤，它通常包括以下几个方面：

• 高效梳理攻击面：企业首先需要识别和梳理现有的攻击面，了解可能被攻击者利用的漏洞和弱点。

• 自动化安全测试：持续跟踪和学习攻击者使用的武器和方法，以便更好地防御和应对。

• 对齐攻击者信息：持续收集和跟踪海内外攻击者可能使用的武器和攻击方法，以便更好地防御和应对。

• 持续优化防护措施：根据新的安全威胁和漏洞信息，不断更新和完善自身的安全防护措施。

在收敛攻击面的基础上，企业还需要结合自动化工具进行常态化的安全测试。这包括对漏洞的验证、安全防护效果的验证以及红队的自动化攻击测试等。同时，企业还需要了解漏洞、恶意文件等攻击手段的相关信息。通过收集和分析这些信息，企业可以更加准确地评估自身的安全状况，并制定相应的应对策略。此外，企业还需要不断提升和丰富自身的响应能力，包括应急响应、漏洞修复、数据恢复等方面。通过固化成经验，企业可以更加高效地应对各种安全威胁，确保业务的连续性和稳定性。

在数字化时代，迅速而精准地收敛数字资产的暴露面，无疑是企业进行攻击面管理的首要任务。从攻击者的视角出发，他们通常遵循一套完整的信息收集链：从企业信息收集，到深入的IT信息收集，再到数据信息收集，直至精准定位安全隐患，最后实施攻击。为了有效应对这一威胁，华云安通过先进的原子化编排能力和知识图谱技术，自动化模拟出攻击者针对企业目标进行信息收集和处理的标准流程，并通过平台，将收集到的数据和攻击面管理的业务结合起来。 

我们的平台通过企业关键词信息基于自动化任务编排，能够迅速调用互联网资源，精准捕获企业的web应用、IP地址、域名等核心IT资产信息；及收集包括源代码、泄露数据、供应采购产品等在内的数字资产信息，以及企业邮箱、账号密码等敏感的社会工程学信息。

在信息收集的过程中，我们结合人工标记和自主研发的图检索规则与算法，构建出标准化的数据间关系，并不断挖掘新的业务关键词，以实现持续完善信息收集的广度和深度，确保企业攻击面的全面覆盖和及时收敛。

企业的暴露面，通常以图片、文本、代码等形式游离于互联网。然而，在仅依赖既定规则和NLP（自然语言处理）、OCR（光学字符识别）等技术进行数据采集、提取与审核时，我们面临着不同类型数据提取效率与质量的双重挑战。特别是当需要进行关键词泛化生成时，仅仅依靠人工阅读以提取企业项目信息、产品信息以及专有名词等内容，不仅耗时费力，而且效率低下。在这两个方面，通过大模型技术的引入我们能够自主识别多类型数据，并进行数据预处理和标准化输出。这不仅能大大提高业务关键词的识别与提取效率，而且显著减少了人力投入，提升了整体效率的一半以上。

在企业的暴露面数据中，当前IT数据扮演着举足轻重的角色。为了确保暴露面的持续收集，我们需要以高频率、有针对性的方式捕获企业的信息系统指纹。然而，积累指纹规则却是一个棘手的问题。编写Web指纹规则不仅需要大量的人力投入，还时常受到各种反扫描机制的干扰。为了克服这一难题，我们通过训练深度学习模型，对Web指纹中的数据特征进行精细标注。这一举措显著提升了Web指纹的识别能力。通过结合三个小模型的优势，我们的识别准确率已经达到了90%以上，为企业的信息安全提供了更为坚实的保障。

敏感信息的获取同样是我们深入研究的重点方向之一。我们运用大语言模型进行初步筛选和标记，再借助小模型进行精细调优，成功实现了对暴露的社工信息、系统配置、身份认证以及供应产品等内容实现非标准格式的读取、识别和分类。这一过程不仅高效准确，而且我们将结果以高可读性、便于汇报的形式反馈给用户，确保信息的及时传递和有效利用。

在企业攻击面管理中，我们应精准聚焦于那些真正高优先级的问题，深入评估它们可能带来的潜在影响，并以直观高效的方式同步于业务部门，从而显著降低沟通成本。华云安通过CAASM平台，将来自EDR、CMDB、扫描器等多元化数据源的容器、IP、Web等各类资产数据进行深度融合与治理。通过该平台，我们能够精确评估各类资产上安全问题的风险优先级，清晰识别潜在利用可能性及其对业务可能造成的失陷影响，进而助力企业显著提升攻击面管理的效率与效果。

关于漏洞数据的归并，尤其是针对那些无编号漏洞的整合，一直是我们面临的重要挑战。在处理这些复杂数据时，我们注意到组件的用户枚举漏洞存在多种表达方式，如暴力枚举、用户枚举、用户竞争以及信息泄露等。为了更高效地处理这些情报以及漏洞的归并，我们采用了训练小模型的方法。具体来说，我们针对漏洞的描述和名称进行了关键内容的识别与分词处理。这一过程基于漏洞的原理、潜在影响以及所属类别等关键信息，旨在尽可能实现漏洞信息库的归一化。

在风险优先级评估方面，传统基于资产权重配置来计算风险优先级的方式，往往与业务实际运行状况脱节。针对此问题，我们提出了一个创新的策略：结合资产的真实指纹特征，同时考量漏洞的可检测性和可利用性等实际情况，进行漏洞风险优先级判定。在实际环境中进行测试，我们发现当risk分数超过50时，这些漏洞通常具备较高的可利用性，并且确实可能对业务运营造成一定影响。这种评估方式不仅提高了风险识别的准确性，而且为企业的安全防护提供了更为科学的指导。

借助先进的大语言模型技术，我们能够迅速从丰富的知识库中提取并呈现易于理解的专业建议。无论是关于BAS测试中的特定问题应该选择何种产品来进行防护，还是应当增设哪些策略和配置以增强系统安全性，大语言模型都能为我们提供清晰的编写规则思路，确保我们的决策既高效又准确。

自动化安全测试，宛如攻击面管理的触手，其效能直接决定了攻击面管理的成效。在这一过程中，精准识别潜在的脆弱点，验证其真实性，深入评估其潜在影响，结合安全运营知识给出安全防护的产品及措施，并再使用技术手段测试现有防护措施的效果，从而构建出一个智能化的闭环防护体系。

在主动安全测试的实践中，自动化程度无疑是一个至关重要的衡量标准。特别是在涉及验证码验证的场景中，自动化登录、页面内容爬取以及输入类型填充等功能的实现，对扫描效果具有显著影响。借助先进的小模型技术，我们能够高效实现字符类及字符运算类验证码的自动登录。

此外，在爆破场景下，如何有效利用公司自身的社工信息来检测弱密码，已成为我们弱口令检测策略的下一阶段目标，自动化生成基于姓名、工号、生日、手机号等个人信息的组合密码，也是上线后运行检测的重要方式。

在进行有效性测试时，为了规避检测并成功将载荷投递到目标，通常需要采用绕过等多种技术手段。这些攻击行为往往具备伪装，为了预防可能的潜在攻击，我们首先需要模拟各种绕过手段，尝试对真实请求进行改写。然而，这种排列组合的攻击方式，若通过人工编写脚本实现，其工作量无疑是巨大的。为了应对这一挑战，我们通过大语言模型对原本的payload进行深入理解和学习，批量辅助生成伪装后的请求内容，并在其中加入限制条件，实现动态仿真的payload请求构造。

在钓鱼邮件场景中，情况同样复杂多变。由于每位客户可能会收到截然不同的邮件内容，攻击者也会精心定制邮件，确保其内容与客户背景和预期高度匹配。然而，邮件模板千变万化，其编写往往需要专业的定制化服务，这对于用户而言是一项难以完成的任务。为了应对这一挑战，我们结合了截图与大语言模型的理解能力，可生成不同场合下，不同要求下的邮件模板，实现半自动化的钓鱼测试。这不仅极大地提高了钓鱼测试的效率和准确性，还为用户提供了更为便捷、高效的解决方案。