万物安全钟国辉：资产测绘与攻击面管理助力构建数字化安全运营体系

一、数字化转型：

时代的“脉搏”

《新IT重塑企业数字化转型（2022年）》显示，2021年我国数字化转型中涉及的相关IT服务和解决方案市场总体规模达21,669亿元，未来几年预计将保持20%以上的平均增速，有望在2025年逼近5万亿大关。在此背景下，伴随数字化转型的深入推进，安全运营也从以资产为中心、以业务为中心的传统模式，快速迈向以数据链为中心、多系统协同驱动的全新阶段。在金融领域，人民银行和银保监会于2022年初相继发布了《金融科技发展规划（2022-2025年）》与《关于银行业保险业数字化转型的指导意见》，银行业网络安全体系建设逐步由“局部整改、定期检查”转变为“全面建设、持续监测”，并更为强调安全运营向体系化、常态化、实战化发展，以更快、更好地识别各类资产风险，切实提升安全防护能力。

二、数据割裂：

安全运营的“原罪”

安全运营于数字化转型而言是能力，更是基因。以数据链为中心、多系统协同驱动是安全运营的基础，也是数字化转型的重点和难点。然而，由于历史原因，数据割裂问题普遍存在于银行机构，并严重阻碍了银行数字化转型和安全运营建设进程，主要表现如下：

一是资产数据割裂。从时间维度，由于多期项目建设以及资产的动态变化，资产数据的准确性、完整性、实时性无法保障，遗漏或者“脱缰”的资产易成为运营盲点；从空间维度，资产在类别、品牌、系统、平台等方面呈多元化发展态势，数据难以聚合。

二是资产数据和安全数据缺少连接，资产与风险动态关联分析能力不足，安全风险无法有效可视，风险感知慢、威胁处置滞后。

三是安全数据割裂，脆弱性管理、风险检测、安全防护、响应处置等通常由多个平台操作，安全运营效率较低。

从银行角度来看，安全运营通常意义上需要具备三点能力，即事前的网络管理、资产管理、事件采集、漏洞管理能力，事中的事件应急响应、事件分析处理能力，事后的事件追溯能力以及日常的数据联动、工单处理能力，但上述能力在数据割裂的场景下均无以为继。

深圳万物安全科技有限公司

创始人、首席执行官钟国辉

三、资产测绘与攻击面管理：

运维转型迫在眉睫

1.核心理念

面向新时代，基于数据链的安全运营首先要做到“知己知彼”。“知己”，即全面、实时、完整地掌握所有数字资产；“知彼”，即持续监测资产脆弱性和风险事件。在此基础上，“协同”威胁情报、业务系统平台实现安全事件的分析、响应和处置，将上述一系列能力集成到统一的安全平台上，即是网络空间资产测绘（以下简称“资产测绘”）和网络资产攻击面管理（以下简称“攻击面管理”）：

“以铜为鉴”，即结合数字资产，从资产属性符合度甄别端点身份信息。资产测绘基于主动扫描探测技术、被动流量分析技术、深度资产发现技术及数据存储与检索技术，支持实时动态采集资产数据进行关联分析和展现。

“以人为鉴”：从业务符合度判断风险行为。结合资产测绘捕捉到的资产行为，联动并对比业务系统、协同威胁情报平台，在资产层面实现对事件的安全性评估以及联动快速响应。

“以史为鉴”，即基于历史数据，深入分析攻击面信息与攻击行为特征信息。安全的本质是攻防对抗，对抗的关键是信息对称。2021年，Gartner正式提出攻击面管理的概念，即是从攻击者视角，审视所有网络资产被攻击利用的可能性。笔者认为，攻击面管理更关注资产脆弱性，当攻击者面对海量资产信息时，一定会寻找其中的脆弱点进行载荷投放，再以此为跳板，寻找新的脆弱点发起下一轮攻击。对此，攻击面管理通过与不同的第三方系统对接，实现多源数据融合与安全能力聚合，并根据资产脆弱性进行风险评估，确定优先级。在此基础上，安全人员根据攻击面分析，还可通过基于攻击面管理的统一操作和协作平台进行快速响应处置，收敛所有可能被攻击的入口。

2.典型场景

相比于攻击者只需找到一处弱点即可完成突破，防守方通常需要全面兼顾，而引入资产测绘与攻击面管理技术，有助于构建更为完整的安全运营体系，实现全面的一体化防御。举例来说，将基于上述技术的系统与主机防护系统联动，将可梳理出所有未安装防护客户端的主机，解决防护工具覆盖不全的问题；通过扫描哑终端的操作系统，可快速发现未知的运行于Windows/Linux/Android系统上的哑终端，此类哑终端虽然未按照PC/服务器/手机的安全管控方式管理，却有着相同的安全风险；通过采集PC、服务器、物联网设备的多维度属性，建立统一的安全合规基线，可实现对各种资产的合规性检查；通过采集实时的资产数据，并将其与威胁情报漏洞特征关联，可快速发现资产漏洞，解决传统漏扫系统在面对扫描网段范围大、网段经常变动时存在的漏洞扫描不全问题。

3.预期成效

结合工作实际来看，基于资产测绘构建全量资产数据中台，将可实现便捷的自定义搜索与可视化的自定义统计功能，而基于攻击面管理可支持在不同场景下快速获取不同来源的资产关键信息，帮助安全人员高效进行信息过滤、关联分析、联动操作、跨部门协作，进而快速感知安全风险、提高应急响应效率：

一是打造汇集全量资产数据与安全数据的分析平台。通过与多个漏洞扫描系统对接并获取扫描结果，结合全量资产数据，可辅助安全人员快速开展对比分析、排除误报，明确处理优先级；同时，通过与EDR终端检测响应系统对接，将可在蠕虫病毒暴发时第一时间获取病毒特征，快速发现所有可能受此病毒影响的设备，并明确具体数量和位置，帮助安全人员快速掌握入侵攻击的威胁半径，及时采取措施进行响应处置；此外，通过查找对比不同维度的资产信息，如设备信息、网络信息、操作系统/固件信息、硬/软件信息、用户信息、资产位置、资产关系图谱、资产调拨记录、资产变更记录、资产安全评分等，可辅助科技运维和安全运营。

二是打造聚合安全能力的操作平台。通过基于攻击面管理的系统与第三方系统联动，有助于获取不同的安全能力和联动处置能力，进而为安全人员和运维人员提供统一的操作平台，实现对风险的快速响应与处置，进一步提高工作效率。

三是打造自动化的跨部门协作平台。通过基于攻击面管理的系统和不同的工单系统对接，可实现自定义的任务编排，并与对应的工单系统联动完成自动化处理，进而实现跨部门的协同操作，大幅提高安全团队的业务效率。

四、统一安全监测与管理：

优秀的安全运营实践

为助力构建更为高效、全面的数字化安全运营体系，深圳万物安全科技有限公司基于对资产测绘技术和攻击面管理的深入研究，自主研发统一安全监测与管理系统，实现了对内网全量资产（设备、硬件、系统、网络、应用、证书、用户等）的智能化实时采集，不仅绘制多维度的资产画像、资产关系图谱、网络空间地图，还通过集成丰富的漏洞库、恶意行为分析库、威胁情报，实现资产的脆弱性管理、合规性检查，实时发现异常行为（仿冒、私接、非法外联等），支持对风险资产进行快速定位和处置。具体而言，统一安全监测与管理系统基于自身技术特点，重点强化了三项能力：

一是从攻击者角度出发，重新定义网络资产。系统集成多样化的资产测绘技术，支持自动化采集所有潜在的、能被攻击利用的数百种网络资产，包括但不限于PC、服务器、网络设备、云主机、各类哑终端、业务应用等。

二是搭载权威的物联网设备指纹库，引入基于零信任的哑终端身份认证技术，全方位防御基于哑终端的新型攻击。截至目前，系统中已建立拥有数十万指纹的物联网设备指纹库，金融物联网领域资产识别率超过97%，同时可持续监控哑终端多维指纹特征变化，快速识别哑终端身份仿冒等异常行为，即时预警并自动阻断。

三是开放共享数据并联动更多系统，助力安全运营。系统提供了北向接口开放共享数据，并具备与第三方系统对接能力，实现数据双向联动，进而可帮助银行打通各内部系统，完善安全运营管理体系。

以某股份制银行为例，该行在开展数字化安全运营体系建设的过程中，因关键资产数据不全，影响了最终的事件分析能力和应急响应效果。对此，统一安全监测与管理系统基于终端自动识别和管理功能（内网识别率高达99%），向该行的安全运营系统、资产管理系统开放共享所有数据，有效解决了该行内网资产数据采集不全面、缺失哑终端管控措施等问题，并助力该行在整合安全资源、提升自动化能力的基础上，实现了对网内弱口令、漏洞、私接、仿冒等风险和异常行为的实时监控。

【END】

深圳万物安全科技有限公司作为“网络资产安全服务商”，包括三大创新产品体系：资产测绘、物联网安全和攻击面管理。

■ 产品已广泛应用于金融、交通、教育等多个行业近百家客户，金融典型客户在前20大银行中占比过半

■ “金融物联网安全”市场排名第一，“物联网安全”总排行榜前列

■ 获得“华夏银行金融科技一、二等奖”、“兴业银行十大优秀案例”、“IDC创新者-中国视频监控网络安全市场”等数百个客户及行业荣誉

■ 参与多项国家级/省级/行业级标准/规范/文件制定，并多次发表权威文章

（2022.12.13数说安全报道）