装钱的兜破了个洞，你和贼谁先发现？结局大不一样

原创高端访谈数说安全

随着攻击面管理产品在国内的落地与升级，攻击者纷纷感叹这年头日子确实不好过，实在是难。

一个攻击者，在攻击目标之前，需要花费大量的准备工作，要摸清目标的外部数字资产有哪些？有多少泄露的数据？云应用中有哪些错误配置？供应链有哪些？甚至包括组织内部的人员隐私和社交信息等，这些都是可以下手的入口，也就是我们所说的【外部攻击面】。如果没有攻击面管理的意识和准备，攻击者对于上面这些信息的了解程度，要比被攻击者自己还要清楚。

说白了，就是你装钱的裤兜破了个洞，你自己都没发现，但是小偷早就看到了。

但是最近，攻击者们发现越来越难找到“破洞”了。因为有了一个叫做攻击面管理的东西。

攻击面是指组织所有可被攻击和利用的风险面，包括物理面（例如端点、网络、服务器等设备漏洞）和数字面（例如企业数据泄漏、品牌侵权、个人隐私信息泄露、网络钓鱼等）。攻击面管理旨在识别、分类这些风险因素，对其进行优先级排序和持续监控。大概分为两类：从企业管理者视角上的网络资产攻击面管理（CAASM），和从外部攻击者视角上的外部攻击面管理（EASM）。（摘自数说安全《2022网络安全十大创新方向》报告。）

可见，外部攻击面管理，就是在攻击者研究你、惦记你、偷你之前，让你能够看见自己的外部攻击面都有哪些？脆弱点都有哪些？裤兜破的那个洞在哪、这个洞有多大、多紧急？

为了了解到更多的信息，我们联系到了国内专注于攻击面管理的网络安全企业华云安。最近华云安的外部攻击面管理产品：灵知·互联网威胁监测预警中心(Ai.Radar)进行了一次产品升级，我们非常想知道目前国内最新的外部攻击面管理产品是什么样子的，所以采访了华云安产品总监王超。

Q：攻击面管理的核心价值是什么？

“攻击面管理的基础是攻防，核心思想就是以攻促防——以攻击者的视角来审视用户的防御情况，它的核心价值就是让我们真正做到有效的安全管理和攻击防御”王超说。

王超认为，传统的等保类的安全合规防御是站在被攻击者自己的视角做的系统加固，在这种思维下，即便用户符合了某个标准也不意味着安全做到了真正有效。攻防本身是一个动态的对抗，攻击者是一个智慧体，并不是一个机器或一串代码，只有知己知彼，了解攻击者的攻击习惯和思路，站在他们的视角来审视自身的弱点，才能真正实现和验证安全的有效性。

“通过攻击面管理的梳理，帮助客户了解攻击者会怎么攻击我？我有哪些弱点？帮助客户收敛暴露面，让用户可以及时处理自己的脆弱点。”

Q：资产攻击面管理（CAASM）和外部攻击面管理（EASM）在应用上有什么区别？

王超：“CAASM其实是更广义上的，它可以理解为是用户完整的网络空间的攻击面管理，主要包含了内和外双向视角，并且可以产生一个对比的价值。它需要对用户自身的例如WAF、CDN、内部的一些安全防御策略等进行梳理，是一个较为偏全局视角的分析。”

“但实际上，强调外部攻击面管理的EASM目前更被客户熟知和认可，原因是EASM只站在攻击者的角度来看我们从外部能获取到用户的哪些信息，它对甲方的隐私是不侵犯的，甲方不需要把自身内部的资产暴露给我们，我们就可以帮他们去做外部攻击面的管理，它具备天然的信任基础。”

Q：从华云安的市场经验中看，哪一类的客户更加关注攻击面管理产品？

王超告诉我们，关注攻击面管理的企业大概有几个特征。首先业务上涉及到攻防相关的，或者对于安全有高要求、高诉求的企业或者组织；第二是数字化信息化发展程度比较高，业务场景比较丰富的企业或者组织。典型符合这两种特征的包括关键基础设施、金融行业、能源行业、央企和政府行业等。这几大行业不仅符合上面两种特征，而且一旦涉及攻击事件，很有可能影响民生。

对于这些行业来说，传统的安全管理一定程度上不能覆盖未知的暴露点，这些点恰巧是攻防中最容易被攻克的点，而因为业务具备较高价值，无论是在攻防演练中还是在实际的业务场景下，都是攻击者优先想要攻击的目标，所以攻击面管理目前是这类客户非常关注和需求的内容。

Q：华云安的灵知(Ai.Radar)是如何帮助客户做外部攻击面管理的？

“灵知·互联网威胁监测预警中心(Ai.Radar)是我们今年5月份最初发布的，最初的版本是一个外部暴露面发现的框架产品，这次的版本升级我们将灵知的各方面能力都进行了提升：主要是【情报采集能力的提升】、【图模型的优化】、【暴露面和攻击面更紧密地衔接】这三大变化。“王超说。

新版本灵知能够实际让用户体会到的改变包括：

过去用户只可以通过灵知看到暴露面，现在客户实现整个暴露面的溯源；
敏感数据情报采集能力加强后，在情报的来源上做了扩充，暴露面的全面性上有了很大的提升；
对供应链的攻击面管理，灵知基于NLP的智能语义分析，直接告诉用户这个攻击面是他采购的哪一家公司的哪个产品，而不是只给他一个URL让用户自己去查；
在验证流程上更加准确，旧版灵知攻击面只联动了web扫描检测引擎，新版本新增了安全规则检测引擎、URL恶意分析等新引擎；
新版本把场景化的能力提供给了用户，新版本呈现效果对于用户实际应用的场景适配度更高；
通过关联暴露面，帮助用户梳理暴露的资产与资产之间的关系；通过图谱模型来描绘资产之间的关联画像；
对风险和易受攻击性进行风险评级和评价，用户能看到哪些是自己要优先关注的攻击面和暴露面。

如果以一个实际的应用案例为例，比如用户系统的登录页，登陆者的认证信息会直接存储在企业的浏览器上，如果暴露的登录页没有被放置在VPN后面的话，极有可能凭证信息就会被盗用，盗用之后就会导致后面一系列攻击造成的损失。

那么灵知是如何做的？在获得用户的授权后，灵知对用户进行全网的检索，检索的内容包括但不限于泄露的代码、敏感信息、企业的外部域名、外部运用的IP、外部站、移动应用等，灵知会对这些外部资产进行一个全面的发现。在发现以后，基于灵知的安全规则和分析引擎进行识别和安全监测，得到可能会具有风险的信息；最后灵知会调用验证化引擎进行验证。

经过完整的一套流程，用户在公网上泄露的信息包括ssk、凭证信息、甚至一些情报（例如用户供应商的漏洞）等这些信息以及画像图标，华云安灵知会第一时间整理推送给用户。用户通过灵知能够先于攻击者来收敛自己的暴露面，并且掌握自己可能被攻击者发现和利用的攻击面。

Q：什么样的底层能力，才能让华云安点出这么多的攻击面管理技能点？

我们想知道，像灵知这样一款强大的外部攻击面管理系统，都需要有哪些技术能力做支撑。

王超告诉我们，想做出一款灵知这样的产品，还是需要很多底层能力的：

“首先是要有强大的情报数据采集能力。华云安有自己的XTI （扩展情报采集引擎），依托华云安在全球的分布式节点和关键调度算法，可以实现快速和大量地从全网搜集企业关键信息，信息搜集的渠道源包括但不限于Twitter、Facebook等社交信息漏洞源、NVD漏洞库情报源、论坛和贴吧这样的开源情报源、一些合作伙伴的威胁检测情报源……这几类情报源我们是兼容的，并且通过NLP人工智能和语义分析的技术进行分析了整理。

其次我们有AIKT安全大脑和安全风险库，我们会将采集的数据进行统一的归类和清洗，把它转化成图的能力模型，华云安在图和实体关系之间有很多相关的技术专利，包含漏洞、IP、Web等16个实体关系。

第三是我们的攻防能力。攻防一直以来都是华云安的核心，不仅是和企业的安全服务合作，也承接了一些国家的项目，在这里面我们积累很多自动化攻防、关键数据采集、自动化检测引擎的经验和工具，我们也把这些能力转化在灵知里面提供给客户应用。”

Q：攻防是闭环，客户发现了攻击面后如何处理？

灵知主要针对于外部攻击面管理，刚才我们也提到了CAASM，就是全面的网络空间攻击面管理，这对应的就是华云安另一款产品灵洞。灵洞和灵知可以基于企业攻击面的内外双重视角进行联动，在不窥探用户隐私的前提下，用户可以通过灵知采集自身的外部攻击面的数据与灵洞联动，用户通过规则的分析，既能抓住自身外部攻击面的问题和情况，又能结合自己的防御视角来综合评价整体攻击面和风险。这个闭环是从检测发现——分析研判——情报预警——响应处置（包括补丁的修复等）形成的一个闭环。

在华云安的攻击面管理的闭环体系中，还有一款主打人工智能和攻防技术的产品灵刃，灵刃更偏向于BAS（模拟攻击测试），以攻击者的视角，尝试通过无害的请求来验证客户的安全防御是否到位，从而形成发现、预防、响应、验证的全闭环攻击面管理。

Q：对攻击面管理产品的未来是如何规划的？

“华云安的攻击面管理产品解决方案中，灵洞、灵知、灵刃基于云原生架构，以微服务的方式提供不断迭代的安全能力，这是我们也一直在倡导生态的概念。未来灵知将集产业众力形成攻击面管理的生态，为用户提供更多的价值。”王超说。

（2022.11.8数说安全报道）