安全可以被“看見”嗎？華云安的答案是“可以，且持續(xù)驗(yàn)證”

科技云報(bào)道原創(chuàng)。

近年來，隨著攻防對(duì)抗技術(shù)的不斷升級(jí)，安全運(yùn)營市場“新貴”不斷涌現(xiàn)，從安全信息和事件管理（SIEM）、擴(kuò)展檢測與響應(yīng)（XDR），到攻擊面管理（ASM）、入侵與攻擊模擬（BAS），安全運(yùn)營領(lǐng)域創(chuàng)新技術(shù)集聚，可謂一片繁榮景象。

其中，攻擊面管理（ASM）、入侵與攻擊模擬（BAS）作為近兩年內(nèi)國際范圍內(nèi)公認(rèn)的創(chuàng)新方向，成為了安全運(yùn)營領(lǐng)域當(dāng)之無愧的“頂流”。

放眼全球，一家叫“華云安”的中國網(wǎng)安企業(yè)已與國際頂尖安全公司一起，站在了攻擊面管理賽道的最前列，甚至以一己之力影響著國際攻擊面管理技術(shù)的走向。

這家成立僅僅3年的初創(chuàng)公司，是如何成為攻擊面管理領(lǐng)域的“新王”？它所倡導(dǎo)的“攻擊面管理”技術(shù)，與現(xiàn)有的安全運(yùn)營技術(shù)有何不同，又能解決企業(yè)客戶的什么痛點(diǎn)？

在近日召開的“2023網(wǎng)絡(luò)安全運(yùn)營技術(shù)峰會(huì)（SecOps 2023）”上，華云安給出了明確的答案。

安全威脅防不住不如轉(zhuǎn)變思路

提起華云安，并沒有如大廠般人盡皆知的名氣，但在“攻擊面管理”這個(gè)賽道，卻是響當(dāng)當(dāng)?shù)慕巧?/p>

一年106場攻防演習(xí)，平均3天一場的強(qiáng)度，即便是一家安全大廠也未必吃得消，但這卻是華云安過去一年的戰(zhàn)績。

隨著國內(nèi)攻防演習(xí)常態(tài)化和安全實(shí)戰(zhàn)化趨勢的到來，一些央企、金融、政府機(jī)構(gòu)主動(dòng)找到華云安，希望在組織內(nèi)部開展常態(tài)化的攻防演習(xí)模擬，以審視自身弱點(diǎn)，全面提升安全防御能力。

在此之前，這些企業(yè)用戶大多已有完備的安全防護(hù)和運(yùn)營體系，但即便如此，依然防不住越來越復(fù)雜高級(jí)的攻擊手法。

究其原因，不妨從網(wǎng)絡(luò)安全防護(hù)技術(shù)的三要素——漏洞、資產(chǎn)、情報(bào)來看。

先說漏洞。

漏洞治理一直是網(wǎng)絡(luò)安全的“共性頑疾”，是安全管理的重點(diǎn)和難點(diǎn)。

傳統(tǒng)的漏洞管理往往通過漏洞掃描、安全管理平臺(tái)等產(chǎn)品或人工的方式，將漏洞掃描的結(jié)果進(jìn)行相應(yīng)的處置。但在漏洞管理過程中，常常會(huì)出現(xiàn)海量漏洞驗(yàn)證確認(rèn)難、修復(fù)難、定位難等問題。

除此之外，在數(shù)字化越來越普及的時(shí)代，僅僅圍繞已知主機(jī)上存在的已知漏洞進(jìn)行管理已經(jīng)遠(yuǎn)遠(yuǎn)不夠。面對(duì)不斷增長的供應(yīng)鏈、開源組件、過期證書、泄漏數(shù)據(jù)、IoT 類啞終端等薄弱環(huán)節(jié)，是否納入了漏洞管理視野？

除了軟件漏洞，用戶權(quán)限、泄露數(shù)據(jù)、釣魚網(wǎng)站等多樣性的漏洞層級(jí)是否被充分重視？從防御者視角獲取到的漏洞，和從攻擊者視角看到的企業(yè)攻擊面是否一致？種種問題都將傳統(tǒng)意義上的漏洞管理逼到了死角。

再說資產(chǎn)。

過去企業(yè)用戶保護(hù)目標(biāo)，絕大部分是IT系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用，但在當(dāng)前數(shù)字化的場景下，保護(hù)目標(biāo)已經(jīng)進(jìn)一步拓展到數(shù)字化的資產(chǎn)，比如API、小程序、攝像頭、傳感器、身份信息、數(shù)據(jù)泄露信息、用戶憑證等等。

在這種情況下，企業(yè)用戶的資產(chǎn)數(shù)量成倍增長，面臨非常大的暴露面。

但在現(xiàn)實(shí)中，企業(yè)用戶往往對(duì)自身IT資產(chǎn)管理較為粗放，很多資產(chǎn)沒有及時(shí)清點(diǎn)更新，出現(xiàn)了大量影子資產(chǎn)、僵尸資產(chǎn)，成為被攻擊和利用的短板。

同時(shí)，互聯(lián)網(wǎng)業(yè)務(wù)邊界的泛化，以及與三方服務(wù)商的供應(yīng)鏈業(yè)務(wù)逐漸增多，進(jìn)一步引發(fā)了更多的不可控因素。

面對(duì)不斷增長變化的IT資產(chǎn)，企業(yè)用戶越來越難以確保所有資產(chǎn)的安全，包括：企業(yè)內(nèi)部訪問的所有暴露于攻擊者的IT資產(chǎn)、暴露于互聯(lián)網(wǎng)的資產(chǎn)以及供應(yīng)商基礎(chǔ)設(shè)施中的資產(chǎn)。

最后說情報(bào)。

盡管威脅情報(bào)在提高對(duì)風(fēng)險(xiǎn)和威脅可見性方面發(fā)揮了重要作用，但是在攻擊面動(dòng)態(tài)變化、供應(yīng)鏈攻擊威脅加大、威脅者攻擊策略更具有針對(duì)性的情況下，傳統(tǒng)威脅情報(bào)（CTI）已不足以為企業(yè)用戶提供有效的保護(hù)和防御。

由于傳統(tǒng)威脅情報(bào)（CTI）對(duì)非公開網(wǎng)絡(luò)數(shù)據(jù)收集和分析能力有限，比如缺乏對(duì)閉源和暗網(wǎng)情報(bào)的關(guān)注，導(dǎo)致早期預(yù)警方面能力欠缺，這對(duì)于企業(yè)的安全運(yùn)營是遠(yuǎn)遠(yuǎn)不夠的。

如果說站在防御方角度，企業(yè)用戶已經(jīng)盡可能地去做了大量安全運(yùn)營工作，但依然面臨資產(chǎn)不全不準(zhǔn)、威脅告警過多、碎片化安全產(chǎn)品、安全運(yùn)營效率低等問題，那么是時(shí)候轉(zhuǎn)變安全防護(hù)思路了，而這正是華云安脫穎而出的機(jī)會(huì)。

攻擊面管理：安全實(shí)戰(zhàn)化趨勢下的新視角

作為Gartner推薦的全球“攻擊面管理”代表廠商，華云安結(jié)合國內(nèi)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀與特性率先定義了“攻擊面管理”。

所謂攻擊面管理，其本質(zhì)在于轉(zhuǎn)換了攻防視角，強(qiáng)調(diào)以攻擊者的視角，審視組織內(nèi)部和外部可能存在的網(wǎng)絡(luò)攻擊面，以更快更全更準(zhǔn)地發(fā)現(xiàn)薄弱環(huán)節(jié)，在攻擊者利用之前提前響應(yīng)，改變攻防極度不對(duì)稱的局面。

打個(gè)比方，這就好比在黑客進(jìn)攻之前，企業(yè)先找“白帽子”來審視自己，提前找到自身弱點(diǎn)。

很顯然，攻擊面管理這一概念源于“以攻促防”的攻防對(duì)抗基本理念，而它的正式提出來自2021年7月Gartner發(fā)布的“安全運(yùn)營技術(shù)成熟曲線”。

該報(bào)告把攻擊面管理分為外部攻擊面（EASM）和網(wǎng)絡(luò)資產(chǎn)攻擊面（CAASM）。

其中，EASM強(qiáng)調(diào)外部攻擊者視角，針對(duì)暴露在公網(wǎng)的資產(chǎn)（包括互聯(lián)網(wǎng)、云、物聯(lián)網(wǎng)、智慧城市等環(huán)境下的資產(chǎn)與風(fēng)險(xiǎn)），主要通過黑客探測的手法與情報(bào)來進(jìn)行分析。

CAASM則強(qiáng)調(diào)內(nèi)外部全局視角，通過API與其他系統(tǒng)集成的方式來解決持續(xù)的資產(chǎn)可見性和漏洞風(fēng)險(xiǎn)。

同年9月，華云安在國內(nèi)發(fā)布攻擊面管理產(chǎn)品體系，這一時(shí)間與國際上攻擊面管理技術(shù)的正式提出幾乎同步，打破了過去新技術(shù)總是國際先行的慣例。

隨后的一年里，微軟、IBM、谷歌等傳統(tǒng)IT巨頭，以及CrowdStirke等創(chuàng)新安全廠商，陸續(xù)以收并購的方式進(jìn)入到攻擊面管理的領(lǐng)域；同期國內(nèi)一些安全廠商也開始相應(yīng)推出攻擊面管理解決方案。

至此，攻擊面管理領(lǐng)域真正成為網(wǎng)安行業(yè)公認(rèn)的未來產(chǎn)業(yè)鏈重要技術(shù)創(chuàng)新方向。

而在用戶側(cè)，越來越嚴(yán)格的上層監(jiān)管、安全實(shí)戰(zhàn)化的趨勢以及數(shù)字化業(yè)務(wù)帶來的安全剛需，都讓政企客戶開始迅速接受攻擊面管理這一概念，速度之快超過了以往其他IT新技術(shù)。

一個(gè)明顯的信號(hào)是，越來越多的企業(yè)用戶招標(biāo)文件中出現(xiàn)了“攻擊面”、“暴露面收斂”等詞匯。

2023年5月1日正式實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》，更是明確提出了收斂暴露面等主動(dòng)防御要求，進(jìn)一步推動(dòng)需求由事件型驅(qū)動(dòng)向合規(guī)驅(qū)動(dòng)轉(zhuǎn)變。

在全球安全技術(shù)趨勢演進(jìn)和國內(nèi)安全環(huán)境的雙重推動(dòng)下，華云安在短短2年內(nèi)就形成了涵蓋網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、外部攻擊面管理（EASM）、入侵和攻擊模擬（BAS）三大典型場景的攻擊面管理閉環(huán)方法論，并從CAASM、EASM、BAS三個(gè)維度推出了攻擊者面管理的完整解決方案。

與傳統(tǒng)安全運(yùn)營模式相比，華云安攻擊面管理方案最大的不同，在于從攻擊者視角出發(fā)，重新定義了數(shù)字化時(shí)代的資產(chǎn)管理、漏洞管理、情報(bào)協(xié)同和響應(yīng)處置。

例如，在資產(chǎn)管理方面，除了已知資產(chǎn)，華云安攻擊面管理更關(guān)心未知資產(chǎn)，包括影子資產(chǎn)、惡意資產(chǎn)、供應(yīng)鏈資產(chǎn)等。

在漏洞和攻擊面檢測方面，華云安除了關(guān)注傳統(tǒng)漏洞，還包含配置缺陷、不當(dāng)權(quán)限、泄漏數(shù)據(jù)、過期證書、釣魚網(wǎng)站、供應(yīng)鏈漏洞等，通過漏洞管理閉環(huán)的方式縮小攻擊面。

在漏洞修復(fù)上，華云安幫助用戶識(shí)別真正高危的漏洞風(fēng)險(xiǎn)，將精力聚焦在有價(jià)值的漏洞修復(fù)上。

在情報(bào)方面，華云安創(chuàng)新性地將國家監(jiān)管的情報(bào)、實(shí)時(shí)漏洞情報(bào)和擴(kuò)展安全情報(bào)聚合，提升早期威脅預(yù)警能力，縮短威脅的檢測和響應(yīng)時(shí)間。

在響應(yīng)方面，華云安消除在復(fù)雜網(wǎng)絡(luò)環(huán)境中管理數(shù)千甚至上萬臺(tái)設(shè)備的復(fù)雜性，并創(chuàng)新性地采用自定義流程、SOAR集成和第三方API，簡化自動(dòng)化響應(yīng)的工作流，提高響應(yīng)速度與效率。

憑借顛覆性的創(chuàng)新技術(shù)和出色的實(shí)戰(zhàn)驗(yàn)證效果，即使在2022年疫情影響最嚴(yán)峻的一年，華云安也依然憑借攻擊面管理解決方案的核心產(chǎn)品，在各個(gè)關(guān)基單位（能源、電力、央企、金融）獲得了非常多的成功案例。

華云安：既要“看見”安全還要持續(xù)驗(yàn)證

如果說2022年，華云安發(fā)布了以攻擊者視角構(gòu)建的攻擊面管理整體解決方案，那么2023年，華云安進(jìn)一步延伸了攻擊面管理的涵義。

在SecOps 2023大會(huì)上，華云安創(chuàng)始人兼CEO沈傳寶提出了“看見安全，持續(xù)驗(yàn)證”的新觀點(diǎn)。

華云安創(chuàng)始人兼CEO 沈傳寶

沈傳寶認(rèn)為，在數(shù)字化時(shí)代，網(wǎng)絡(luò)安全必須被“看見”才安全；同時(shí)，安全防御的有效性也需要被“持續(xù)驗(yàn)證”，才能夠真正提升網(wǎng)絡(luò)安全防御能力。

那么問題來了，安全真的可以被看見嗎？安全的有效性又該如何被持續(xù)驗(yàn)證？

據(jù)沈傳寶介紹，在過去一年里，華云安參加了百余場攻防演練活動(dòng)，涉及十多個(gè)重要行業(yè)的關(guān)基單位，梳理了30萬以上的外部互聯(lián)網(wǎng)資產(chǎn)，發(fā)現(xiàn)有相當(dāng)大比例的資產(chǎn)和漏洞不在這些關(guān)基單位的視野范圍內(nèi)。

因此，安全必須被看見，一是安全保護(hù)的目標(biāo)需要被看見，二是安全防御的效果需要被看見。

關(guān)于如何看見安全，華云安有一套完整的方法論和配套產(chǎn)品體系。

首先是靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)（Ai·Vul）。

靈洞整合了攻擊者視角信息和防御者視角信息，讓用戶先于攻擊者“看見”數(shù)字化攻擊手段和攻擊路徑，并采取針對(duì)性措施進(jìn)行高效敏捷響應(yīng)，幫助企業(yè)降低被攻擊的可能性。

例如，在漏洞管理方面，靈洞支持配置缺陷、不當(dāng)權(quán)限、泄漏數(shù)據(jù)、過期證書、釣魚網(wǎng)站、供應(yīng)鏈漏洞等6類漏洞類型，能夠分析弱點(diǎn)可能產(chǎn)生的風(fēng)險(xiǎn)情況，識(shí)別弱點(diǎn)優(yōu)先級(jí)，自動(dòng)化進(jìn)行標(biāo)記和生命周期跟蹤。

在資產(chǎn)管理方面，靈洞能夠提供更為全面的資產(chǎn)分類，可覆蓋的資產(chǎn)涵蓋主機(jī)資產(chǎn)、WEB資產(chǎn)、IoT資產(chǎn)、容器集群資產(chǎn)的4大類信息資產(chǎn)，以及對(duì)應(yīng)如API、數(shù)字暴露面等18種數(shù)字資產(chǎn)，并通過支持知識(shí)圖譜技術(shù)對(duì)無主資產(chǎn)、僵尸資產(chǎn)、影子資產(chǎn)等5種資產(chǎn)進(jìn)行標(biāo)記和可視化呈現(xiàn)。

在情報(bào)方面，靈洞采用了全新的擴(kuò)展威脅情報(bào)（XTI）技術(shù)，結(jié)合傳統(tǒng)威脅情報(bào)和目前已積累10億多條漏洞數(shù)據(jù)、超過50億的實(shí)體和關(guān)系模型，這些數(shù)據(jù)在實(shí)現(xiàn)監(jiān)管和行業(yè)打通、與外部攻擊面的視角關(guān)聯(lián)、攻擊面的實(shí)時(shí)響應(yīng)方面，發(fā)揮了尤為重要的作用。

其次是靈知·互聯(lián)網(wǎng)情報(bào)監(jiān)測預(yù)警中心（Ai·Radar）。

基于華云安知識(shí)圖譜的安全風(fēng)險(xiǎn)庫、基于企業(yè)暴露面數(shù)據(jù)源、托管服務(wù)及安全服務(wù)三類數(shù)據(jù)源，靈知以攻擊者思維定向梳理、發(fā)現(xiàn)企業(yè)未知資產(chǎn)暴露面及脆弱性，形成具有即時(shí)性、可定位性、可追溯性的暴露面測繪圖，讓企業(yè)持續(xù)“看見”網(wǎng)絡(luò)安全態(tài)勢，實(shí)現(xiàn)從“被動(dòng)防御”向“主動(dòng)防御”的進(jìn)階。

當(dāng)然，僅僅實(shí)現(xiàn)“看見”安全還不夠，安全防御是否真的起到了效果，同樣需要被驗(yàn)證。沈傳寶認(rèn)為，安全驗(yàn)證是未來必然發(fā)生的方向。

這與Gartner在“2023年9大主要網(wǎng)絡(luò)安全趨勢”中提到的安全驗(yàn)證趨勢不謀而合。Gartner認(rèn)為，“到2026年，超過40%的組織（包括三分之二的中型企業(yè)）將依靠整合平臺(tái)來運(yùn)行安全驗(yàn)證評(píng)估。”

那么站在攻擊者視角，應(yīng)該如何做好網(wǎng)絡(luò)安全防御體系的持續(xù)驗(yàn)證？華云安將其劃分為5個(gè)方面：

第一，安全攻擊面驗(yàn)證，攻擊面評(píng)估包括資產(chǎn)可見性、錯(cuò)誤配置、補(bǔ)丁修復(fù)等，從攻擊者角度評(píng)估可利用的威脅。

第二，安全有效性驗(yàn)證，自動(dòng)化的評(píng)估現(xiàn)有安全控制措施是否可以檢測和阻止來自攻擊者的行為。

第三，安全一致性驗(yàn)證，持續(xù)的驗(yàn)證和評(píng)估安全工具配置分析、檢測效率以及對(duì)抗性的威脅模擬，發(fā)現(xiàn)問題并改進(jìn)。

第四，事件響應(yīng)效率，對(duì)事件響應(yīng)機(jī)制的及時(shí)性和有效性進(jìn)行評(píng)估，衡量檢測、調(diào)查和響應(yīng)的時(shí)間。

第五，安全成熟度改進(jìn)。詳細(xì)的驗(yàn)證評(píng)估結(jié)果呈現(xiàn)系統(tǒng)的優(yōu)勢和差距，幫助運(yùn)營方提升改進(jìn)安全能力。

沈傳寶表示，最終安全驗(yàn)證的目標(biāo)，一定是提供一套完整的、量化的方法，來評(píng)估企業(yè)安全風(fēng)險(xiǎn)的整體態(tài)勢。

在工具層面，Gartner將入侵和攻擊模擬（BAS）作為一項(xiàng)驗(yàn)證工具囊括在安全驗(yàn)證這一整體趨勢下。同樣，華云安也將其入侵與攻擊模擬產(chǎn)品——靈刃·智能滲透與攻擊模擬系統(tǒng)（Ai·Bot），作為安全持續(xù)驗(yàn)證的有力工具，提供安全能力的可視。

總體而言，華云安借助創(chuàng)新技術(shù)來“看見”復(fù)雜難測的數(shù)字資產(chǎn)，幫助企業(yè)實(shí)現(xiàn)對(duì)自身安全態(tài)勢的全面認(rèn)知，進(jìn)而審視自身弱點(diǎn)，驗(yàn)證安全防御的有效性，持續(xù)提升安全運(yùn)營能力。

技術(shù)與商業(yè)雙輪驅(qū)動(dòng) 華云安領(lǐng)跑“攻擊面管理”

隨著攻擊面管理概念的持續(xù)爆紅，這一賽道也出現(xiàn)了越來越多的競爭者。

據(jù)數(shù)說安全2023年發(fā)布的《攻擊面管理產(chǎn)品市場分析報(bào)告》顯示，國內(nèi)攻擊面管理市場廠商數(shù)量已達(dá)到20-30家，大多數(shù)廠商以資產(chǎn)測繪與管理、漏洞掃描與漏洞管理、威脅情報(bào)等作為核心能力，通過疊加微創(chuàng)新，參與市場競爭。

即便市場競爭激烈，華云安依然成為國內(nèi)唯一在攻擊面管理（ASM）和入侵和攻擊模擬（BAS） 雙領(lǐng)域入選Gartner《Hype Cycle for Security in China，2022》的代表廠商；并與國際漏洞管理頂級(jí)廠商Tenable、Qualys一起入選《Competitive Landscape: External Attack Surface Management》，被Gartner列為EASM全球代表性供應(yīng)商，充分凸顯了華云安在ASM與BAS方面的技術(shù)創(chuàng)新與最佳實(shí)踐的價(jià)值。

對(duì)一家創(chuàng)業(yè)公司而言，成立短短3年，卻能站在全球前沿安全技術(shù)之巔、領(lǐng)跑全國賽道，實(shí)屬不易。但仔細(xì)審視華云安的過去和現(xiàn)在，就能發(fā)現(xiàn)其成功自有道理。

首先，刻在骨子里的攻防基因。

華云安在正式創(chuàng)立前，其團(tuán)隊(duì)就常年服務(wù)于國家網(wǎng)絡(luò)安全相關(guān)主管部門，承擔(dān)了國家信息安全漏洞庫(CNNVD)下一代國家漏洞庫的漏洞采集、數(shù)據(jù)融合、漏洞分析等核心系統(tǒng)建設(shè)工作。

作為國家信息安全漏洞庫(CNNVD)技術(shù)支持單位，華云安原創(chuàng)漏洞報(bào)送量常年居于前列。

同時(shí)，華云安還是中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)攻防與應(yīng)急保障工作部的牽頭單位,團(tuán)隊(duì)曾多次參與“兩會(huì)”、北京教委、公安部等國家重大活動(dòng)的保障工作。

作為漏洞挖掘分析、攻防對(duì)抗出身的專業(yè)團(tuán)隊(duì)，華云安天生擁有攻防基因，提出攻擊者視角的攻擊面管理技術(shù)水到渠成，具備天然優(yōu)勢。

公司成立后常年參加實(shí)戰(zhàn)攻防演練，尤其每2022年百余場實(shí)戰(zhàn)攻防演練的戰(zhàn)績，也使得華云安積累了很多自動(dòng)化攻防、關(guān)鍵數(shù)據(jù)采集、自動(dòng)化檢測引擎的經(jīng)驗(yàn)和工具，這些能力能夠很好地轉(zhuǎn)化為攻擊面管理產(chǎn)品提供給政企客戶應(yīng)用。

其次，高占比的研發(fā)投入。

一家公司的研發(fā)投入，決定了其科技創(chuàng)新能力和核心競爭力。在攻擊面管理這一細(xì)分領(lǐng)域，華云安可謂是傾注全力，研發(fā)投入比例之高遠(yuǎn)勝于很多安全大廠。

據(jù)了解，華云安目前整個(gè)公司技術(shù)研發(fā)人員占比80%以上，多數(shù)核心團(tuán)隊(duì)成員曾任職于奇安信、深信服、綠盟、360等一線網(wǎng)絡(luò)安全企業(yè)。成立三年以來，華云安的研發(fā)投入還在持續(xù)攀升。

不僅如此，華云安還成立了兩大安全研究院，長期承擔(dān)國家級(jí)科研項(xiàng)目，開展攻防對(duì)抗、人工智能和知識(shí)圖譜等前沿技術(shù)研究，已經(jīng)取得多項(xiàng)技術(shù)創(chuàng)新成果，獲批多項(xiàng)相關(guān)專利，保持著其核心能力的領(lǐng)跑位置。

最后，技術(shù)和商業(yè)“兩條腿”走路。

在商業(yè)市場，技術(shù)的領(lǐng)先不一定代表商業(yè)成功，創(chuàng)業(yè)公司的成功往往依靠“兩條腿”走路，一是以技術(shù)為依托的創(chuàng)新能力，二是以商業(yè)為依托的創(chuàng)業(yè)能力。

面對(duì)中國網(wǎng)安市場上千家安全廠商碎片化的競爭，甚至是同質(zhì)化到“內(nèi)卷”的競爭，華云安核心競爭力的打造，正是依托了技術(shù)和商業(yè)模式的雙輪驅(qū)動(dòng)。

沈傳寶認(rèn)為，從短期看，核心競爭力一定來自攻防實(shí)力，只有在攻防一線才有可能真正的去掌握攻擊面管理的技術(shù)。從長期看，核心競爭力來自商業(yè)模式和技術(shù)投入兩方面。

在商業(yè)模式上，華云安打造了基于云原生的原子化安全能力平臺(tái)，以微服務(wù)的方式提供不斷迭代的安全能力。

平臺(tái)化架構(gòu)讓華云安的多個(gè)產(chǎn)品諸如資產(chǎn)管理、漏洞/弱點(diǎn)管理、情報(bào)預(yù)警、響應(yīng)中心等，既可以獨(dú)立提供各自的安全能力，也可以將原子化的安全能力編排成攻擊面管理的整體解決方案，實(shí)現(xiàn)了一個(gè)平臺(tái)覆蓋所有安全能力，快速構(gòu)建不同客戶具體應(yīng)用場景的解決方案。

這種平臺(tái)化能力，既能很好地解決當(dāng)前政企客戶面臨眾多產(chǎn)品難以抉擇、碎片化產(chǎn)品難以協(xié)同等問題，符合未來網(wǎng)安供應(yīng)商和平臺(tái)走向整合的大趨勢，也為華云安持續(xù)在平臺(tái)上增加不同的安全能力、構(gòu)建下一代數(shù)字安全防御體系打下了堅(jiān)實(shí)基礎(chǔ)，同時(shí)也為華云安未來不斷拓展商業(yè)版圖留下了非常大的想象空間。

在技術(shù)投入上，華云安作為作為國內(nèi)人工智能與網(wǎng)絡(luò)安全實(shí)踐的先行者，也開啟了對(duì)網(wǎng)絡(luò)安全大模型的研究。

在SecOps 2023大會(huì)上，華云安展示了AI大模型在攻擊面管理典型場景中的應(yīng)用：在擴(kuò)展威脅情報(bào)方面，通過對(duì)1day漏洞情報(bào)、敏感數(shù)據(jù)泄露情報(bào)分析，幫助企業(yè)快速感知情報(bào)價(jià)值，決斷響應(yīng)和修復(fù)；在智能攻防方面，基于大模型的語義理解和生成，將晦澀的攻防技術(shù)成果進(jìn)行易讀性文字總結(jié)，以及場景化驗(yàn)證腳本和思路生成，進(jìn)一步提高了安全運(yùn)營效率，縮小攻防信息差。

無論是平臺(tái)化還是AI大模型的能力，都需要大量投入和長期建設(shè)，但在華云安看來是“難而正確的事”，必須盡早開始并持續(xù)堅(jiān)持。

結(jié)語

攻擊面管理作為近幾年新涌現(xiàn)的技術(shù)，無論是在企業(yè)的最佳實(shí)踐層面還是方法論層面，都在不斷地迭代和演進(jìn)之中。

隨著數(shù)字化轉(zhuǎn)型的進(jìn)一步深入，基于攻擊者視角構(gòu)建新一代的數(shù)字資產(chǎn)攻擊面管理體系，將是數(shù)字時(shí)代下安全管理的必然選擇。

以華云安為代表的攻擊面管理廠商，在讓政企客戶看見安全、持續(xù)驗(yàn)證安全的同時(shí)，也在為構(gòu)建下一代的數(shù)字安全防御體系筑基拓土。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

審核編輯 黃宇