本期受访嘉宾:华顺信安创始人兼CEO赵武、云科安信创始人兼CEO金飞、未岚科技创始人兼CEO王金成、零零信安创始人兼CEO王宇、华云安产品总监王超、魔方安全首席产品官陈达鑫。
1、在ASM技术出现之时,我们当初是怎么看待这一技术的?历经三年,现在我们如何评价该技术?
“攻击面管理概念就是为我们而生的。”华顺信安创始人兼CEO赵武认为,攻击面的评估与管理一定是需要通过实战来解决问题的,而实战化和工程化都是华顺信安擅长的能力。华顺信安成立于2015年,旗下网络空间资产测绘平台FOFA也是目前全球专业用户最常使用的资产测绘搜索引擎
赵武指出,网络空间测绘技术是华顺信安ASM产品体系的基座,属于发现暴露资产的重要手段,当前不论国内还是国外安全公司,都已将网络空间测绘技术运用在了攻击面管理领域。当前阶段谈及ASM技术赵武认为,ASM在当前中国市场竞争非常激烈,也充分地说明各家都在做该赛道的战略投入,攻击面管理赛道未来一定还会发生变革和融入更多的技术创新。
“切入ASM赛道,是网络安全攻防实战需求背景下的顺势而为。”云科安信创始人兼CEO金飞在采访中提到公司自身的实战攻防能力与ASM技术高度重合,所以先人一步锁定ASM赛道。2018年刚成立之时,云科安信依托自身攻防优势打造了一款能够快速构建的实战化、自动化、智能化的数字风险监测平台,从攻击者视角审视数字资产风险,进而帮助企业快速收敛攻击风险,反哺安全防御建设。
在调研机构的推动下ASM技术市场化热度持续高涨。在金飞看来,攻击面是一种很好的安全验证手段,ASM技术的出现也是完全符合网络安全攻防对抗的本质。金飞认为当前甲方与乙方对ASM技术的理解存在一定的差异,核心就是建设者视图和攻击者视图的区别。
金飞解释称,甲方通常是从安全建设需求,关注点是自身IT资产的安全性,而攻击面管理厂商理解的ASM范围更大,不仅仅限于数字资产风险,还包括生态风险、企业员工的互联网行为留痕,乃至存储的文档等等内容,应该是跨越N个企业管理边界的视图,真正从攻击者视角审视企业自身风险,这甚至已经超过了甲方认知的安全边界。
成立于2022年的未岚科技的主营业务就是攻击面管理,未岚科技创始人兼CEO王金成指出,当初未岚科技选择该赛道进入到CAASM细分领域,是因为过去企业的安全运营是以威胁为导向的被动式安全运营,也就是黑客进行了攻击之后,安全团队去监测、研判、处置黑客的攻击事件。ASM作为一套从黑客攻击视角下的主动防御理念和方法,就是帮助客户在黑客攻击之前能够发现黑客可利用的风险,尽早干预,从而降低攻击成功的机会。技术落地,从未岚科技业务方面来展现的话,其核心思想就是能够帮助客户能够实现主动安全运营。
“企业安全建设左移,实现主动防御是必然趋势,ASM又是安全运营中的左移部分,是未来发展的必然趋势。”王金成认为ASM将是安全运营工作的底座技术,其应用场景就像是人需要定期体检一样,应用到保护企业IT环境方面,ASM能够提供更主动的风险管理,这是随着经济和认知的发展,企业安全建设也有了大量基础之后的必然工作。
零零信安创始人兼CEO王宇将ASM技术认为是对多年来攻防技术方法论的一次清晰总结,其创立零零信安的初衷就是做实战攻防产品,而零零信安无论是技术还是产品都与ASM技术有着巧合性的同步。王宇指出,ASM技术所对应的CAASM和EASM是相辅相成的关系,零零信安专攻外部攻击面管理EASM细分领域,谈及技术的未来,从零零信安的商业化产品0.zone产品已经有数万工程师在使用的情况来看,ASM未来仍然是一个持续增量的市场。
华云安产品总监王超谈及ASM技术的出现认为,攻击面管理既是「对抗型防御」理念的落地实践,也是网络安全运营技术未来的发展趋势与代表性创新技术。在实际应用场景上,其观察与Gratner在《2022中国网络安全技术成熟度曲线》报告中提出的观察一致。在实网攻防演练活动推动下,安全体系逐步进入到由安全建设阶段到安全运营阶段转变。ASM恰好是安全运营的得力方法与工具,这一技术也是检验大量安全投入是否实现安全防护体系建设完备的必要手段。
华云安是国内最早聚焦于攻击面管理的网络安全公司之一,2021年提出攻击面管理的方法论,并推出攻击面管理产品解决方案,至2023年发布安全验证产品与服务体系,包括灵洞·网络资产攻击面管理Ai.Vul,灵知·互联网监测预警中心Ai.Radar,灵刃·智能渗透与攻击模拟Ai.Bot、渗透测试即服务、红队服务,三年以来不断深化CAASM、EASM、BAS核心能力,为客户带来深度挖掘与管理完整攻击面的能力。
在ASM经过三年的发展和实践之后,王超指出华云安也对攻击面管理技术有了更深入的理解。他们认为,攻击面管理不仅仅是一个工具或者平台,还应包含流程的建立、人员和制度的要求等等。在实际应用中,攻击面管理技术呈现出很高的灵活性和适用性,无论是对于中小型企业还是大型集团公司,攻击面管理技术都可以根据实际需求帮助客户自动化分析出潜在的系统脆弱性。
“得益于华云安基于云原生平台化的底层架构,我们可帮助不同需求的客户构造不同体量的解决方案,小到SaaS服务,大到集团总部-分支机构的情报平台+管理平台+多探针节点的攻击面管理模式,帮助多家企业实现了从检测到分析到响应的攻击面管理完整的闭环体系,并结合红队服务、产品运营服务在国家监管机构、金融、能源等关基行业取得突破。”王超介绍指出。
魔方安全首席产品官陈达鑫回顾魔方安全成长历程指出,ASM技术理念这个舶来品,在近年网络安全实战化大背景下在国内得到迅猛发展,但其实魔方安全早在2015年就推出了外部攻击面管理EASM平台的前身——“互联网风险监测平台”,并以SaaS化形态服务于多个行业用户及大型企业。因为长期的技术积累,其在金融、运营商、效能、教育等行业具有大批客户的具体实践经验。从技术本身来讲,攻击面管理技术的出现确实为企业提供了一种全新的安全防护视角,这一视角刚好与安全厂商的能力与甲方客户安全建设转变紧密地联系到了一起,所以ASM的技术理念是能被甲乙方双方认可的,有着巨大应用潜力。
其也强调称,过去3年,ASM技术理念在国内实现落地与探索的市场化过程中,针对不同行业的客户群体,攻击面管理必然要具备有行业属性,也将导致明显的产品市场区隔,但是3年后的今天,市场逐渐进入白热化竞争阶段。随着国内政策对于网络安全要求的不断提高,政策推动将使得更多的企业开始关注ASM技术,并考虑将其纳入自身的安全防护体系当中,市场将持续扩大,因此当前赛道的玩家也将越来越多。同时人工智能技术的快速发展和广泛应用,攻击面管理赛道将会迎来全新局面。
2、ASM技术的产品化挑战是什么?我们的相关ASM产品是否达到了我们自身也包括客户心目中的预期表现?
赵武将ASM技术的主要挑战归为技术挑战和认知挑战。在技术挑战方面,从攻击者视角来看企业的攻击面是动态且分散的,如何用最短的时间尽可能地发现和识别客户防御盲区则是技术商业化的核心挑战。据他介绍,华顺信安在这方面做了大量实践和研究,重点是针对组织规模较大和具有全球化业务的客户,将华顺信安的核心技术融入产品中,使其成为客户的“眼睛”,目前他们认为在这一方面的挑战和突破做得还不错。
在认知挑战方面,ASM概念刚刚出现之时,客户的认知不同会导致ASM产品化的方向产生差异。赵武指出,在华顺信安推广产品过程中需要不断和客户交流,以确保产品价值是否与客户认知相一致,其中难度颇大。而解决这一挑战,一方面是要更加了解客户的业务、深度洞察客户场景,另外就是自身技术和实践方面的不断积累。据介绍,华顺信安目前已经能够做到最快1小时内梳理出集团型企业的暴露面资产,加之近几年时间内其运用ASM产品与技术已经服务了几百家企业,产品化与客户预期也都达到了一个较高的水平。但他也强调,无论国内外企业,ASM技术的产品化仍然还有很长的路要走。
“SaaS化是ASM产品的最佳形态和模式之一。”金飞认为攻击面管理厂商通过SaaS化可以把安全服务和能力建设两个场景剥离开,安全厂商只需要不断提高产品风险验证的能力,就可以用SaaS化这种零部署的方式推送给客户,进而将持续安全验证的能力交付到客户手中,形成一个安全服务的闭环。截至目前,云科安信已通过SaaS化部署方案,为千余家B/G端客户提供攻击面管理产品与服务。
对于产品是否符合预期,金飞对此表示以白泽数字风险资产图鉴系统为代表的ASM产品是符合自身对攻击面管理理解的预期。在客户侧,云科安信的预期甚至可以覆盖客户对攻击面管理的理解和预期。金飞表示,安全建设不可能堵住所有漏洞,怎么用最少的投入实现最大的风险降低却是可追寻的目标,这就要我们用一种费效比的思维来实现攻击面管理价值的最大化,帮助客户最大限度的降低风险超出已知安全预期。
王金成指出,从技术路线上来看,ASM主要包含的EASM是一个工具或者服务,CAASM是一个运营平台,技术的具体落地各有不同挑战。对于EASM发现能力是其核心,其中的发现率和误报率问题是最大的挑战。CAASM则需要提供一个完整的视图,势必要从各种异构的数据源去采集数据,所以其数据采集处理能力有着很大的挑战,另外他还将同时扮演着运营平台的角色,所以要非常理解客户的运营场景,这种业务适配性也是一大挑战。
王金成提出了一个我们高度认同的观点,即尽管ASM技术市场化阶段走过了二到三年的时间,但与其他成熟的技术相比,这一发展时间其实还是非常短的。所以他认为,尽管当前市场上EASM和CAASM两大产线都在客户侧有了大量的落地,但距离客户的预期都存在着不同程度上的差距,但有一点可以确认的是,ASM已经可以帮助客户解决了大部分的痛点问题。
零零信安专注于ASM中的EASM部分,也就是外部攻击面,更多的是为企业提供泛数字资产暴露面情报信息。王宇认为在EASM领域产品化的最大挑战是,我国大部分客户仍然习惯于“交钥匙工程”,从情报信息到准确的、需要处理的事件之间存在一定差距,这个差距往往需要工程师手动完成。
在实际应用的场景当中,由于服务客户对象性质上的不同,对产品形态也有着不同的要求,有一部分只需要提供情报服务,但是在央国企类企业当中,这部分工作往往需要乙方提供安全服务,所以EASM会形成产品+服务的形式来交付,这正是产品化最大的挑战。所以在他看来,各项ASM的商业化产品仍然需要不停地去迭代升级,从而不断提升客户的心理预期。
华云安认为任何安全产品,最重要的是满足客户需求,所以对于ASM技术产品化的主要挑战,其重点体现在不同客户有着不同的安全成熟度方面,这也会带来不同的侧重思考,比如客户已经部署了很多的安全产品,ASM作为一种复合性技术,客户在进行购买部署时,ASM产品供应商重点需要思考如何兼容客户当前已有的产品生态,从而让客户的攻击面管理技术以一个较低的成本融入现有的安全运营和管理流程当中。华云安在这方面的做法是通过原子化微服务和图模型两个基础能力,从而满足其复合性技术在不同客户场景当中的灵活部署。
魔方安全认为尽管ASM技术在国内的应用前景广阔,但仍然存在一些挑战和问题需要解决。ASM产品化的难度来自:客户需求的多样、攻击面定义的宽泛、攻防技术的快速迭代。例如,如何根据国内不同客户的特点和需求进行技术场景提炼,以及如何与现有的安全防御体系进行有效的集成和协同等,确保客户能在不同的应用场景下都能获得最佳体验。魔方安全一方面自主提升新的技术与功能,也积极收集客户的反馈与建议,从而不断优化产品和用户体验,预期表现始终都在提升,技术本身同样也在不断升级。
3、是否仍对ASM技术未来抱有预期,当前技术和产品是否有调整,未来公司的技术方向是?
网安供需的基础逻辑未变,任何一项细分网安技术都有着其存在的固有价值。华顺信安创始人兼CEO赵武认为,在全球数字化转型以及人工智能加速应用的场景下,网络安全形势也愈发重要和复杂,这也为攻击面管理技术带来了更多的技术挑战与大量商业机会。
赵武认为网络空间测绘仍然会是ASM领域的基础技术,华顺信安也将会以这一核心引擎能力继续做深做稳。另外AI技术正在重塑网安产业,未来华顺信安也将会向人工智能与网络空间测绘深度融合的技术方向发展,从而为客户提供更强的攻击面管理能力。
金飞认为攻击面管理技术是有长期价值的,但单一的攻击面管理技术并不足以支撑起一个企业的业务闭环。安全厂商不能把所有产品和能力投入在攻击面领域,更要从攻防两端着手打造产品体系。攻击面管理是从「攻」的维度提前获悉风险信息,接下来就要从「防」的维度为客户输出安全解决方案,否则就会失去业务上的主动权。
“攻防是一个硬币的两面。”云科安信的优势在于同时拥有拦截解决攻击入侵的手段,并且「攻击手段」和「防御能力」可以在应用场景中互为驱动。如果只做「攻」就成了硬币的一面,就很有可能成了贩卖焦虑,没办法帮助客户解决安全的现实问题。所以说攻击面管理技术是有长期价值的,但完全依靠攻击面来形成一个商业闭环并不现实。
未岚科技创始人兼CEO王金成认为攻击面管理技术始终代表着一个正确的方向,其技术在未来的发展预期仍是积极的。“从客户侧我们能看到需求是非常普遍和刚性的,最近也有不少法律法规出台了一些对企业要做好攻击面管理相应的要求,需求是技术发展的底层支撑,有需求在,技术就会有好的发展。”
谈及未来王金成指出ASM技术的重点是帮助客户实现主动的安全运营,未岚科技的战略也一直没有变过,做好攻击面管理的前提是要管理好资产,未岚科技仍将以CAASM技术构建完整安全数字化资产全景视图为核心,当前也在积极地探索如何使用AI来赋能产品,从而将资产管理+运营管理高效协同到同一款产品当中,让客户在主动安全运营上更智能、更简单。
王宇强调指出,ASM的技术初衷是提供攻击者视角,攻击者视角不仅包含攻击前,也包含攻击后。基于以上两个角度,零零信安的技术方向不仅要为企业提供“事前”的暴露面情报,也要为企业提供“事后”数据泄露的监控和处置服务。在零零信安的SaaS平台https://0.zone系统中,DWM和AIM两个模块就是特意为“事后”监控和处置提供的功能。零零信安仍然看好ASM技术的长期价值,其在产品搭建方面将继续着重加强自身的情报属性和能力。
王超认为,攻击面技术和漏洞扫描等基础安全技术,均已成为企业当前不可或缺的安全建设诉求之一。当前华云安持续深化ASM+BAS核心能力在多场景多行业的应用,帮助企业构建一平台和多能力探针的安全体系,未来华云安通过图模型关系底层技术实现尽可能多的积累,从而全面应用在自身的CAASM、EASM、BAS产品里。
魔方安全首席产品官陈达鑫指出,国内外ASM市场热度仍在升温,市场仍在发展阶段。未来,攻击面管理将日益凸显其在企业安全防护体系中的核心地位,是所有企业安全的必做题。通过魔方安全多年客户实践来看,单纯依赖技术并不能很好应对复杂多变的网络安全挑战与复杂的用户场景,因此,“攻击面管理”可能逐渐演化为“攻击面运营”,未来将聚焦到攻击面的自动化、智能化、精细化运营上,这也是魔方安全重点的发展方向。其具体做法是通过优化技术平台、提升团队能力、加强合作与交流以及持续创新,从而为企业提供更贴心更舒心的管家式运营服务。
尾声.
企业拥抱数字化的速度越来越快,这也导致了大多数组织的网络资产数量和复杂性前所未有地增加。行业报告就指出,当前中大型企业当中,其平均运行着464个IT资产,集团性质企业运行的IT资产数量甚至数以万计,因此,了解资产的存在,了解它们的弱点,并发现它们可能被利用的方式是至关重要的。对应而言,攻击面管理技术的两大细分技术,一个解决内部,一个解决外部,他们都能以各自角度协助安全管理人员实时收敛潜在风险点,从而实现主动的安全运营,而不是基于流量的被动响应。
从本次多家ASM技术代表企业的联合专访来看,虽然各家厂商近年来有着不同的发展轨迹,业务规模也不尽相同,但他们统一对ASM技术的未来都抱有较高的预期,这种预期是建立在网安攻防本质这一基础逻辑之上,对应的是当甲方客户更加看中长期的安全运营所带来的安全能力,而不再是堆叠式的安全,ASM的产品和服务始终都会以一个正确的方向被行业和客户所重视。当然,这一过程中大家也都在解决着各自产品化过程中遇到的各种问题,这也将是一个持续的过程。