“安全風(fēng)險(xiǎn)是否存在”并不是一個(gè)問題

　　因?yàn)樗S時(shí)都有可能發(fā)生

　　對話伊始，主持人張毅依然還是從較為宏觀的視角與嘉賓一同就當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展如火如荼的背景之下，網(wǎng)絡(luò)安全在發(fā)展趨勢方面呈現(xiàn)出怎樣的特點(diǎn)這一話題展開探討。

　　融通開源數(shù)據(jù)研究院院長文仲慧表示，從學(xué)術(shù)的角度看，網(wǎng)絡(luò)安全其實(shí)同信息安全和網(wǎng)絡(luò)空間安全有所不同，但從應(yīng)用的角度看，現(xiàn)在普遍用“網(wǎng)絡(luò)安全”一詞來統(tǒng)稱概括這三者。結(jié)合網(wǎng)絡(luò)活動本身的特點(diǎn)，文仲慧對當(dāng)前網(wǎng)絡(luò)安全形勢的特點(diǎn)歸納為以下4點(diǎn)：

　　01 戰(zhàn)時(shí)、平時(shí)不分

　　02 軍用、民用不分

　　03 硬傷、軟傷不分

　　04 顯性、隱性不分

　　總體而言，由于網(wǎng)絡(luò)活動具有著不受時(shí)間、地點(diǎn)約束且應(yīng)用廣泛的特點(diǎn)，上述所談?wù)摰?點(diǎn)之中的因素在彼此之間已經(jīng)很難區(qū)分，也由此給當(dāng)前的網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。其中第3點(diǎn)所談的硬傷、軟傷，則主要從物理或硬件層面的損傷及虛擬或軟件層面的損傷兩個(gè)維度去看待安全的重要性，文仲慧表示，硬件層面的損傷大多都可以計(jì)算出具體的損失，但軟件層面的損傷卻難以計(jì)算，從這個(gè)角度看，時(shí)刻保證網(wǎng)絡(luò)安全在當(dāng)前數(shù)字經(jīng)濟(jì)時(shí)代下，是重中之重的事情，同時(shí)，安全也須做到時(shí)刻守護(hù)而容不得一絲放松。

　　楊雷對文仲慧所表達(dá)的觀點(diǎn)表示非常認(rèn)同，尤其是在戰(zhàn)時(shí)、平時(shí)不分這一點(diǎn)上，他也結(jié)合自身的體會進(jìn)行了一些分享。楊雷表示，現(xiàn)在的安全是在原有的合規(guī)基礎(chǔ)之上增加了一層內(nèi)涵。在2016年以前，絕大部分用戶在做安全時(shí)普遍會按照標(biāo)準(zhǔn)化的方式去建設(shè)，以垂直分層、水平分區(qū)這一思路去購買諸多安全設(shè)備等等。而在現(xiàn)在，用戶在購買設(shè)備的同時(shí)，還會去關(guān)注如何將設(shè)備利用好。之所以會有這種變化，正是由于網(wǎng)絡(luò)安全具有常態(tài)化、碎片化的特點(diǎn)，再加上攻防雙方之間彼此對抗的過程具有動態(tài)化的特點(diǎn)，因此“安全風(fēng)險(xiǎn)是否存在”并不是一個(gè)問題，因?yàn)樗S時(shí)都有可能發(fā)生。

　　如果說早年間還可以通過以合規(guī)的方式去進(jìn)行安全建設(shè)，那么現(xiàn)在無疑是不夠的，因?yàn)樗y以滿足現(xiàn)狀所需，需要采用新的思維方式、新的技術(shù)手段去解決安全問題，在楊雷看來，用戶現(xiàn)在也開始意識到這一點(diǎn)，因?yàn)樵絹碓蕉嗟挠脩舳奸_始以體系化而非單一化的思維去考慮安全問題，這也是用戶層面近幾年表現(xiàn)較為突出的變化之一。

　　結(jié)合前面兩位嘉賓的發(fā)言，金飛則從云科安信所專注的攻擊面管理角度繼續(xù)延續(xù)這一話題，他表示，在全球化、數(shù)字化的背景下，數(shù)字資產(chǎn)邊界已遠(yuǎn)遠(yuǎn)超出我們所想象的范圍，與此同時(shí)，在我國當(dāng)前的經(jīng)濟(jì)規(guī)模不斷增長、經(jīng)濟(jì)總量占世界經(jīng)濟(jì)比重也越來越高的情況下，就會成為某些國家或某些利益的斗爭面，因此總體來看，無論是科技的發(fā)展還是國際形勢的變化，我們當(dāng)前所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)肯定要比十年前更多?！凹热徽w環(huán)境已然如此，那么與之相匹配的，是必須提高我們的防御能力?！苯痫w表示，“如果說以往做信息安全重在建設(shè)本身，也就是建設(shè)者視圖的角度，而網(wǎng)絡(luò)安全呈現(xiàn)高頻對抗特點(diǎn)的當(dāng)前，則需要從另一個(gè)視角去提升自身的安全能力，在我看來，攻擊面管理恰恰是能夠以一個(gè)攻擊者視圖的角度去幫助我們做到這一點(diǎn)。”

　　OSINT-ASM

　　將原有攻擊面管理概念進(jìn)一步延展

　　?安全419注意到，在2022年8月的ISC2022大會上，云科安信發(fā)布OSINT-ASM開源情報(bào)攻擊面管理的概念，而在本期《暢聊安全》節(jié)目中，恰好與此相關(guān)的雙方都有嘉賓到場，主持人張毅也圍繞OSINT-ASM（開源情報(bào)攻擊面管理）到底是怎樣的概念等相關(guān)話題與和位嘉賓展開了探討。

　　金飛表示，現(xiàn)在的網(wǎng)絡(luò)攻擊之所以細(xì)粒度高，是在于它攻擊的目標(biāo)開始多元化，以往可能只會對數(shù)字資產(chǎn)進(jìn)行有針對性的攻擊，現(xiàn)在則還會將使用數(shù)字資產(chǎn)的人也同樣作為攻擊目標(biāo)，并且將其作為一個(gè)非常重要的切入點(diǎn)。在他看來，數(shù)字資產(chǎn)中出現(xiàn)漏洞、風(fēng)險(xiǎn)的頻率雖然不會比人更高，但人也許會成為放大劑、催化劑，“假設(shè)有1條攻擊路徑被確認(rèn)，后面有1萬個(gè)人在使用這條攻擊路徑，那么對我們而言，它不是1條攻擊路徑，而是1萬條?！苯痫w介紹道，“如果某些熱衷于在社交媒體或其他平臺分享信息的員工，掌握著公司的重要資產(chǎn)，那么該員工個(gè)人在互聯(lián)網(wǎng)上的這些暴露面也許就會對公司形成巨大的安全隱患，如果他的電腦被控制，相關(guān)權(quán)限被攻擊者獲取，那么后果不堪設(shè)想?！?/span>

　　通過上述闡述，大家不難想到經(jīng)常說的社會工程學(xué)（簡稱社工），金飛認(rèn)為，社工實(shí)際上只提供了一種方法論，并未與攻擊完全相融合，而云科安信所提出的OSINT-ASM概念則相當(dāng)于以一種遞歸篩選的方式去確定數(shù)字資產(chǎn)的邊界，隨后在這一邊界內(nèi)尋到數(shù)字資產(chǎn)的使用者，并進(jìn)一步找出其中安全意識最淺薄的那群人，并將其與最危急的漏洞相關(guān)聯(lián)，以發(fā)現(xiàn)最有效路徑。事實(shí)上，OSINT-ASM本身并非是原有攻擊面概念所包含的內(nèi)容，但云科安信的做法則是在基礎(chǔ)之上做進(jìn)一步的豐富，從某種角度上看，這也是一種創(chuàng)新性的做法。

　　談到融通開源數(shù)據(jù)研究院與云科安信之間在OSINT-ASM方面的合作時(shí)，文仲慧介紹道，開源網(wǎng)絡(luò)情報(bào)意指從網(wǎng)絡(luò)空間中公開來源信息中所獲取的情報(bào)，它既可以作為一個(gè)獨(dú)立的分支去運(yùn)作，也可以作為其他系統(tǒng)的補(bǔ)充和支持，融通開源數(shù)研院則是在這兩方面均與云科安信有著較為深入的合作，在研究和落地兩方面以相互賦能的方式實(shí)現(xiàn)相互促進(jìn)，進(jìn)而得以讓開源網(wǎng)絡(luò)情報(bào)發(fā)揮出在實(shí)踐中發(fā)揮出更大價(jià)值和更好效果。

　　攻和防相當(dāng)于硬幣兩面

　　只有兩者面積相同時(shí)才是最佳狀態(tài)

　　近些年來，安全這件事情本身同以往相比發(fā)生了很大的變化，如我們開始更多去談從傳統(tǒng)的被動防御到現(xiàn)在的主動防御，從合規(guī)建設(shè)到現(xiàn)在的強(qiáng)調(diào)實(shí)戰(zhàn)能力等等，但歸根到底，目的還是為了抵御網(wǎng)絡(luò)上這些攻擊者發(fā)起的攻擊，對于用戶來說，如果能夠?qū)⒎烙M可能地前置，那么相對也會提升防御成功的概率，大幅降低甚至規(guī)避這些攻擊以及相關(guān)損失。

　　說到主動防御這一話題，金飛也分享了自己的一些觀察和思考，其中重要一點(diǎn)則在于此前安全行業(yè)內(nèi)很多企業(yè)都是相對專注于攻、防一端的，如做攻的不會去防，反之亦如此?！拔覀冋J(rèn)為，攻和防相當(dāng)于硬幣兩面 只有兩者面積相同時(shí)才是最佳狀態(tài)?！苯痫w闡述道，攻擊能力強(qiáng)而防御能力弱，意味著你只能做一個(gè)發(fā)現(xiàn)問題的吹哨人，因?yàn)槟銦o法解決問題。但反過來看，防御能力是需要攻擊來驗(yàn)證的，如果不具備強(qiáng)大的攻擊能力，又何談強(qiáng)大的防御能力呢？“我們有一個(gè)理念叫做能攻者擅守，一個(gè)合格的攻擊者或防御者就和硬幣兩面一樣，一定是相稱的。攻擊面管理從實(shí)戰(zhàn)角度來講，？？它類似于一個(gè)非常強(qiáng)悍的狙擊手，但是能夠干掉一個(gè)狙擊手的總會是另外一個(gè)狙擊手?！?/span>

　　的確，攻、防這兩個(gè)能力之間應(yīng)可以是相互聯(lián)動的，既是相互升級的過程，也是同步遞進(jìn)的過程，且兩者能力最好可以在一個(gè)最小場景中實(shí)現(xiàn)閉環(huán)且互相驅(qū)動，而云科安信的做法則是在通過SaaS化的方式，實(shí)現(xiàn)攻、防兩大能力的相互調(diào)用，從而在幫助用戶發(fā)現(xiàn)問題的同時(shí)，還能幫助用戶解決問題。

　　楊雷認(rèn)為，主動防御和攻擊面管理的內(nèi)涵是高度一致的，所倡導(dǎo)的都是攻防兼?zhèn)溥@一理念。具體到主動防御概念本身，他結(jié)合神州金橋多年來為企業(yè)用戶提供服務(wù)的落地經(jīng)驗(yàn)和心得，從兩個(gè)維度進(jìn)行了分享：

　　● 一是要真正做好網(wǎng)絡(luò)安全意識的整體提升。在楊雷看來，這對于企業(yè)提升整體的主動防御能力非常重要，而且應(yīng)覆蓋到企業(yè)的所有人，以盡可能地降低某一個(gè)人成為企業(yè)攻擊面弱點(diǎn)的可能性。

　　● 二是要真正地從攻和防兩個(gè)角度去看安全。楊雷在這里再一次強(qiáng)調(diào)要以體系化而非單一化的思維去看待安全，單一視角下的安全建設(shè)必然難以很好地應(yīng)對當(dāng)前的復(fù)雜安全形勢，而如果真正理解了攻防理念，那么對于如何做好安全建設(shè)將會有清晰的方向，比如通過尋找相關(guān)的優(yōu)秀工具、專業(yè)團(tuán)隊(duì)及服務(wù)等，從而有效地提升整體安全水平。

　　攻擊面管理獨(dú)自撐起一個(gè)市場很難

　　攻防一體、互為閉環(huán)的解決方案或是最佳答案

　　作為2022年網(wǎng)絡(luò)安全行業(yè)最火熱的賽道之一，攻擊面管理所包含的內(nèi)容本身并不算是新興事物，但它作為一個(gè)多技術(shù)、多能力融合的概念被提出，仍讓人眼前一亮，但無論如何，它終歸還是要面對一個(gè)巨大的挑戰(zhàn)，用主持人張毅的話說，就是它能否獨(dú)自撐起一個(gè)市場，也就是獨(dú)立于其他領(lǐng)域的攻擊面管理市場。

　　在金飛看來，要想說服一個(gè)企業(yè)去購買網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品或服務(wù)，那么必須首要做的事情就是先驗(yàn)證風(fēng)險(xiǎn)的客觀存在，而且用戶的投入程度與所驗(yàn)證且客觀存在的風(fēng)險(xiǎn)范圍大小有著正相關(guān)的關(guān)系?！肮裘婀芾砟芊駟为?dú)去作為工具、產(chǎn)品或解決方案去銷售，我認(rèn)為沒有問題，但它最大的價(jià)值并不在這點(diǎn)錢，而是在于它教育了市場。”金飛談道，“從工具的角度看，攻擊面管理讓很多對于網(wǎng)絡(luò)安全沒有意識的人對于威脅、風(fēng)險(xiǎn)客觀存在這一事實(shí)有了清晰的認(rèn)知?！?/span>

　　“安全行業(yè)有一個(gè)特征，用一個(gè)有趣的比喻就是‘說服你的最好方法就是先把你打倒然后再扶你起來?！苯痫w笑著說道，“再簡單點(diǎn)就是能動手就別開口。”的確，安全企業(yè)在和用戶溝通時(shí)，很多時(shí)候都會遇到這邊苦口婆心，那邊卻無動于衷甚至抬杠的情況，如果通過攻擊面管理工具去將他們的潛在風(fēng)險(xiǎn)點(diǎn)全部展現(xiàn)到用戶眼前，很有可能就會徹底扭轉(zhuǎn)這一局面。

　　由此不難看出，攻擊面管理的確是一個(gè)有效挖掘網(wǎng)絡(luò)安全行業(yè)需求的系統(tǒng)化工具，幾乎可以和任何一個(gè)細(xì)分的安全領(lǐng)域進(jìn)行結(jié)合，如供應(yīng)鏈安全領(lǐng)域、工控安全領(lǐng)域、物聯(lián)網(wǎng)安全領(lǐng)域等等?！笆聦?shí)上，攻擊面管理可以與任何一個(gè)數(shù)字資產(chǎn)的領(lǐng)域銜接，而且一旦銜接就會產(chǎn)生一個(gè)全新的場景，我認(rèn)為這就是它的意義所在?！钡痫w也坦承，如果單純依靠銷售攻擊面管理的產(chǎn)品或解決方案，如果試圖通過這一單一業(yè)務(wù)去支撐起擁有一定規(guī)模的企業(yè)仍比較難。以云科安信為例，他們一直堅(jiān)持以SaaS化模式為用戶提供攻防一體、互為閉環(huán)的攻擊面管理解決方案，在和客戶的初期溝通過程中，SaaS化的攻擊面管理工具可以做到在現(xiàn)場取得客戶授權(quán)后馬上就能查出客戶所存在的安全風(fēng)險(xiǎn)點(diǎn)，金飛表示，這一特點(diǎn)對于提升銷售成功率有著很大的幫助，更值得一提的是，客戶對攻、防兩端的產(chǎn)品和服務(wù)往往都會選購。

　　楊雷表示，一個(gè)新興的安全概念，往往是由研究機(jī)構(gòu)經(jīng)過調(diào)研而產(chǎn)生的，對一些行業(yè)或領(lǐng)域在解決安全問題方面給出了理論指導(dǎo)，有著引領(lǐng)的作用，接下來，就需要去結(jié)合用戶的場景和需求，將概念逐一拆解細(xì)分，力爭每一個(gè)點(diǎn)都做得足夠優(yōu)秀，能夠幫助用戶去解決實(shí)際的安全問題?！叭绻患夜究梢詫⒁粋€(gè)新的理念或概念下的點(diǎn)都做出來且做得很好，那么對于我們神州新橋這樣的公司而言就會非常樂意去用，因?yàn)樗龅迷胶?，就意味著對于相關(guān)人員的能力水平要求不再那么高，而且還能夠給客戶以更好的服務(wù)?！睏罾渍f道，一是安全企業(yè)的產(chǎn)品做得好能夠賣得出去，二是這樣的產(chǎn)品可為包括神州新橋在內(nèi)的服務(wù)提供商在保證效果的同時(shí)提高效率，三是能夠真正幫助用戶解決問題，這就相當(dāng)于實(shí)現(xiàn)了三贏，對于市場無疑將會是巨大的促進(jìn)，但在這之中，對安全企業(yè)的要求是非常高的。

　　“三贏是一個(gè)最佳結(jié)果，安全企業(yè)首先要在一個(gè)點(diǎn)上做的足夠優(yōu)秀，其后是自身能力在未來要進(jìn)一步延展，因?yàn)殡S著環(huán)境的變化以及時(shí)間的推移，客戶的需求也會發(fā)生變化，如果安全企業(yè)不能跟上步伐，那么所面對的只能是淘汰的結(jié)局。需要說明的是，這種淘汰并不是客戶層面的人為淘汰，而是一種不努力的淘汰?！睏罾钻U述道。

　　針對這個(gè)話題，張毅也分享了自己的觀點(diǎn)，那就是對于包括攻擊面管理在內(nèi)的任何安全行業(yè)新興賽道而言，都需要經(jīng)歷一個(gè)從新興到成熟的過程，由于攻擊面管理當(dāng)前在國內(nèi)仍處在一個(gè)相對早期的階段，因此這個(gè)賽道的玩家目前普遍仍在不斷提升自己核心能力，同時(shí)也積極地去探索、實(shí)踐，雖然距離市場的成熟仍還有很長的一段路要走，但其前景仍值得期待。

　　在節(jié)目的最后，張毅進(jìn)一步總結(jié)道，攻擊面管理本身并不算新，它是將以往所有相關(guān)的經(jīng)驗(yàn)進(jìn)行匯總和沉淀，最終形成了一條獨(dú)立的新賽道，而一條賽道的興起，一方面需要更多參與其中的從業(yè)者不斷創(chuàng)新，另一方面也要走出適合自己的路。以我國攻擊面管理領(lǐng)域來看，目前參與者雖然還不是很多，但專業(yè)廠商已呈現(xiàn)出增長的態(tài)勢，而且綜合型廠商也開始積極關(guān)注這一領(lǐng)域，在這一逐步發(fā)展壯大的過程當(dāng)中，安全419所接觸并了解到的這些廠商彼此之間都有著各自所擅長的點(diǎn)，可謂各有特色，這對于攻擊面管理在未來的發(fā)展無疑是有益的。只有當(dāng)所有參與者抱團(tuán)一起把攻擊面管理做成安全建設(shè)當(dāng)中非常重要的一環(huán)，那么像包括云科安信在內(nèi)的這些安全企業(yè)也會進(jìn)一步擴(kuò)大自己的生存空間，也才有可能令攻擊面管理形成自己獨(dú)立的市場。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<