圖片來源@視覺中國

(資料圖)

網(wǎng)絡(luò)安全不是一個新興行業(yè)，但在不斷的攻防升級中，卻可以稱得上是變化最快的行業(yè)。

2010年前后，權(quán)小文決定下海創(chuàng)業(yè)，成立了盛邦安全。在創(chuàng)業(yè)的最開始幾年，盛邦安全的主要業(yè)務(wù)聚焦在通用性應(yīng)用安全層面，產(chǎn)品主要包括漏洞掃描與檢測、應(yīng)用安全防御等。2015年之后，盛邦安全開始進入垂直行業(yè)，逐步將漏洞檢測、應(yīng)用防御、安全預(yù)警等產(chǎn)品打入了一些網(wǎng)信公安、教育、電力能源等行業(yè)客戶中。

直到近兩三年，網(wǎng)絡(luò)安全大數(shù)據(jù)開始受到關(guān)注，也因為有之前大量的漏洞挖掘、漏洞檢測等技術(shù)和經(jīng)驗積累，權(quán)小文萌生了做網(wǎng)絡(luò)空間地圖的想法。作為網(wǎng)絡(luò)安全行業(yè)的老兵，在近日舉行的IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會（中國站）上，盛邦安全創(chuàng)始人權(quán)小文分享了關(guān)于利用網(wǎng)絡(luò)空間地圖構(gòu)建數(shù)字安全底圖的主題，并與鈦媒體App聊了聊，網(wǎng)絡(luò)空間坤輿圖那些事兒。

網(wǎng)絡(luò)空間坤輿圖與漏洞工程化

在物理世界內(nèi)，我們很容易判斷從中國到美國應(yīng)該采用何種路徑和交通工具，但如果在網(wǎng)絡(luò)空間中，我們應(yīng)該如何抵達呢？

“在網(wǎng)絡(luò)空間中，我們同樣需要一張地圖。舉一個例子，比如某大學(xué)，在各種物理地圖上，很容易判斷該大學(xué)位于哪里，大學(xué)內(nèi)有什么樣的建筑物，通過哪個道路進去。但是在網(wǎng)絡(luò)空間內(nèi)看到的不是建筑物，而是位于網(wǎng)絡(luò)空間內(nèi)的承載該大學(xué)核心數(shù)據(jù)的服務(wù)器等資產(chǎn)。”權(quán)小文說。

不同于網(wǎng)絡(luò)資產(chǎn)測繪，權(quán)小文認(rèn)為，網(wǎng)絡(luò)空間坤輿圖是數(shù)字政府、智慧城市等數(shù)字中國建設(shè)在虛擬空間中的呈現(xiàn)，是關(guān)鍵基礎(chǔ)設(shè)施“摸清家底”的基礎(chǔ)，是網(wǎng)絡(luò)安全“掛圖作戰(zhàn)”的底圖。

這個底圖具體是長什么樣子？

權(quán)小文進一步解釋稱該圖是對網(wǎng)絡(luò)空間萬事萬物的虛擬化呈現(xiàn)。它能呈現(xiàn)IT新架構(gòu)、云計算、移動互聯(lián)網(wǎng)等新技術(shù)應(yīng)用的“邊界”和形態(tài)，精準(zhǔn)展現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)資產(chǎn)、供應(yīng)鏈關(guān)系等重要信息與數(shù)據(jù)。

當(dāng)前，盛邦安全依托十多年在漏洞挖掘方面的大數(shù)據(jù)積累，已經(jīng)擁有了一個超過18萬條的漏洞庫并實時進行更新，能夠動態(tài)守護用戶單位的網(wǎng)絡(luò)空間資產(chǎn)安全。“網(wǎng)絡(luò)空間坤輿圖通過對網(wǎng)絡(luò)空間社會面、地理面和人文面的算法分析，幫助用戶從網(wǎng)絡(luò)空間全局的視角來審視和梳理整個網(wǎng)絡(luò)的安全域，形成精準(zhǔn)識別、精確防御、主動防護的網(wǎng)絡(luò)安全保障體系。”權(quán)小文介紹。

網(wǎng)絡(luò)空間坤輿圖的產(chǎn)生，實際上正是盛邦安全漏洞工程化能力的一種體現(xiàn)。它是跳出漏洞發(fā)現(xiàn)、漏洞挖掘，對漏洞實現(xiàn)更高層次的復(fù)現(xiàn)、仿真并形成漏洞靶場的一種技術(shù)形式。將漏洞工程化之后，形成漏洞靶場，可以將漏洞批量處理，沉淀成漏洞監(jiān)測工具、漏洞管理工具甚至是網(wǎng)絡(luò)空間地圖。

“判斷一個漏洞檢測工具是不是好，可以把它拿到漏洞靶場，看是不是能夠檢測出問題；另一方面，也可以在靶場中應(yīng)用漏洞，檢驗防火墻是否能夠防得住。”權(quán)小文解釋說。

網(wǎng)絡(luò)安全場景化不能自說自話

漏洞工程化要與行業(yè)結(jié)合，進入垂直行業(yè)，貼身服務(wù)行業(yè)客戶是必然選擇。

談及十多年的網(wǎng)絡(luò)安全創(chuàng)業(yè)經(jīng)歷，權(quán)小文感觸頗多。令他印象深刻的是2015、2016年前后，公司決定深入行業(yè)做場景安全時，他發(fā)現(xiàn)，做行業(yè)安全要面臨許多之前沒有預(yù)想過的挑戰(zhàn)。舉個簡單的例子，行業(yè)客戶對于一些術(shù)語的認(rèn)知與網(wǎng)絡(luò)安全行業(yè)有很大不同。之前盛邦安全在做通用標(biāo)準(zhǔn)化產(chǎn)品時，都是按照國標(biāo)、行標(biāo)來做，但沒想到垂直行業(yè)對于術(shù)語的定義與理解是不同的，有些雖然沒有形成行業(yè)標(biāo)準(zhǔn)，但卻是約定俗成的。

“想做好行業(yè)場景安全，就要深入了解客戶的業(yè)務(wù)和真實需求。就拿‘預(yù)警’這個詞來說，在網(wǎng)絡(luò)安全行業(yè)當(dāng)中，預(yù)警其實意味著‘監(jiān)測’，重點在于‘查’問題；但是在行業(yè)客戶中，他們理解的‘預(yù)警’其實意味著‘防’，重點在于解決問題。”權(quán)小文說到。

后來，每當(dāng)公司要進入一個新的行業(yè)，第一個動作就是規(guī)范行業(yè)術(shù)語以及特定詞匯的定義，這是權(quán)小文從實踐中總結(jié)出來的辦法。

對于未來迅速迭代的網(wǎng)絡(luò)安全市場，權(quán)小文表示會把漏洞工程化能力繼續(xù)堅持下去。他認(rèn)為，未來無論是物聯(lián)網(wǎng)、5G，還是是信創(chuàng)趨勢，其實本質(zhì)上都是基于HTTP協(xié)議的Web安全，漏洞工程化的思路也完全可以適配未來不斷變化的市場。正是這種技術(shù)創(chuàng)新能力和豐富的應(yīng)急響應(yīng)與安全治理經(jīng)驗，權(quán)小文本人入選“中國CSO名人堂(十大人物)”。同時，他所率領(lǐng)的盛邦安全團隊，憑借在API領(lǐng)域的技術(shù)前瞻性與創(chuàng)新能力，入選《IDC TechScape: 中國數(shù)據(jù)安全技術(shù)發(fā)展路線圖,2022》報告API領(lǐng)域的推薦廠商。

回看網(wǎng)絡(luò)安全行業(yè)，不同的網(wǎng)絡(luò)安全廠商都會選擇不同的技術(shù)路線做出各式各樣的網(wǎng)絡(luò)安全產(chǎn)品，權(quán)小文把這比喻為一場類似珠穆朗瑪峰的爬坡。“都是上珠峰，有人會選擇南坡，有人則會選擇北坡。理念不同，路線沒有對錯，只是恰好，盛邦選擇了用漏洞工程化為代表的核心技術(shù)能力繪制網(wǎng)絡(luò)空間地圖這樣一條更難的路而已。”權(quán)小文表示。（本文首發(fā)鈦媒體APP 作者 | 秦聰慧）

更多精彩內(nèi)容，關(guān)注鈦媒體微信號（ID：taimeiti），或者下載鈦媒體App

關(guān)鍵詞： 挖掘漏洞十幾年 他們繪制了一份網(wǎng)絡(luò)空間地圖