圖片來(lái)源@視覺(jué)中國(guó)

(資料圖)

網(wǎng)絡(luò)安全不是一個(gè)新興行業(yè)，但在不斷的攻防升級(jí)中，卻可以稱得上是變化最快的行業(yè)。

2010年前后，權(quán)小文決定下海創(chuàng)業(yè)，成立了盛邦安全。在創(chuàng)業(yè)的最開(kāi)始幾年，盛邦安全的主要業(yè)務(wù)聚焦在通用性應(yīng)用安全層面，產(chǎn)品主要包括漏洞掃描與檢測(cè)、應(yīng)用安全防御等。2015年之后，盛邦安全開(kāi)始進(jìn)入垂直行業(yè)，逐步將漏洞檢測(cè)、應(yīng)用防御、安全預(yù)警等產(chǎn)品打入了一些網(wǎng)信公安、教育、電力能源等行業(yè)客戶中。

直到近兩三年，網(wǎng)絡(luò)安全大數(shù)據(jù)開(kāi)始受到關(guān)注，也因?yàn)橛兄按罅康穆┒赐诰?、漏洞檢測(cè)等技術(shù)和經(jīng)驗(yàn)積累，權(quán)小文萌生了做網(wǎng)絡(luò)空間地圖的想法。作為網(wǎng)絡(luò)安全行業(yè)的老兵，在近日舉行的IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)（中國(guó)站）上，盛邦安全創(chuàng)始人權(quán)小文分享了關(guān)于利用網(wǎng)絡(luò)空間地圖構(gòu)建數(shù)字安全底圖的主題，并與鈦媒體App聊了聊，網(wǎng)絡(luò)空間坤輿圖那些事兒。

網(wǎng)絡(luò)空間坤輿圖與漏洞工程化

在物理世界內(nèi)，我們很容易判斷從中國(guó)到美國(guó)應(yīng)該采用何種路徑和交通工具，但如果在網(wǎng)絡(luò)空間中，我們應(yīng)該如何抵達(dá)呢？

“在網(wǎng)絡(luò)空間中，我們同樣需要一張地圖。舉一個(gè)例子，比如某大學(xué)，在各種物理地圖上，很容易判斷該大學(xué)位于哪里，大學(xué)內(nèi)有什么樣的建筑物，通過(guò)哪個(gè)道路進(jìn)去。但是在網(wǎng)絡(luò)空間內(nèi)看到的不是建筑物，而是位于網(wǎng)絡(luò)空間內(nèi)的承載該大學(xué)核心數(shù)據(jù)的服務(wù)器等資產(chǎn)。”權(quán)小文說(shuō)。

不同于網(wǎng)絡(luò)資產(chǎn)測(cè)繪，權(quán)小文認(rèn)為，網(wǎng)絡(luò)空間坤輿圖是數(shù)字政府、智慧城市等數(shù)字中國(guó)建設(shè)在虛擬空間中的呈現(xiàn)，是關(guān)鍵基礎(chǔ)設(shè)施“摸清家底”的基礎(chǔ)，是網(wǎng)絡(luò)安全“掛圖作戰(zhàn)”的底圖。

這個(gè)底圖具體是長(zhǎng)什么樣子？

權(quán)小文進(jìn)一步解釋稱該圖是對(duì)網(wǎng)絡(luò)空間萬(wàn)事萬(wàn)物的虛擬化呈現(xiàn)。它能呈現(xiàn)IT新架構(gòu)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)應(yīng)用的“邊界”和形態(tài)，精準(zhǔn)展現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)資產(chǎn)、供應(yīng)鏈關(guān)系等重要信息與數(shù)據(jù)。

當(dāng)前，盛邦安全依托十多年在漏洞挖掘方面的大數(shù)據(jù)積累，已經(jīng)擁有了一個(gè)超過(guò)18萬(wàn)條的漏洞庫(kù)并實(shí)時(shí)進(jìn)行更新，能夠動(dòng)態(tài)守護(hù)用戶單位的網(wǎng)絡(luò)空間資產(chǎn)安全。“網(wǎng)絡(luò)空間坤輿圖通過(guò)對(duì)網(wǎng)絡(luò)空間社會(huì)面、地理面和人文面的算法分析，幫助用戶從網(wǎng)絡(luò)空間全局的視角來(lái)審視和梳理整個(gè)網(wǎng)絡(luò)的安全域，形成精準(zhǔn)識(shí)別、精確防御、主動(dòng)防護(hù)的網(wǎng)絡(luò)安全保障體系。”權(quán)小文介紹。

網(wǎng)絡(luò)空間坤輿圖的產(chǎn)生，實(shí)際上正是盛邦安全漏洞工程化能力的一種體現(xiàn)。它是跳出漏洞發(fā)現(xiàn)、漏洞挖掘，對(duì)漏洞實(shí)現(xiàn)更高層次的復(fù)現(xiàn)、仿真并形成漏洞靶場(chǎng)的一種技術(shù)形式。將漏洞工程化之后，形成漏洞靶場(chǎng)，可以將漏洞批量處理，沉淀成漏洞監(jiān)測(cè)工具、漏洞管理工具甚至是網(wǎng)絡(luò)空間地圖。

“判斷一個(gè)漏洞檢測(cè)工具是不是好，可以把它拿到漏洞靶場(chǎng)，看是不是能夠檢測(cè)出問(wèn)題；另一方面，也可以在靶場(chǎng)中應(yīng)用漏洞，檢驗(yàn)防火墻是否能夠防得住。”權(quán)小文解釋說(shuō)。

網(wǎng)絡(luò)安全場(chǎng)景化不能自說(shuō)自話

漏洞工程化要與行業(yè)結(jié)合，進(jìn)入垂直行業(yè)，貼身服務(wù)行業(yè)客戶是必然選擇。

談及十多年的網(wǎng)絡(luò)安全創(chuàng)業(yè)經(jīng)歷，權(quán)小文感觸頗多。令他印象深刻的是2015、2016年前后，公司決定深入行業(yè)做場(chǎng)景安全時(shí)，他發(fā)現(xiàn)，做行業(yè)安全要面臨許多之前沒(méi)有預(yù)想過(guò)的挑戰(zhàn)。舉個(gè)簡(jiǎn)單的例子，行業(yè)客戶對(duì)于一些術(shù)語(yǔ)的認(rèn)知與網(wǎng)絡(luò)安全行業(yè)有很大不同。之前盛邦安全在做通用標(biāo)準(zhǔn)化產(chǎn)品時(shí)，都是按照國(guó)標(biāo)、行標(biāo)來(lái)做，但沒(méi)想到垂直行業(yè)對(duì)于術(shù)語(yǔ)的定義與理解是不同的，有些雖然沒(méi)有形成行業(yè)標(biāo)準(zhǔn)，但卻是約定俗成的。

“想做好行業(yè)場(chǎng)景安全，就要深入了解客戶的業(yè)務(wù)和真實(shí)需求。就拿‘預(yù)警’這個(gè)詞來(lái)說(shuō)，在網(wǎng)絡(luò)安全行業(yè)當(dāng)中，預(yù)警其實(shí)意味著‘監(jiān)測(cè)’，重點(diǎn)在于‘查’問(wèn)題；但是在行業(yè)客戶中，他們理解的‘預(yù)警’其實(shí)意味著‘防’，重點(diǎn)在于解決問(wèn)題。”權(quán)小文說(shuō)到。

后來(lái)，每當(dāng)公司要進(jìn)入一個(gè)新的行業(yè)，第一個(gè)動(dòng)作就是規(guī)范行業(yè)術(shù)語(yǔ)以及特定詞匯的定義，這是權(quán)小文從實(shí)踐中總結(jié)出來(lái)的辦法。

對(duì)于未來(lái)迅速迭代的網(wǎng)絡(luò)安全市場(chǎng)，權(quán)小文表示會(huì)把漏洞工程化能力繼續(xù)堅(jiān)持下去。他認(rèn)為，未來(lái)無(wú)論是物聯(lián)網(wǎng)、5G，還是是信創(chuàng)趨勢(shì)，其實(shí)本質(zhì)上都是基于HTTP協(xié)議的Web安全，漏洞工程化的思路也完全可以適配未來(lái)不斷變化的市場(chǎng)。正是這種技術(shù)創(chuàng)新能力和豐富的應(yīng)急響應(yīng)與安全治理經(jīng)驗(yàn)，權(quán)小文本人入選“中國(guó)CSO名人堂(十大人物)”。同時(shí)，他所率領(lǐng)的盛邦安全團(tuán)隊(duì)，憑借在API領(lǐng)域的技術(shù)前瞻性與創(chuàng)新能力，入選《IDC TechScape: 中國(guó)數(shù)據(jù)安全技術(shù)發(fā)展路線圖,2022》報(bào)告API領(lǐng)域的推薦廠商。

回看網(wǎng)絡(luò)安全行業(yè)，不同的網(wǎng)絡(luò)安全廠商都會(huì)選擇不同的技術(shù)路線做出各式各樣的網(wǎng)絡(luò)安全產(chǎn)品，權(quán)小文把這比喻為一場(chǎng)類似珠穆朗瑪峰的爬坡。“都是上珠峰，有人會(huì)選擇南坡，有人則會(huì)選擇北坡。理念不同，路線沒(méi)有對(duì)錯(cuò)，只是恰好，盛邦選擇了用漏洞工程化為代表的核心技術(shù)能力繪制網(wǎng)絡(luò)空間地圖這樣一條更難的路而已。”權(quán)小文表示。（本文首發(fā)鈦媒體APP 作者 | 秦聰慧）

更多精彩內(nèi)容，關(guān)注鈦媒體微信號(hào)（ID：taimeiti），或者下載鈦媒體App

關(guān)鍵詞： 挖掘漏洞十幾年 他們繪制了一份網(wǎng)絡(luò)空間地圖