網(wǎng)絡(luò)安全不是一個(gè)新興行業(yè)��,但在不斷的攻防升級(jí)中��,卻可以稱得上是變化最快的行業(yè)����。
(資料圖)
2010年前后,權(quán)小文決定下海創(chuàng)業(yè)����,成立了盛邦安全。在創(chuàng)業(yè)的最開始幾年��,盛邦安全的主要業(yè)務(wù)聚焦在通用性應(yīng)用安全層面����,產(chǎn)品主要包括漏洞掃描與檢測(cè)��、應(yīng)用安全防御等��。2015年之后���,盛邦安全開始進(jìn)入垂直行業(yè),逐步將漏洞檢測(cè)���、應(yīng)用防御����、安全預(yù)警等產(chǎn)品打入了一些網(wǎng)信公安���、教育、電力能源等行業(yè)客戶中��。
直到近兩三年�����,網(wǎng)絡(luò)安全大數(shù)據(jù)開始受到關(guān)注�����,也因?yàn)橛兄按罅康穆┒赐诰颉⒙┒礄z測(cè)等技術(shù)和經(jīng)驗(yàn)積累����,權(quán)小文萌生了做網(wǎng)絡(luò)空間地圖的想法。作為網(wǎng)絡(luò)安全行業(yè)的老兵�,在近日舉行的IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)(中國站)上,盛邦安全創(chuàng)始人權(quán)小文分享了關(guān)于利用網(wǎng)絡(luò)空間地圖構(gòu)建數(shù)字安全底圖的主題����,并與鈦媒體App聊了聊,網(wǎng)絡(luò)空間坤輿圖那些事兒��。
網(wǎng)絡(luò)空間坤輿圖與漏洞工程化
在物理世界內(nèi)�,我們很容易判斷從中國到美國應(yīng)該采用何種路徑和交通工具,但如果在網(wǎng)絡(luò)空間中�,我們應(yīng)該如何抵達(dá)呢?
“在網(wǎng)絡(luò)空間中���,我們同樣需要一張地圖�����。舉一個(gè)例子����,比如某大學(xué),在各種物理地圖上���,很容易判斷該大學(xué)位于哪里��,大學(xué)內(nèi)有什么樣的建筑物��,通過哪個(gè)道路進(jìn)去��。但是在網(wǎng)絡(luò)空間內(nèi)看到的不是建筑物�����,而是位于網(wǎng)絡(luò)空間內(nèi)的承載該大學(xué)核心數(shù)據(jù)的服務(wù)器等資產(chǎn)�?��!睓?quán)小文說。
不同于網(wǎng)絡(luò)資產(chǎn)測(cè)繪�����,權(quán)小文認(rèn)為��,網(wǎng)絡(luò)空間坤輿圖是數(shù)字政府、智慧城市等數(shù)字中國建設(shè)在虛擬空間中的呈現(xiàn)����,是關(guān)鍵基礎(chǔ)設(shè)施“摸清家底”的基礎(chǔ),是網(wǎng)絡(luò)安全“掛圖作戰(zhàn)”的底圖��。
這個(gè)底圖具體是長什么樣子���?
權(quán)小文進(jìn)一步解釋稱該圖是對(duì)網(wǎng)絡(luò)空間萬事萬物的虛擬化呈現(xiàn)���。它能呈現(xiàn)IT新架構(gòu)、云計(jì)算�、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)應(yīng)用的“邊界”和形態(tài),精準(zhǔn)展現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)資產(chǎn)����、供應(yīng)鏈關(guān)系等重要信息與數(shù)據(jù)。
當(dāng)前�,盛邦安全依托十多年在漏洞挖掘方面的大數(shù)據(jù)積累,已經(jīng)擁有了一個(gè)超過18萬條的漏洞庫并實(shí)時(shí)進(jìn)行更新����,能夠動(dòng)態(tài)守護(hù)用戶單位的網(wǎng)絡(luò)空間資產(chǎn)安全�?!熬W(wǎng)絡(luò)空間坤輿圖通過對(duì)網(wǎng)絡(luò)空間社會(huì)面、地理面和人文面的算法分析�,幫助用戶從網(wǎng)絡(luò)空間全局的視角來審視和梳理整個(gè)網(wǎng)絡(luò)的安全域,形成精準(zhǔn)識(shí)別��、精確防御����、主動(dòng)防護(hù)的網(wǎng)絡(luò)安全保障體系?�!睓?quán)小文介紹�。
網(wǎng)絡(luò)空間坤輿圖的產(chǎn)生,實(shí)際上正是盛邦安全漏洞工程化能力的一種體現(xiàn)�����。它是跳出漏洞發(fā)現(xiàn)�、漏洞挖掘���,對(duì)漏洞實(shí)現(xiàn)更高層次的復(fù)現(xiàn)�、仿真并形成漏洞靶場(chǎng)的一種技術(shù)形式。將漏洞工程化之后��,形成漏洞靶場(chǎng)��,可以將漏洞批量處理���,沉淀成漏洞監(jiān)測(cè)工具��、漏洞管理工具甚至是網(wǎng)絡(luò)空間地圖�����。
“判斷一個(gè)漏洞檢測(cè)工具是不是好�,可以把它拿到漏洞靶場(chǎng)���,看是不是能夠檢測(cè)出問題���;另一方面,也可以在靶場(chǎng)中應(yīng)用漏洞���,檢驗(yàn)防火墻是否能夠防得住�?!睓?quán)小文解釋說��。
網(wǎng)絡(luò)安全場(chǎng)景化不能自說自話
漏洞工程化要與行業(yè)結(jié)合�,進(jìn)入垂直行業(yè)�����,貼身服務(wù)行業(yè)客戶是必然選擇����。
談及十多年的網(wǎng)絡(luò)安全創(chuàng)業(yè)經(jīng)歷,權(quán)小文感觸頗多����。令他印象深刻的是2015、2016年前后�����,公司決定深入行業(yè)做場(chǎng)景安全時(shí)���,他發(fā)現(xiàn)�����,做行業(yè)安全要面臨許多之前沒有預(yù)想過的挑戰(zhàn)���。舉個(gè)簡(jiǎn)單的例子,行業(yè)客戶對(duì)于一些術(shù)語的認(rèn)知與網(wǎng)絡(luò)安全行業(yè)有很大不同�����。之前盛邦安全在做通用標(biāo)準(zhǔn)化產(chǎn)品時(shí)�,都是按照國標(biāo)、行標(biāo)來做����,但沒想到垂直行業(yè)對(duì)于術(shù)語的定義與理解是不同的,有些雖然沒有形成行業(yè)標(biāo)準(zhǔn)���,但卻是約定俗成的���。
“想做好行業(yè)場(chǎng)景安全,就要深入了解客戶的業(yè)務(wù)和真實(shí)需求���。就拿‘預(yù)警’這個(gè)詞來說���,在網(wǎng)絡(luò)安全行業(yè)當(dāng)中,預(yù)警其實(shí)意味著‘監(jiān)測(cè)’�,重點(diǎn)在于‘查’問題��;但是在行業(yè)客戶中��,他們理解的‘預(yù)警’其實(shí)意味著‘防’��,重點(diǎn)在于解決問題����?!睓?quán)小文說到。
后來��,每當(dāng)公司要進(jìn)入一個(gè)新的行業(yè)���,第一個(gè)動(dòng)作就是規(guī)范行業(yè)術(shù)語以及特定詞匯的定義��,這是權(quán)小文從實(shí)踐中總結(jié)出來的辦法�����。
對(duì)于未來迅速迭代的網(wǎng)絡(luò)安全市場(chǎng)����,權(quán)小文表示會(huì)把漏洞工程化能力繼續(xù)堅(jiān)持下去。他認(rèn)為�,未來無論是物聯(lián)網(wǎng)、5G����,還是是信創(chuàng)趨勢(shì)�,其實(shí)本質(zhì)上都是基于HTTP協(xié)議的Web安全,漏洞工程化的思路也完全可以適配未來不斷變化的市場(chǎng)�����。正是這種技術(shù)創(chuàng)新能力和豐富的應(yīng)急響應(yīng)與安全治理經(jīng)驗(yàn)���,權(quán)小文本人入選“中國CSO名人堂(十大人物)”�����。同時(shí)���,他所率領(lǐng)的盛邦安全團(tuán)隊(duì),憑借在API領(lǐng)域的技術(shù)前瞻性與創(chuàng)新能力����,入選《IDC TechScape: 中國數(shù)據(jù)安全技術(shù)發(fā)展路線圖,2022》報(bào)告API領(lǐng)域的推薦廠商。
回看網(wǎng)絡(luò)安全行業(yè),不同的網(wǎng)絡(luò)安全廠商都會(huì)選擇不同的技術(shù)路線做出各式各樣的網(wǎng)絡(luò)安全產(chǎn)品�,權(quán)小文把這比喻為一場(chǎng)類似珠穆朗瑪峰的爬坡?���!岸际巧现榉澹腥藭?huì)選擇南坡�,有人則會(huì)選擇北坡。理念不同��,路線沒有對(duì)錯(cuò)�,只是恰好,盛邦選擇了用漏洞工程化為代表的核心技術(shù)能力繪制網(wǎng)絡(luò)空間地圖這樣一條更難的路而已��?����!睓?quán)小文表示�����。(作者 | 秦聰慧)
關(guān)鍵詞:
網(wǎng)絡(luò)空間
營業(yè)執(zhí)照公示信息