攻击面管理在国内尚属一个全新的赛道,而根据Gartner的划分,其中细分的CAASM(内部攻击面管理)和EASM(外部攻击面管理)两个概念,就更加的新潮。“现在去谈国内的市场竞争还为时尚早,更应关注的是在于如何赶上国际领先的技术水平。”在接受安全419采访时,零零信安创始人、CEO王宇的这句话给我们留下了深刻的印象。
(零零信安创始人、CEO 王宇)
作为目前国内外部攻击面管理(EASM)赛道的唯一参与者,可谓是真正的先行者,这一特点也让我们对其产生了浓厚的兴趣,外部攻击面管理这一技术理念到底能给用户带来什么样的价值?零零信安选择这样的一个赛道有着什么样的思考?对未来的市场竞争格局又是如何看待的呢?带着这些问题,我们与王宇进行了深入的交流。
● 谈创业初衷
以攻击者视角为客户
提供立竿见影的安全产品
作为投身网络安全产业20余年的老兵,王宇曾先后就职于多家国内网络安全头部企业,既做过与安全相关的技术、服务等具体工作,也从事过产品商业化开发以及运营超200人规模的安全团队等管理工作,和那些安全行业中普遍常见的技术型创业者不同,丰富的经历让他深知技术理想和商业化之间的关系,就创业而言,这的确非常关键。
谈及创业初期的方向选择,王宇坦言其背后并没有多少深意。“既然是创业,肯定还是希望能够做自己喜欢甚至是热爱的事情,网络安全是一个很庞大很复杂的大赛道,去一个个的研究分析最后做出选择是不现实的。”王宇说道,“大部分安全产品是从防御者的视角去考虑的,提供给客户的,多是“事中”(攻击者已开始尝试攻击)和“事后”(攻击者已攻击成功)防御。这类产品最大的弊端是被动,并且一旦某些弱点失守,补救成本很高。在和攻击者的较量中,要想做到知己知彼,还应该从攻击者的角度去观察企业安全性,在“事前”采取主动防御的手段,提前预知自身的薄弱点进行攻击预判和处置。同时,这一方式在安全建设中的效果展现方面也是立竿见影的。”
这里的“立竿见影”可谓非常关键,为何安全经常被忽视?为何安全市场发展主要来自于合规驱动而非价值驱动?安全建设的价值无法“立竿见影”般体现出来就是一个重要的原因。在业务上的投入一般可以很快得到反馈,而在安全上呢?如果没有事情发生,恐怕有很多人会觉得在安全上的投入是一种“浪费”的行为吧。
谈到这里,我们不难简单总结出王宇创立零零信安的初衷——以实战角度出发,基于攻击者视角去审视自身弱点,帮助用户在防御黑客攻击的工作上能够做到有的放矢,同时为用户提供看得见的安全建设成果,也就是要有立竿见影的效果。
时间回到一年半前,零零信安刚成立的时候,在具体技术路线的选择上,他们的核心团队当时一致认为攻击面管理(ASM,Attack Surface Management )同其自身的理念非常一致,但受限于当时的资金能力,他们也面临着选择,是通过传统的安全服务立刻保证收入还是孤注一掷地投入攻击面管理领域就成为了王宇经常思考的问题,“就发展路线而言,在企业艰难的时候也有过动摇,但最终我们团队选择坚持,幸运的是,这份坚持并没有白费。”王宇感慨道。
这里所说的坚持,其实也是一种妥协。零零信安最终还是选择投入到攻击面管理这一发展路径,但当时只选择了这一领域中非常细分的一个技术点——弱点/漏洞优先级管理(VPT,Vulnerability prioritization technology )作为一个折中的、临时性方案。
王宇告诉我们,做出这一选择主要源于两方面的考虑,“一是VPT技术可以迅速作用于漏洞管理产品,而漏洞管理作为一个成熟赛道,相关产品能够立刻为企业带来收入;二是从长远规划来看,VPT也是攻击面管理中的一个必备技术。”
这里所说的幸运,是在于2021年,Gartner将其2018年提出的“符合CARTA方法论的弱点管理”改用了一个更为适合的名称——“基于风险的弱点管理”,与王宇和零零信安所坚持的路线完全契合。同时,在2021年7月,《网络产品安全漏洞管理规定》正式发布并确定于当年的9月1日施行,从而令VPT甚至攻击面管理这一路线也在2021年开始在国内业界中迎来更多的关注。(可参考安全419往日文章——《零零信安王宇:通过基于VPT的风险管理 用20%时间去解决80%风险》)
尽管彼时的零零信安仍未完全脱离创业的“危险期”,但至少在2021年7月,他们看到了自己在未来的机会。
(王宇于2021年7月在ISC2021大会上进行主题演讲)
● 谈发展方向
获得奇安基金独家千万元天使轮投资
全面发力外部攻击面管理领域
2021年12月,零零信安正式宣布完成了来自于知名网络安全产业投资机构——奇安基金独家千万元人民币的天使轮融资,这笔资金的注入让他们迈入了一个新的发展阶段。
在既有的弱点/漏洞优先级管理(VPT)产品基础上,零零信安开始全面投入到攻击面管理这一赛道中,只是他们仍然选择了聚焦,那就是外部攻击面管理,也就是EASM(External attack surface management)。
那么外部攻击面管理到底都包含哪些内容呢?Gartner曾在此前发布的《新兴技术:外部攻击面管理关键洞察》中进行了一系列详细的描述,具体包含以下几点:
1、资产的识别及清点:识别未知的(影子)数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表;
2、漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定优先级;
3、云安全与治理:识别组织的公共资产,跨云供应商,以改善云安全和治理,EASM可以提供全面的云资产清单,补充现有的云安全工具;
4、数据泄漏检测:监测数据泄漏情况,如凭证泄漏或敏感数据;
5、子公司风险评估:进行公司数字资产可视化能力建设,以便更全面地了解和评估风险;
6、供应链/第三方风险评估:评估组织的供应链和第三方有关的脆弱性及可见性,以支持评估组织的暴露风险;
7、并购(M&A)风险评估:了解待并购公司数字资产和相关风险。
王宇介绍到,在攻击面管理中,分为外部攻击面管理(EASM)和网络资产攻击面管理(CAASM),区别是:前者是基于攻击者的视角,以“黑盒”的方式发现和进行攻击面管理,后者是站在防御者视角以“白盒”的方式。
● 谈核心能力
数据量是衡量EASM产品能力高低的
重要评估标准
说到这里,又不得不提一个现象——在国内的安全市场中,我们可以观察到有部分企业已经在涉足甚至专注于CAASM领域,而零零信安是目前第一家也是唯一一家专注于EASM的企业,对于一个当前颇为热门的领域,为何迄今只有一家初创企业在参与,这一现象背后的成因也引起了我们的兴趣。
王宇表示,CAASM和EASM的应用方向以及解决问题的思路是有不同的——CAASM更偏向于以内部视角去通过产品能力给用户带来价值,EASM则更偏向于以外部视角去通过数据能力给用户带来价值。“与CAASM更多强调产品力不一样的是,EASM是以数据服务的形式存在的,对数据量的要求非常高。”
在围绕外部攻击面管理的交流过程当中,王宇始终都在强调数据的重要性。“EASM是基于海量数据进行企业外部风险分析的,所以EASM做得好还是不好,其背后的数据量是重要的评估标准之一。”他表示,“如EASM技术所针对的不仅是当前已知的资产和数据,而是会面向更大规模的全互联网中企业的信息资产,尤其是企业自身可能忽略的影子资产;再如DRPS(数字风险保护服务),它有很大一部分是基于互联网的信息数据,包括公开网络和暗网等等,因为这些都有可能是自身重要数据的泄露点。”
这意味着,EASM领域的进入门槛取决于进入该赛道企业的数据采集以及数据处理能力,对于安全企业而言所要求的不仅仅只是创新能力,更需要一个长期积累下的数据,而后者更是决定能否做好EASM的核心因素。
(零零信安推出的00SEC-ASM 攻击面管理系统)
● 谈EASM价值
外部攻击面管理和传统安全产品之间的关系
从作用阶段上看更像疫苗和药的关系
前面我们提到了传统防御类安全产品的诸多不足,相比之下,以攻击者视角去做应对威胁的方式对于用户的价值优势是如何体现的呢?
“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。网络安全也就是攻防两端的对抗。明确分析对手的优势、分析自己的弱项,安排合理的网络‘攻防战略’,合理保护自己。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。”
“没有意识到风险是最大的风险。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓‘聪者听于无声,明者见于未形。’”
王宇指出,在这之中所讲的“分析自己的弱项”、“首先要知道风险在哪里,是什么样的风险。”恰恰都是可以利用攻击面管理来实现的。
对于最终用户而言,应用攻击面管理的价值在于——它可以帮助企业减少黑客可能会发起攻击的点,从源头降低自身遭受攻击的可能性,这种防患于未然的预防方式,其所投入的人力、物力、财力必然相对较低。比如企业的内部人员以及客户的信息是否已经泄露并可能被黑客利用、自身的业务系统是否存在有漏洞等都有可能成为攻击者眼中的弱点,通过应用攻击面管理技术相关的产品就可以去提前去排查、处置这些弱点,预先将风险阻断。
“这就好比人生病,目前很多疾病都可以通过接种疫苗的方式去预防,而如果没有做好预防,生了病就要先去做各种检查,然后再去开药或其他方式治疗。”王宇举例道,“其实安全也一样,攻击面管理这一理念是重点为围绕在攻击发生前去消除大量可导致安全事件发生的隐患,其作用就是在攻击发生前做预防,减轻甚至规避网络攻击发生的可能性,而主流的防御类产品有很多是建立在事中、事后的角度,其作用更类似于检查和病后治疗。”
在这里他特别补充道,EASM并不能包打一切,不能解决所有的安全问题,因此攻击面管理理念也并非否定所有的防御类产品,而是强调在攻击事件发生前,就预先将大量风险化解,从而减少企业遭受攻击风险的可能性,对企业整体的安全建设将会十分有益。
● 谈未来竞争
与其国内拼个你死我活
不如提升自身能力以赶超国外优秀企业
接下来我们又聊到了关于竞争的这个话题,如前文所述,作为EASM赛道唯一参与者,零零信安所处的仍然是一个“没有对手”的环境,但当其他竞争者参与进来的时候,如何将先发优势转化为领先优势?这不仅是他们会面对的,相信也是不少创新企业要面对的一个难题。
“坦率地说,当前我们并没有认真地考虑过这个问题。”王宇笑着说道,“竞争是一定会来的,因为攻击面管理这个赛道在升温是大家都看得到的,但我们不会为了领先而去刻意做什么,因为我们做事的优先级始终是满足客户的需求,帮助客户将自身的安全建设做得更好,至于领先与否,最终还是要靠技术和市场口碑等多方面结合去做评判,而不是自嗨。”
通过这段话,能够感受到零零信安追求务实的一种态度,在他看来,与其去思考或者担忧未来的竞争格局,远不如迅速提升自身能力来得更加实在。“现在去谈国内的市场竞争还为时尚早,更应关注的是在于如何赶上国际领先的技术水平。”
“我们应该多去对标国外的优秀企业,包括去年被微软以5亿美元收购的Risk IQ等等,他们的技术能力以及所能为客户带来的价值都是当前我们国内企业无法达到的,相比于国内在市场上彼此拼个你死我活,不如去将当前发展重点放在快速的提升自身的相关技术能力方面,缩小与国外企业之间的差距,甚至去迎头赶上,只有这样我国的整体网络安全才能做上去,从而体现出我们这些安全行业从业人员的价值,不枉当初的创业理想。”王宇在采访的最后强调道。