同质化、碎片化、概念繁多……网络安全行业在不断的分化更为精细的垂直赛道,如果内卷已成定局,一家创业公司要想脱颖而出并不容易。2019年,华云安成立,创始人沈传宝的目标思路很明确,不跟风,不重复造轮子,希望为行业创造新的价值,并为自身构筑长期竞争力。
坦白说,这充满挑战。前不久,数说安全发布的一份报告显示,中国网络安全产业涉及13大领域、84个细分赛道,其中收录了国内406家网络安全厂商,涉及产品1381款。看起来数量已经很多,不过我们知道这也仅是整个中国网络安全产业的一部分而已。
所以,网安行业是一个不折不扣的红海市场,每一个场景赛道都布局了大量的产品解决方案。可即便如此,每年发生的网络安全事件并不见减少,你可以说是企业投资不够,也可以说“道高一尺,魔高一丈”。但归根结底的原因在于网络安全的本质——攻防对抗。
不同于企业采购交换机、服务器等IT设备,只要性能满足业务需求就解决了核心问题。网络安全防护则不同,它需要始终与攻击者博弈,是一场没有终点的竞赛。这也意味着,机会始终藏在创新者手里。沈传宝坚定,华云安要做一家创新公司。
如何创新?在红海竞争中,换一个维度、视角或许能够打开一个新的世界。
从“外挂式安全”到“攻击面管理”
以往的网络安全防护以防御者视角为出发点,通过为内网、为关键业务建立起“围墙”抵御入侵,是典型的“外挂式安全”,这当然是有效的解决方案。但面向未来呢?尤其是边界在逐渐被打破的情况下,企业对于被保护的资产都不能清晰掌握,又何谈安全。
正如沈传宝所说,随着底层架构的数字化转型深化,企业业务一定是跨网络、跨云以及跨IT、OT等各种各样设备的,这时再立一道门,已经很难完全覆盖要保护的数字化资产。
所以,站在攻击者视角发现系统脆弱性成为一种全新的思路,正所谓“不知攻焉知防”,先于攻击者发现风险才能最大化抵御风险。这便是攻击面管理(ASM)的价值之处,ASM以攻击者视角验证网络安全防御机制、安全设备以及有效性,收敛攻击面,进而达到降低风险的目的。
目前,攻击面管理在全球范围内成为网安行业发展共识,不仅仅是Palo Alto、Tenable、CrowdStrike这类网络安全的头部企业,甚至连微软、Google、IBM这些传统的IT巨头们,都加入了攻击面管理的并购大潮。Gartner指出到2026年,60%以上的企业安全威胁检测、调查与响应能力将通过风险暴露面管理来实现,目前这个比例不到5%。
显然,攻击面管理有着巨大的市场潜力,华云安也提前卡好了位。
从网络安全行业“跟随”到“同步引领”
值得一说的是,与以往网络安全领域在国外先产生新概念并有成功应用、国内再跟进不同。在攻击面管理领域,华云安引领了ASM发展的国内与国际同步。
2021年7月,Gartner在发布的《2021安全运营技术成熟度曲线》报告中,首次提出攻击面管理的两个新兴技术:外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)。ASM正式被外界所广泛关注,同年,华云安便提出从检测到分析到情报到响应的攻击面管理理念,并发布了覆盖EASM、CAASM和BAS(入侵与攻击模拟)的攻击面管理整体解决方案。
2022年10月,Gartner发布《2022中国网络安全技术成熟度曲线》报告,华云安在ASM及BAS两个领域被列为代表厂商。
毫无疑问,华云安成为中国攻击面管理市场的引领者,沈传宝直言,华云安对于ASM提出的观点、方法论和技术的实现,也在影响国际上对攻击面管理的认知和发展。
为什么华云安有这样的自信?在日前召开的“2023网络安全运营技术峰会(SecOps 2023)”上,我们能够一窥端倪。
从“看见安全”到“持续验证”
2022年,华云安参加了一百多场攻防演练活动,并有一个明显的感受和发现,“数字化转型让网络安全的攻击面大为扩展,在华云安梳理的30万以上的外部互联网资产中,有相当大比例不在客户的视野范围内。所以,在数字化时代,网络安全必须被看见,被看见,才安全。”沈传宝强调。
看见安全保护的目标是第一步,当然,从技术上来说,无论是CMDB、ITSM,亦或者EDR等解决方案已经让洞察数字资产不再是难事。难的是如何在看见安全的基础上看见防御的效果,实现攻击面的有效检测、分析研判和响应处置。
在此方面,华云安提出了系统性的安全验证方法论和方案体系:
首先,在安全验证的方法论上,华云安将安全验证分成了5个方面,以攻防视角的安全验证,持续提升安全运营能力。这包括,安全攻击面验证、安全有效性验证、安全一致性验证、事件响应的效率和安全成熟度改进。
安全攻击面验证,从攻击者角度评估可利用的威胁;安全有效性验证,评估现有安全控制措施是否可以检测和阻止来自攻击者的行为;安全一致性验证,以持续的验证和评估安全工具配置分析、检测效率以及对抗性的威胁模拟,发现问题并改进;事件响应的效率,对事件响应机制的及时性和有效性进行评估;安全成熟度改进,帮助运营方提升改进安全能力。
其次,为了将这一套完整的安全验证方法论落到实处,华云安基于攻击者视角构建了完整的安全验证产品与服务体系,包括定位于内部资产攻击面管理的灵洞·网络资产攻击面管理(Ai.Vul),定位于外部资产攻击面管理的灵知·互联网监测预警中心(Ai.Radar),定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟(Ai.Bot),以及渗透测试即服务、红队服务。
所以,要真正达到安全验证的目标,不是靠某一个点突破,而是要靠一套体系推进。正如Gartner的定义:网络安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已识别的威胁暴露面,来测试安全防御系统和安全机制的反应。
沈传宝强调,最终安全验证的目标,一定是为企业提供一套完整的、可量化的,评估企业安全风险整体态势的安全体系。华云安的优势,正是构建了一套完整的“攻击面管理+安全验证”的能力体系,帮助用户看见安全、持续验证。
从“单体安全”到原子化安全能力“平台化”
进一步地,华云安致力于将这一套能力体系形成平台化,向上延展到安全运营的大赛道。一方面解决关基等行业用户安全运营的问题,另一方面为自身构筑长期竞争力。
从2019年成立开始,华云安便坚持走平台化的技术研发路线,“我们把场景拆成能力,可以有很多的安全能力按需来支撑很多的场景,但是这些能力一定是基于同一种基础的架构和平台。”沈传宝如是说。
虽然走平台化研发路线,起初的投入成本会很高,但当其上长出第一个、第十个、几十个安全能力时,平台化的优势就会从量变产生质变。目前,华云安以攻防视角构建了一体化攻击面管理安全能力平台,以CAASM、EASM、BAS、VPT、TDR几大产品为支撑,既可独立提供各自的安全能力,又能将原子化的安全能力编排联动,形成全面且完整的攻击面整体解决方案。
走平台化、云原生架构,沈传宝相信,这将是华云安未来五到十年的竞争力体现。
同时,华云安也在积极探索人工智能大模型在攻击面管理与安全验证领域的实践,并在扩展威胁情报、智能攻防对抗、风险评估等场景取得成果。例如,在扩展威胁情报方面,AI大模型通过对1day漏洞情报、敏感数据泄露情报分析,能够帮助企业安全运营人员快速感知情报价值,辅助分析与决策。
总之来看,攻击面管理打开了安全运营的新赛道,是网络安全防护的全新视角。在安全防御越来越强调“实战化、体系化、常态化”的今天,ASM以攻击者视角构建闭环攻击面管理体系的价值越来越得到凸显。华云安以原子化安全平台提供不断迭代的安全能力,也正致力于构建下一代的数字安全防御体系。
以攻防视角的安全验证,持续提升安全运营能力,不难预见,ASM有更大的发展空间和机会。
