攻擊面管理在國(guó)內(nèi)尚屬一個(gè)全新的賽道，而根據(jù)Gartner的劃分，其中細(xì)分的CAASM（內(nèi)部攻擊面管理）和EASM（外部攻擊面管理）兩個(gè)概念，就更加的新潮。“現(xiàn)在去談國(guó)內(nèi)的市場(chǎng)競(jìng)爭(zhēng)還為時(shí)尚早，更應(yīng)關(guān)注的是在于如何趕上國(guó)際領(lǐng)先的技術(shù)水平。”在接受安全419采訪時(shí)，零零信安創(chuàng)始人、CEO王宇的這句話給我們留下了深刻的印象。

（零零信安創(chuàng)始人、CEO 王宇）

作為目前國(guó)內(nèi)外部攻擊面管理（EASM）賽道的唯一參與者，可謂是真正的先行者，這一特點(diǎn)也讓我們對(duì)其產(chǎn)生了濃厚的興趣，外部攻擊面管理這一技術(shù)理念到底能給用戶帶來(lái)什么樣的價(jià)值？零零信安選擇這樣的一個(gè)賽道有著什么樣的思考？對(duì)未來(lái)的市場(chǎng)競(jìng)爭(zhēng)格局又是如何看待的呢？帶著這些問(wèn)題，我們與王宇進(jìn)行了深入的交流。

● 談創(chuàng)業(yè)初衷

以攻擊者視角為客戶

提供立竿見(jiàn)影的安全產(chǎn)品

作為投身網(wǎng)絡(luò)安全產(chǎn)業(yè)20余年的老兵，王宇曾先后就職于多家國(guó)內(nèi)網(wǎng)絡(luò)安全頭部企業(yè)，既做過(guò)與安全相關(guān)的技術(shù)、服務(wù)等具體工作，也從事過(guò)產(chǎn)品商業(yè)化開(kāi)發(fā)以及運(yùn)營(yíng)超200人規(guī)模的安全團(tuán)隊(duì)等管理工作，和那些安全行業(yè)中普遍常見(jiàn)的技術(shù)型創(chuàng)業(yè)者不同，豐富的經(jīng)歷讓他深知技術(shù)理想和商業(yè)化之間的關(guān)系，就創(chuàng)業(yè)而言，這的確非常關(guān)鍵。

談及創(chuàng)業(yè)初期的方向選擇，王宇坦言其背后并沒(méi)有多少深意。“既然是創(chuàng)業(yè)，肯定還是希望能夠做自己喜歡甚至是熱愛(ài)的事情，網(wǎng)絡(luò)安全是一個(gè)很龐大很復(fù)雜的大賽道，去一個(gè)個(gè)的研究分析最后做出選擇是不現(xiàn)實(shí)的。”王宇說(shuō)道，“大部分安全產(chǎn)品是從防御者的視角去考慮的，提供給客戶的，多是“事中”（攻擊者已開(kāi)始嘗試攻擊）和“事后”（攻擊者已攻擊成功）防御。這類產(chǎn)品最大的弊端是被動(dòng)，并且一旦某些弱點(diǎn)失守，補(bǔ)救成本很高。在和攻擊者的較量中，要想做到知己知彼，還應(yīng)該從攻擊者的角度去觀察企業(yè)安全性，在“事前”采取主動(dòng)防御的手段，提前預(yù)知自身的薄弱點(diǎn)進(jìn)行攻擊預(yù)判和處置。同時(shí)，這一方式在安全建設(shè)中的效果展現(xiàn)方面也是立竿見(jiàn)影的。”

這里的“立竿見(jiàn)影”可謂非常關(guān)鍵，為何安全經(jīng)常被忽視？為何安全市場(chǎng)發(fā)展主要來(lái)自于合規(guī)驅(qū)動(dòng)而非價(jià)值驅(qū)動(dòng)？安全建設(shè)的價(jià)值無(wú)法“立竿見(jiàn)影”般體現(xiàn)出來(lái)就是一個(gè)重要的原因。在業(yè)務(wù)上的投入一般可以很快得到反饋，而在安全上呢？如果沒(méi)有事情發(fā)生，恐怕有很多人會(huì)覺(jué)得在安全上的投入是一種“浪費(fèi)”的行為吧。

談到這里，我們不難簡(jiǎn)單總結(jié)出王宇創(chuàng)立零零信安的初衷——以實(shí)戰(zhàn)角度出發(fā)，基于攻擊者視角去審視自身弱點(diǎn)，幫助用戶在防御黑客攻擊的工作上能夠做到有的放矢，同時(shí)為用戶提供看得見(jiàn)的安全建設(shè)成果，也就是要有立竿見(jiàn)影的效果。

時(shí)間回到一年半前，零零信安剛成立的時(shí)候，在具體技術(shù)路線的選擇上，他們的核心團(tuán)隊(duì)當(dāng)時(shí)一致認(rèn)為攻擊面管理（ASM，Attack Surface Management ）同其自身的理念非常一致，但受限于當(dāng)時(shí)的資金能力，他們也面臨著選擇，是通過(guò)傳統(tǒng)的安全服務(wù)立刻保證收入還是孤注一擲地投入攻擊面管理領(lǐng)域就成為了王宇經(jīng)常思考的問(wèn)題，“就發(fā)展路線而言，在企業(yè)艱難的時(shí)候也有過(guò)動(dòng)搖，但最終我們團(tuán)隊(duì)選擇堅(jiān)持，幸運(yùn)的是，這份堅(jiān)持并沒(méi)有白費(fèi)。”王宇感慨道。

這里所說(shuō)的堅(jiān)持，其實(shí)也是一種妥協(xié)。零零信安最終還是選擇投入到攻擊面管理這一發(fā)展路徑，但當(dāng)時(shí)只選擇了這一領(lǐng)域中非常細(xì)分的一個(gè)技術(shù)點(diǎn)——弱點(diǎn)/漏洞優(yōu)先級(jí)管理（VPT，Vulnerability prioritization technology ）作為一個(gè)折中的、臨時(shí)性方案。

王宇告訴我們，做出這一選擇主要源于兩方面的考慮，“一是VPT技術(shù)可以迅速作用于漏洞管理產(chǎn)品，而漏洞管理作為一個(gè)成熟賽道，相關(guān)產(chǎn)品能夠立刻為企業(yè)帶來(lái)收入；二是從長(zhǎng)遠(yuǎn)規(guī)劃來(lái)看，VPT也是攻擊面管理中的一個(gè)必備技術(shù)。”

這里所說(shuō)的幸運(yùn)，是在于2021年，Gartner將其2018年提出的“符合CARTA方法論的弱點(diǎn)管理”改用了一個(gè)更為適合的名稱——“基于風(fēng)險(xiǎn)的弱點(diǎn)管理”，與王宇和零零信安所堅(jiān)持的路線完全契合。同時(shí)，在2021年7月，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》正式發(fā)布并確定于當(dāng)年的9月1日施行，從而令VPT甚至攻擊面管理這一路線也在2021年開(kāi)始在國(guó)內(nèi)業(yè)界中迎來(lái)更多的關(guān)注。(可參考安全419往日文章——《零零信安王宇：通過(guò)基于VPT的風(fēng)險(xiǎn)管理 用20%時(shí)間去解決80%風(fēng)險(xiǎn)》)

盡管彼時(shí)的零零信安仍未完全脫離創(chuàng)業(yè)的“危險(xiǎn)期”，但至少在2021年7月，他們看到了自己在未來(lái)的機(jī)會(huì)。

（王宇于2021年7月在ISC2021大會(huì)上進(jìn)行主題演講）

● 談發(fā)展方向

獲得奇安基金獨(dú)家千萬(wàn)元天使輪投資

全面發(fā)力外部攻擊面管理領(lǐng)域

2021年12月，零零信安正式宣布完成了來(lái)自于知名網(wǎng)絡(luò)安全產(chǎn)業(yè)投資機(jī)構(gòu)——奇安基金獨(dú)家千萬(wàn)元人民幣的天使輪融資，這筆資金的注入讓他們邁入了一個(gè)新的發(fā)展階段。

在既有的弱點(diǎn)/漏洞優(yōu)先級(jí)管理（VPT）產(chǎn)品基礎(chǔ)上，零零信安開(kāi)始全面投入到攻擊面管理這一賽道中，只是他們?nèi)匀贿x擇了聚焦，那就是外部攻擊面管理，也就是EASM（External attack surface management）。

那么外部攻擊面管理到底都包含哪些內(nèi)容呢？Gartner曾在此前發(fā)布的《新興技術(shù)：外部攻擊面管理關(guān)鍵洞察》中進(jìn)行了一系列詳細(xì)的描述，具體包含以下幾點(diǎn)：

1、資產(chǎn)的識(shí)別及清點(diǎn)：識(shí)別未知的（影子）數(shù)字資產(chǎn)（如網(wǎng)站、IP、域名、SSL證書(shū)和云服務(wù)），并實(shí)時(shí)維護(hù)資產(chǎn)列表；

2、漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開(kāi)放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí)；

3、云安全與治理：識(shí)別組織的公共資產(chǎn)，跨云供應(yīng)商，以改善云安全和治理，EASM可以提供全面的云資產(chǎn)清單，補(bǔ)充現(xiàn)有的云安全工具；

4、數(shù)據(jù)泄漏檢測(cè)：監(jiān)測(cè)數(shù)據(jù)泄漏情況，如憑證泄漏或敏感數(shù)據(jù)；

5、子公司風(fēng)險(xiǎn)評(píng)估：進(jìn)行公司數(shù)字資產(chǎn)可視化能力建設(shè)，以便更全面地了解和評(píng)估風(fēng)險(xiǎn)；

6、供應(yīng)鏈/第三方風(fēng)險(xiǎn)評(píng)估：評(píng)估組織的供應(yīng)鏈和第三方有關(guān)的脆弱性及可見(jiàn)性，以支持評(píng)估組織的暴露風(fēng)險(xiǎn)；

7、并購(gòu)（M&A）風(fēng)險(xiǎn)評(píng)估：了解待并購(gòu)公司數(shù)字資產(chǎn)和相關(guān)風(fēng)險(xiǎn)。

王宇介紹到，在攻擊面管理中，分為外部攻擊面管理（EASM）和網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM），區(qū)別是：前者是基于攻擊者的視角，以“黑盒”的方式發(fā)現(xiàn)和進(jìn)行攻擊面管理，后者是站在防御者視角以“白盒”的方式。

● 談核心能力

數(shù)據(jù)量是衡量EASM產(chǎn)品能力高低的

重要評(píng)估標(biāo)準(zhǔn)

說(shuō)到這里，又不得不提一個(gè)現(xiàn)象——在國(guó)內(nèi)的安全市場(chǎng)中，我們可以觀察到有部分企業(yè)已經(jīng)在涉足甚至專注于CAASM領(lǐng)域，而零零信安是目前第一家也是唯一一家專注于EASM的企業(yè)，對(duì)于一個(gè)當(dāng)前頗為熱門的領(lǐng)域，為何迄今只有一家初創(chuàng)企業(yè)在參與，這一現(xiàn)象背后的成因也引起了我們的興趣。

王宇表示，CAASM和EASM的應(yīng)用方向以及解決問(wèn)題的思路是有不同的——CAASM更偏向于以內(nèi)部視角去通過(guò)產(chǎn)品能力給用戶帶來(lái)價(jià)值，EASM則更偏向于以外部視角去通過(guò)數(shù)據(jù)能力給用戶帶來(lái)價(jià)值。“與CAASM更多強(qiáng)調(diào)產(chǎn)品力不一樣的是，EASM是以數(shù)據(jù)服務(wù)的形式存在的，對(duì)數(shù)據(jù)量的要求非常高。”

在圍繞外部攻擊面管理的交流過(guò)程當(dāng)中，王宇始終都在強(qiáng)調(diào)數(shù)據(jù)的重要性。“EASM是基于海量數(shù)據(jù)進(jìn)行企業(yè)外部風(fēng)險(xiǎn)分析的，所以EASM做得好還是不好，其背后的數(shù)據(jù)量是重要的評(píng)估標(biāo)準(zhǔn)之一。”他表示，“如EASM技術(shù)所針對(duì)的不僅是當(dāng)前已知的資產(chǎn)和數(shù)據(jù)，而是會(huì)面向更大規(guī)模的全互聯(lián)網(wǎng)中企業(yè)的信息資產(chǎn)，尤其是企業(yè)自身可能忽略的影子資產(chǎn)；再如DRPS（數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)），它有很大一部分是基于互聯(lián)網(wǎng)的信息數(shù)據(jù)，包括公開(kāi)網(wǎng)絡(luò)和暗網(wǎng)等等，因?yàn)檫@些都有可能是自身重要數(shù)據(jù)的泄露點(diǎn)。”

這意味著，EASM領(lǐng)域的進(jìn)入門檻取決于進(jìn)入該賽道企業(yè)的數(shù)據(jù)采集以及數(shù)據(jù)處理能力，對(duì)于安全企業(yè)而言所要求的不僅僅只是創(chuàng)新能力，更需要一個(gè)長(zhǎng)期積累下的數(shù)據(jù)，而后者更是決定能否做好EASM的核心因素。

（零零信安推出的00SEC-ASM 攻擊面管理系統(tǒng)）

● 談EASM價(jià)值

外部攻擊面管理和傳統(tǒng)安全產(chǎn)品之間的關(guān)系

從作用階段上看更像疫苗和藥的關(guān)系

前面我們提到了傳統(tǒng)防御類安全產(chǎn)品的諸多不足，相比之下，以攻擊者視角去做應(yīng)對(duì)威脅的方式對(duì)于用戶的價(jià)值優(yōu)勢(shì)是如何體現(xiàn)的呢？

面對(duì)這個(gè)問(wèn)題，王宇引用了是習(xí)主席在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話（也稱419講話）中的內(nèi)容：

“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。網(wǎng)絡(luò)安全也就是攻防兩端的對(duì)抗。明確分析對(duì)手的優(yōu)勢(shì)、分析自己的弱項(xiàng)，安排合理的網(wǎng)絡(luò)‘攻防戰(zhàn)略’，合理保護(hù)自己。要以技術(shù)對(duì)技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈。”

“沒(méi)有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂‘聰者聽(tīng)于無(wú)聲，明者見(jiàn)于未形。’”

王宇指出，在這之中所講的“分析自己的弱項(xiàng)”、“首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)。”恰恰都是可以利用攻擊面管理來(lái)實(shí)現(xiàn)的。

對(duì)于最終用戶而言，應(yīng)用攻擊面管理的價(jià)值在于——它可以幫助企業(yè)減少黑客可能會(huì)發(fā)起攻擊的點(diǎn)，從源頭降低自身遭受攻擊的可能性，這種防患于未然的預(yù)防方式，其所投入的人力、物力、財(cái)力必然相對(duì)較低。比如企業(yè)的內(nèi)部人員以及客戶的信息是否已經(jīng)泄露并可能被黑客利用、自身的業(yè)務(wù)系統(tǒng)是否存在有漏洞等都有可能成為攻擊者眼中的弱點(diǎn)，通過(guò)應(yīng)用攻擊面管理技術(shù)相關(guān)的產(chǎn)品就可以去提前去排查、處置這些弱點(diǎn)，預(yù)先將風(fēng)險(xiǎn)阻斷。

“這就好比人生病，目前很多疾病都可以通過(guò)接種疫苗的方式去預(yù)防，而如果沒(méi)有做好預(yù)防，生了病就要先去做各種檢查，然后再去開(kāi)藥或其他方式治療。”王宇舉例道，“其實(shí)安全也一樣，攻擊面管理這一理念是重點(diǎn)為圍繞在攻擊發(fā)生前去消除大量可導(dǎo)致安全事件發(fā)生的隱患，其作用就是在攻擊發(fā)生前做預(yù)防，減輕甚至規(guī)避網(wǎng)絡(luò)攻擊發(fā)生的可能性，而主流的防御類產(chǎn)品有很多是建立在事中、事后的角度，其作用更類似于檢查和病后治療。”

在這里他特別補(bǔ)充道，EASM并不能包打一切，不能解決所有的安全問(wèn)題，因此攻擊面管理理念也并非否定所有的防御類產(chǎn)品，而是強(qiáng)調(diào)在攻擊事件發(fā)生前，就預(yù)先將大量風(fēng)險(xiǎn)化解，從而減少企業(yè)遭受攻擊風(fēng)險(xiǎn)的可能性，對(duì)企業(yè)整體的安全建設(shè)將會(huì)十分有益。

● 談未來(lái)競(jìng)爭(zhēng)

與其國(guó)內(nèi)拼個(gè)你死我活

不如提升自身能力以趕超國(guó)外優(yōu)秀企業(yè)

接下來(lái)我們又聊到了關(guān)于競(jìng)爭(zhēng)的這個(gè)話題，如前文所述，作為EASM賽道唯一參與者，零零信安所處的仍然是一個(gè)“沒(méi)有對(duì)手”的環(huán)境，但當(dāng)其他競(jìng)爭(zhēng)者參與進(jìn)來(lái)的時(shí)候，如何將先發(fā)優(yōu)勢(shì)轉(zhuǎn)化為領(lǐng)先優(yōu)勢(shì)？這不僅是他們會(huì)面對(duì)的，相信也是不少創(chuàng)新企業(yè)要面對(duì)的一個(gè)難題。

“坦率地說(shuō)，當(dāng)前我們并沒(méi)有認(rèn)真地考慮過(guò)這個(gè)問(wèn)題。”王宇笑著說(shuō)道，“競(jìng)爭(zhēng)是一定會(huì)來(lái)的，因?yàn)楣裘婀芾磉@個(gè)賽道在升溫是大家都看得到的，但我們不會(huì)為了領(lǐng)先而去刻意做什么，因?yàn)槲覀冏鍪碌膬?yōu)先級(jí)始終是滿足客戶的需求，幫助客戶將自身的安全建設(shè)做得更好，至于領(lǐng)先與否，最終還是要靠技術(shù)和市場(chǎng)口碑等多方面結(jié)合去做評(píng)判，而不是自嗨。”

通過(guò)這段話，能夠感受到零零信安追求務(wù)實(shí)的一種態(tài)度，在他看來(lái)，與其去思考或者擔(dān)憂未來(lái)的競(jìng)爭(zhēng)格局，遠(yuǎn)不如迅速提升自身能力來(lái)得更加實(shí)在。“現(xiàn)在去談國(guó)內(nèi)的市場(chǎng)競(jìng)爭(zhēng)還為時(shí)尚早，更應(yīng)關(guān)注的是在于如何趕上國(guó)際領(lǐng)先的技術(shù)水平。”

“我們應(yīng)該多去對(duì)標(biāo)國(guó)外的優(yōu)秀企業(yè)，包括去年被微軟以5億美元收購(gòu)的Risk IQ等等，他們的技術(shù)能力以及所能為客戶帶來(lái)的價(jià)值都是當(dāng)前我們國(guó)內(nèi)企業(yè)無(wú)法達(dá)到的，相比于國(guó)內(nèi)在市場(chǎng)上彼此拼個(gè)你死我活，不如去將當(dāng)前發(fā)展重點(diǎn)放在快速的提升自身的相關(guān)技術(shù)能力方面，縮小與國(guó)外企業(yè)之間的差距，甚至去迎頭趕上，只有這樣我國(guó)的整體網(wǎng)絡(luò)安全才能做上去，從而體現(xiàn)出我們這些安全行業(yè)從業(yè)人員的價(jià)值，不枉當(dāng)初的創(chuàng)業(yè)理想。”王宇在采訪的最后強(qiáng)調(diào)道。