網絡安全不是一個新興行業(yè),但在不斷的攻防升級中���,卻可以稱得上是變化最快的行業(yè)��。
(資料圖)
2010年前后,權小文決定下海創(chuàng)業(yè),成立了盛邦安全���。在創(chuàng)業(yè)的最開始幾年,盛邦安全的主要業(yè)務聚焦在通用性應用安全層面����,產品主要包括漏洞掃描與檢測、應用安全防御等�����。2015年之后�����,盛邦安全開始進入垂直行業(yè)��,逐步將漏洞檢測����、應用防御�����、安全預警等產品打入了一些網信公安�、教育���、電力能源等行業(yè)客戶中���。
直到近兩三年,網絡安全大數據開始受到關注,也因為有之前大量的漏洞挖掘、漏洞檢測等技術和經驗積累����,權小文萌生了做網絡空間地圖的想法�。作為網絡安全行業(yè)的老兵��,在近日舉行的IDC 2022 CSO全球網絡安全峰會(中國站)上����,盛邦安全創(chuàng)始人權小文分享了關于利用網絡空間地圖構建數字安全底圖的主題,并與鈦媒體App聊了聊,網絡空間坤輿圖那些事兒。
網絡空間坤輿圖與漏洞工程化
在物理世界內�����,我們很容易判斷從中國到美國應該采用何種路徑和交通工具,但如果在網絡空間中�,我們應該如何抵達呢���?
“在網絡空間中�����,我們同樣需要一張地圖。舉一個例子�,比如某大學����,在各種物理地圖上,很容易判斷該大學位于哪里�,大學內有什么樣的建筑物���,通過哪個道路進去。但是在網絡空間內看到的不是建筑物��,而是位于網絡空間內的承載該大學核心數據的服務器等資產?���!睓嘈∥恼f。
不同于網絡資產測繪,權小文認為����,網絡空間坤輿圖是數字政府、智慧城市等數字中國建設在虛擬空間中的呈現(xiàn),是關鍵基礎設施“摸清家底”的基礎�����,是網絡安全“掛圖作戰(zhàn)”的底圖�。
這個底圖具體是長什么樣子?
權小文進一步解釋稱該圖是對網絡空間萬事萬物的虛擬化呈現(xiàn)�����。它能呈現(xiàn)IT新架構、云計算�、移動互聯(lián)網等新技術應用的“邊界”和形態(tài),精準展現(xiàn)關鍵基礎設施����、網絡資產��、供應鏈關系等重要信息與數據����。
當前����,盛邦安全依托十多年在漏洞挖掘方面的大數據積累�,已經擁有了一個超過18萬條的漏洞庫并實時進行更新����,能夠動態(tài)守護用戶單位的網絡空間資產安全。“網絡空間坤輿圖通過對網絡空間社會面、地理面和人文面的算法分析�,幫助用戶從網絡空間全局的視角來審視和梳理整個網絡的安全域���,形成精準識別�、精確防御、主動防護的網絡安全保障體系����?����!睓嘈∥慕榻B���。
網絡空間坤輿圖的產生�����,實際上正是盛邦安全漏洞工程化能力的一種體現(xiàn)�����。它是跳出漏洞發(fā)現(xiàn)、漏洞挖掘���,對漏洞實現(xiàn)更高層次的復現(xiàn)、仿真并形成漏洞靶場的一種技術形式���。將漏洞工程化之后,形成漏洞靶場���,可以將漏洞批量處理,沉淀成漏洞監(jiān)測工具、漏洞管理工具甚至是網絡空間地圖。
“判斷一個漏洞檢測工具是不是好�,可以把它拿到漏洞靶場�,看是不是能夠檢測出問題����;另一方面,也可以在靶場中應用漏洞,檢驗防火墻是否能夠防得住?���!睓嘈∥慕忉屨f��。
網絡安全場景化不能自說自話
漏洞工程化要與行業(yè)結合,進入垂直行業(yè),貼身服務行業(yè)客戶是必然選擇。
談及十多年的網絡安全創(chuàng)業(yè)經歷,權小文感觸頗多��。令他印象深刻的是2015�����、2016年前后,公司決定深入行業(yè)做場景安全時�,他發(fā)現(xiàn)����,做行業(yè)安全要面臨許多之前沒有預想過的挑戰(zhàn)�。舉個簡單的例子,行業(yè)客戶對于一些術語的認知與網絡安全行業(yè)有很大不同��。之前盛邦安全在做通用標準化產品時����,都是按照國標、行標來做����,但沒想到垂直行業(yè)對于術語的定義與理解是不同的�����,有些雖然沒有形成行業(yè)標準,但卻是約定俗成的��。
“想做好行業(yè)場景安全��,就要深入了解客戶的業(yè)務和真實需求�����。就拿‘預警’這個詞來說��,在網絡安全行業(yè)當中,預警其實意味著‘監(jiān)測’����,重點在于‘查’問題���;但是在行業(yè)客戶中,他們理解的‘預警’其實意味著‘防’��,重點在于解決問題��?����!睓嘈∥恼f到。
后來�����,每當公司要進入一個新的行業(yè)�����,第一個動作就是規(guī)范行業(yè)術語以及特定詞匯的定義��,這是權小文從實踐中總結出來的辦法。
對于未來迅速迭代的網絡安全市場����,權小文表示會把漏洞工程化能力繼續(xù)堅持下去���。他認為�,未來無論是物聯(lián)網��、5G�,還是是信創(chuàng)趨勢����,其實本質上都是基于HTTP協(xié)議的Web安全,漏洞工程化的思路也完全可以適配未來不斷變化的市場����。正是這種技術創(chuàng)新能力和豐富的應急響應與安全治理經驗,權小文本人入選“中國CSO名人堂(十大人物)”。同時�����,他所率領的盛邦安全團隊�,憑借在API領域的技術前瞻性與創(chuàng)新能力,入選《IDC TechScape: 中國數據安全技術發(fā)展路線圖,2022》報告API領域的推薦廠商�。
回看網絡安全行業(yè)��,不同的網絡安全廠商都會選擇不同的技術路線做出各式各樣的網絡安全產品,權小文把這比喻為一場類似珠穆朗瑪峰的爬坡。“都是上珠峰�,有人會選擇南坡����,有人則會選擇北坡��。理念不同��,路線沒有對錯,只是恰好,盛邦選擇了用漏洞工程化為代表的核心技術能力繪制網絡空間地圖這樣一條更難的路而已���。”權小文表示。(作者 | 秦聰慧)
關鍵詞:
網絡空間
營業(yè)執(zhí)照公示信息