在2019年开年爆红的古装剧《知否知否,应是绿肥红瘦》里,有一幕剧情令人捧腹:在春宵一刻值千金的大婚当夜,顾廷烨和盛明兰居然各自拿出自己继承的家产和嫁妆,一张一张开始数地契,核实夫妻名下究竟有多少产业和财富。仔细想想,这处剧情颇有深意,因为只有明确地知道手里有多少资产多少张底牌,才能“知己知彼”从“宅斗”中胜出。而到了现实中,对于网络资产梳理和治理,终于也得到了足够的重视,成为网络空间治理的基石。在2019年RSAC大会上,摘得今年RSAC2019创新沙盒大赛的冠军Axonius,正是一家做网络安全资产管理平台的公司。
当网络资产治理成为2019年全球安全圈“新宠”时,其实中国在网络资产管理领域已经有“先行者”了。日前,盛邦安全CEO权小文对于网络资产治理的兴起并不意外,在他看来,这意味着网络安全界终于开始务实起来,开始注重基础工作了。
【盛邦安全CEO权小文】
资产不清 安全就是空中楼阁
盛邦安全对资产治理的关注还要追溯到2014年。当时通过对数百起攻击事件的持续跟踪和分析,盛邦安全发现,很多机构之所以出现安全隐患,原因就在于对自身的资产状况不清晰。
他举了一个例子,某家机构部署了很多安全产品和解决方案,不仅高度符合安全合规性要求,而且等保验收都顺利通过。然而令人费解的是,这家机构的网站频频遭受安全攻击,网站动辄无法打开。经过深入分析和查证后,盛邦安全的专家团队发现,这家机构的网站防护级别很高,的确没有漏洞,但是机构下属有十几家二级单位,很多子系统根本不在备案登记之内,也被排除在二级等保范围外,因此安全性得不到保障,也给上属机构的安全带来了极大隐患。
正所谓“举一反三,推一及百”,盛邦安全很快发现“资产管理存在疏漏”的现象其实在很多行业都普遍存在着,盛邦安全敏锐地捕捉到对于网络资产梳理和管理的价值,此后便从资产梳理开始,在资产治理领域进行了长期的探索与创新。
“如果资产不清,基础不牢固,那么安全就是空中楼阁。先摸清家底,做好资产梳理,再做安全才是真正有效的做法。”权小文所表达的观点其实与Axonius的理念不谋而合,Axonius 的口号正是“You Can’t Secure What You Can’t See”。
工程化思维+技术实力=精准高效的资产安全治理解决方案
目前,业界对于网络空间的资产识别和管理大致上可以归纳为三种手段:其一是安装代理(Agent),本次获奖的Axonius采用的就是这种模式,它的优点在于获取的信息多,能实时感受变化,缺点是Agent部署有限,场景有限;其二是流量分析,即通过流量分析获取网络资产情况。这种模式的优点是对系统无感,能支持更大规模的部署,而缺点在于流量采集点限制了资产识别的准确性和完整性;其三是主动探测,即发指定探测包,通过回包确认指纹识别资产属性,这是当前普遍采用的办法,比如shodan等。
盛邦安全所采取的手段是第二种与第三种结合,即主动探测和被动流量分析相结合的方式。2015年,盛邦安全发布了Web资产治理平台系统(RayGate),并在之后的几年内,不断升级、精心打磨该款产品。2017年,盛邦安全开发了大规模网络资产探测系统(RaySpace),专注方向开始从Web安全延伸到数据资产治理的领域。目前,盛邦安全具备了主动与被动资产探测能力以及一整套资产安全治理解决方案。
在长期与客户的沟通和切磋中,盛邦安全也琢磨出一套方法论——基于“安全有道,治理先行”的数据资产安全治理核心理念,打造“资产摸底-备案管理-立体化防御(等级保护)-自动化安全运营-应急处置”的“五步法”资产安全治理解决方案,覆盖客户数据资产全生命周期。
“方法论听起来容易,事实上落地还会遇到各种各样的难题和挑战。”在权小文看来,最难的就是用工程化的思维来打磨解决方案。客户的需求非常简单,找到所有未知的有疏漏的网络资产,这个东西说易行难,难就难在当网络资产的数量上规模之后,如何利用大数据技术、AI识别技术快速精准地从网络空间35亿IP地址中挖掘出有关联的隐藏资产。“要想速度快,就必须用工程化的产品,提供工程化的能力。要想准,就需要考验大数据分析能力,和AI智能分析能力。技术实力和工程化思维,二者缺一不可。”
对“一窝蜂追热点”乐见其成?
令人顾虑的是,既然资产梳理和管理成为2019年大热门,那么安全业界会不会跟风而上,进入“产品同质化,竞争低价化”的怪圈呢?对此权小文的态度非常坦然,或者说他更乐见其成。
他表示,如果真的出现众人一窝蜂上马资产治理的现象,那么说明网络安全业界开始真正从做实事出发了,这其实算一件好事。对于竞争他并不担心,因为资产治理的范围非常大,可以孵化出很多不同方向、不同类型的安全解决方法,比如和业务关联的资产治理、和大数据分析有关的资产治理等等。市场之大完全可容纳足够差异化的竞争和发展。
当然,更重要的是,盛邦安全已经率先进入这个领域。通过这些年的实践,也摸索出很多工程化产品经验和自主研发经验,包括从头开始写引擎,如何做深度检测和快速普查,确保结果的准确性和高效性,这显然也不是通过开源软件做一个样本和模型就可以追赶上的。
目前,盛邦安全数据资产安全治理运营平台已经在国内多个行业落地开花。权小文告诉记者,全国985/211高校中有100多家在使用盛邦安全这套解决方案,清华大学、浙江大学、复旦大学为代表的超过1/3的双一流高校客户对盛邦安全非常认可。在国家互联网应急中心、国家电网、中共中央党校、北京市教委等行业客户系统中也能看到盛邦安全的身影。相信,未来行业客户对网络资产“知根知底”的需求将越来越旺盛,一场追求“可知、可控、可管”的安全务实运动正在浩荡展开。