在体育界，赢防守者得天下的规律屡试不爽。意大利足球的钢筋混凝土式防守和NBA马刺队军事化的强硬防御体系，都曾让其桂冠加持、荣誉等身。

然而，进攻的不断演化使传统的防守理念遭遇冲击，哈兰德式的暴力美学与勇士队“不讲理”的三分雨考验着每一道防线的韧性。从进攻者的视角重构防守体系，逐渐成为新的潮流，传奇教练瓜迪奥拉倡导的前场压迫、中场控制以及边后腰、中后腰等踢法即是创新典范。

网络安全领域正在上演类似的故事。伴随千行百业的数字化转型迈向纵深，各类资产的暴露面呈几何级数增长，藏在暗处的攻击者借助崭新的技术手段与组织化的运作方式，打破了内外部环境、IT与OT等既有界线，对网络安全运营带来前所未有的挑战。

相关统计显示，网络安全市场涉及13大领域、84个细分赛道、400多家厂商和1300余款产品。纷繁复杂的产品和方案虽然能解决诸多场景的安全问题，但面对“道高一尺，魔高一丈”的现实压力，在实战中经常出现难以预期的纰漏，甚至陷入“头痛医头，脚痛医脚”的怪圈。

穿透现象看本质，跳出藩篱辟蹊径，才能化被动为主动。网络安全的本质是人与人之间的对抗，是攻防两端的较量。基于实战的需求和技术的演进，攻击面管理（ASM）最近几年脱颖而出，在一片“红海”中开辟了新航道，日益成为网络安全运营平台化、常态化趋势下的弄潮儿。

近日，以“持续验证 看见安全”为主题的2023网络安全运营技术峰会在京举办。机构专家、行业精英、企业领袖齐聚一堂，探讨数字时代网络安全运营技术演进方向与最佳应用，帮助企业实现对自身安全态势的全面认知，进而验证安全防御的有效性，持续提升安全运营能力。

显而易见，作为网安运营新赛道的典型代表，攻击面管理已从嗷嗷待哺的初生阶段进入“三岁看大”的成长周期，即将迎来“君子豹变”的奇点。

攻击面管理的演化轨迹与加速信号

早在2017年，国内网络安全攻防演练的刀光剑影中，就闪现出“攻击面收敛”的提法，只不过当时还没有真正成熟的产品和解决方案，亦并非安全厂商关注的焦点。

几乎在同一时刻，大洋彼岸的“蝴蝶”也扇动了翅膀。2018年，Gartner敦促安全厂商和用户监控和管理攻击面，作为整体网络安全风险管理计划的组成部分。

从概念的外延和内涵来看，攻击面是指企业所有可被利用的风险因素的集合，主要分布在端点、网络、服务器等物理面和数据泄漏、品牌侵权、钓鱼行为等数字面，而攻击面管理旨在识别、分类风险因素，并对其进行优先级排序和监控——按照企业内外部的不同视角，可分为网络资产攻击面管理（CAASM）和外部攻击面管理( EASM）。

舞台的氛围已烘托到位，还差主角的登场。围绕攻击面管理，从新品研发到方法论构建，需要探路者完成由0到1的实质性跨越，新兴赛道的快速成型更离不开勇于尝试的路径探索。

北京华云安信息技术有限公司创始人兼CEO沈传宝

在国内网安市场，创立于2019年的华云安扮演了攻击面管理开路先锋的角色。据北京华云安信息技术有限公司创始人兼CEO沈传宝透露，当时的创业公司大多从主动防御、情报协同、攻击反制三个方向寻求突围路径，华云安则以漏洞治理为切入点，深刻洞察暴露面与攻击面的差异，并逐步建立起从检测发现、分析研判到情报预警、响应处置的攻击面管理体系，在能源、电力、央企、金融等关基行业获得客户青睐。

值得一提的是，国际市场的攻击面管理热潮同样由点及面扩展开来。从2020年迄今，微软、谷歌、IBM等行业巨头纷纷采用并购等方式涉足ASM领域，Gartner在最近两年发布的报告中进一步将攻击面管理定义为“早期创新技术”，为网安运营新赛道正名。

安全验证与智能创新驱动攻击面管理全面进化

长期以来，网络安全领域存在三个“黑盒子”：一是看不到对手究竟身在何处，二是搞不准下一个漏洞出现在哪里，三是算不清安全投入价值几何。

针对业界普遍面临的痛点，沈传宝给出的药方是“被看见，才安全”。一方面，安全保护的主体必须被看见，层出不穷的数字化资产都应纳入攻击面管理的范畴；另一方面，安全防御的效果需要被看见，只有得到持续验证，安全的价值才能充分彰显。

如果说攻击面管理诞生的初衷就是厘清保护对象，从攻击者视角发掘“遗珠”，那么安全验证则是攻击面管理成长道路上新的里程碑，闯过这道关方可实现真正意义上的商业闭环。

事实上，安全验证并非简单的概念，而是包含多个维度的目标体系：第一验证攻击面，掌控网络资产可见性、安全漏洞、配置缺陷、不当权限等；第二验证安全防御的有效性，评估现有安全控制措施检测和阻止各种攻击的能力；第三是安全一致性验证，考量安全工具配置、检测分析预期的一致性；此外，事件响应的效率和安全成熟度改进也至关重要。

不难看出，提升安全验证能力不可能一蹴而就，需要经过长时间的实战积累，并借助智能化技术的创新突破才有机会迈上更高台阶。作为入选Gartner“2022年中国网安技术成熟度曲线”的攻击面管理和入侵与攻击模拟技术的双领域代表厂商，华云安将实战化与智能化紧密结合的发展路径颇具示范效应。

在实战层面，华云安2022年参加百余场攻防演练活动，涉及十多个重要行业的关基单位。通过实战的洗礼，华云安梳理了30万以上的外部互联网资产，在漏洞防御、数据安全、供应链安全、勒索软件等方面发现诸多亟待化解的风险——这些问题有相当大比例不在客户的视野范围内，此时“看见”为后续的“验证”奠定了坚实基础。

在智能化创新层面，人工智能通用化进程的提速和大模型技术的渗透，为攻击面管理的不断进化增添了新的动力。北京华云安信息技术有限公司产品总监王超分享了大模型在情报分析和攻防场景的应用：通过对1day漏洞、敏感数据泄露情报分析，帮助企业快速感知、决断响应；借助大模型将晦涩的攻防技术成果进行易读性文字总结，以及场景化验证脚本和思路生成，提高安全运营效率的同时，缩小攻防信息差。

在实战化与智能化的双轮驱动下，华云安基于攻击者视角已构建起完整的安全验证产品与服务体系，涵盖定位于内部资产攻击面管理的灵洞·网络资产攻击面管理（Ai.Vul），定位于外部资产攻击面管理的灵知·互联网监测预警中心（Ai.Radar），定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟（Ai.Bot）。这不仅意味着攻击面管理全链路的闭环体系业已形成，而且表明智能渗透、攻击模拟、战法推演等安全验证能力将协同发挥更大作用。

奔赴云原生×平台化×原子化的未来

以更开阔的视角来看，在人工智能、云计算、数据生产要素化等潮流全面交汇的变革窗口期，攻击面管理的进化之旅有望渐入佳境，网安厂商的平台化进程也将提速。

根据Gartner发布的《2023年网络安全趋势报告》，75%的组织正在寻求整合的安全方案供应商，预计到2026年超过40%的组织将依靠整合的安全平台来运行网络安全验证评估。

从某种意义上讲，安全产品的平台化与安全能力的原子化是“根与叶”的关系。离散式制造、统一式交付、集中化管理、智能化应用是安全能力原子化的核心特征，而基于云原生技术的整合平台则为其持续演进提供了最佳的“孵化器”。

近几年来，华云安坚持以平台化方向和云原生技术来构建产品体系——面向不同的场景会交付各种产品，但其均在统一的云原生平台上进行原子化能力的迭代。品尝过“云原生技术×平台化架构×原子化能力”的甜头，华云安还与数世咨询联合发布《原子化安全能力白皮书》，让阳光雨露普惠均沾。

“站在未来5到10年的维度，国内云计算市场的大爆发和数据要素的顺畅流动与价值释放都是大概率事件，华云安将在平台化的道路上继续奔跑。”沈传宝如是说。登高望远是个好习惯，据说这是长跑优胜者的秘密。

转载声明

本文转载自IT创事记，经协商华云安官方公众号已获得转载资格，特此声明。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课