打破内卷,一家很酷的安全企业是如何炼成的：从被动到主动到对抗

最近网络安全创新企业华云安完成了亿元A+轮的融资，赛博英杰旗下的网安投资基金国君景泰也参与了跟投。

前几天，数说安全仙儿和华云安CEO沈传宝在北京小聚，仙儿忍不住调侃起华云安近期的大量招人。

沈总笑着说，人才是公司核心竞争力啊！

确实，网络安全领域属于技术密集型产业，人才是第一生产力，但沈传宝说，华云安一直注重人才体系的建设。“公司的创业团队都是安全行业十几年经验以上的元老，为了聚集人才，我们分别在合肥、郑州设立了安全研究院，就是希望更好的运用区域人才优势，优化安全研究体系，满足技术研发需求。”

如果知道华云安的业务，就不难理解他们为什么如此求贤若渴。华云安2019年7月成立，是一家专注于攻防研究的公司——要做好“攻防”，缺少高精尖的技术人才是不行的。

我们了解到，身为华云安的创始人，沈传宝自己就是20年以上的网络安全行业经验的连续创业者，曾任捷成股份（300182）安全业务负责人、安信华（836174）联合创始人兼 CTO、中新网安 CTO；是国家信息安全漏洞库（CNNVD）特聘专家；多次获得省部级科技创新一等奖、科技创新优秀个人；是多个国家标准/行业标准起草者、拥有数十项发明专利。

沈传宝笑谈之后话锋一转，略带认真地说道：“人才迭代的核心目的，是为了打磨产品的硬实力”。

将攻防能力落地为可用的产品和方案，这件事儿华云安做得很好。

华云安在成立最初的两年中，专注漏洞打造了一攻一防2个产品体系：

• 灵洞--威胁与漏洞管理系统：以漏洞优先级技术为主导思想来打造漏洞运营管理闭环；
• 灵刃--智能化渗透攻防系统：以人工智能赋能安全攻防，把人与人之间的对抗，过渡到AI与AI之间的对抗。

在2021年，也就是公司成立第二年向第三年过渡之时，他们看准时机，进一步打破安全攻防市场的内卷，正式以攻击面管理（ASM）核心思想，推出国内首个完整的攻击者视角的安全运营一体化解决方案。

啥是“攻击面管理”？

“攻击面最通俗的理解就是站在攻击者视角，企业或组织可以被攻击的入口。传统的漏洞更聚焦在信息系统的缺陷方面，而攻击面可以是漏洞，也可以是数据、人、业务流程、设备等。”

沈总说的比较通俗，我们可以这么理解：对于外部攻击者来说，攻击面是指所有可能会利用的被攻击者缺陷的总和；对于被攻击方来说，所有可以被攻击者输入或提取数据而受到攻击的点位都属于攻击面的范畴。攻击面管理的思路是，站在外部攻击者视角来看企业内部系统的安全防御问题。

那为什么说攻击面管理是打破了安全行业内卷呢？

沈总给我们大致解释了一下。过去攻与防都是以漏洞为核心，无论是攻防演练的准备工作，还是企业网络安全建设实践，大家更专注于漏洞层面。但漏洞更多指的是信息系统存在的缺陷，实际上企业或者组织在面临攻击的时候，可能不仅仅是所谓软件的缺陷，也可能包含未知资产（影子资产）的管理、数据泄露问题、钓鱼网站问题、来自第三方供应商的供应链安全问题等。

“要注意，漏洞管理更加具象在信息系统的漏洞层面，是攻击面的组成部分之一，并不是有了攻击面管理，就不需要漏洞管理，两者之间并非是取代的关系。未来漏洞管理在相当长的一段时间内仍然会存在，它是一个非常专项的内容，攻击面管理是在漏洞管理的基础之上更广的外延。”

“我们如何理解攻击面管理？它是一个产品？还是解决方案？还是理念？或是技术？”仙儿问

沈传宝解答道，攻击面相关的概念和术语是Gartner在2018年提出的。攻击面管理正式成为一个创新领域是最近一两年的事情，比较典型的两个事件是：2020年Palo Alto公司收购攻击面管理公司Expanse，2021年Microsoft收购攻击面管理公司RiskIQ。攻击面管理（ASM）在2021年7月正式进入Gartner创新技术曲线中的萌芽阶段。

沈传宝认为， “攻击面管理”并不是指某一个具体的技术。

“我们更认为它是一个技术框架。”

他认为，攻击面管理的一套框架包含渗透测试及服务、扩展检测响应、漏洞优先级技术、自动化VS技术等，且需打通检测发现-分析研判-情报预警-响应处置形成闭环，最早Gartner提出的ASM也是这种核心思想。

“Gartner是怎么开始提出攻击面管理的呢？”仙儿接着问到。

沈传宝说：“Gartner不会去凭空创造一个名词，网络安全技术的发展是市场需求决定的。”

当市场需要某些技术去解决某一个问题的时候，我们习惯把这些技术抽象地概括出来，变成一种方法或者概念，这也是新技术被广泛认同的核心原因。例如零信任的思想开始传播之后，很多安全供应商都会觉得“其实我们一直在做的也是零信任啊”，因为大家都是从市场需求出发，很快就能不谋而合。

国内网络安全发展的特点是比较鲜明的，从上个世纪九十年代开始，至今30多年安全市场都更加关注“合规”，可是近几年市场需求在变化。随着攻防演练活动的深入，大量业务的数字化、上云，“合规方案”逐渐无法满足市场需求，市场从合规驱动逐渐在转变为效果驱动，被动防御逐渐转变为主动防御。

沈总说：“我们在主动防御之上，提出了新的理念：对抗性防御。网络安全本身就是对抗，只有在对抗中才能够进步提升，这就是我们做攻击面管理的核心思路，站在外部的攻击者视角来看组织的网络安全如何进行防御。”

仙儿继续提问，什么样的客户会最需要攻击面管理？

沈传宝：“首先是国家关键信息基础设施单位（这是我们安全保障工作的核心），包括金融、能源、交通、运营商等关系国计民生的各个行业。因为这些行业遭受到攻击的可能性最大、遭受到攻击带来的危害不可估量；同时从安全管理能力来讲，关基单位近年的安全管理能力也得到了突飞猛进的发展，对全面风险管理的认知也最深刻，接受度高。”

这么说来，攻击面管理市场空间大，需求足，且符合安全业务发展的特性。难道其他安全公司就没有想到这个问题么？攻击面管理在国内的市场上，华云安是首创么？

沈传宝解答了我们的问题：“攻击面检测相关的技术，华云安并不是初创，严格意义来说，漏洞扫描、资产测绘都跟攻击面检测相关。”

他说，在国内，华云安是最早提出完整攻击面管理（ASM）框架的公司，并依此推出一系列围绕攻击面相关的产品体系。他们认为，在以持续监测响应为目标的各种安全运营技术，比如VPT、BAS、XDR等，其所覆盖的领域往往是独立的，相关技术很难实现有效的整合。对于安全管理者来说，更希望通过一个平台或者框架来融合不同的安全能力，或者是通过一套完整的方法论来落地威胁和风险管理，以提高对威胁的感知能力、网络安全管控和响应能力。攻击面管理（ASM）可以说既是一个新兴技术，也是一个新兴的方法论，是一个天然的技术融合架构。

要做到攻击面管理，最核心的是‘攻击者视角’，这方面一直是华云安的核心基因。

从内部到外部，从已知到未知，从单点到多源，从技术到业务，从设备到人，从流程化到智能化……这些攻击面管理的基础内涵问题都需要很强的攻防能力才能够实现。华云安就是这样的一个团队。

到此我们也算理解了，与其说华云安选择了攻击面管理，倒不如说是攻击面管理与华云安在以攻促防思路上具备高度的统一。

最后我们邀请沈总介绍一下华云安攻击面管理的落地方案和产品，利用我们平台给这项国内乃至世界的先驱技术方案做一波广而告之，也想让沈总跟我们说说，用户在使用攻击面管理产品和方案的时候，要如何去用，如何与业务结合。

沈总欣然解答，华云安目前的攻击面管理的产品形态是基于云原生架构上的安全能力平台。

“我们打造的是一个面向未来的云原生安全平台，通过微服务的方式提供各种安全能力。我们交付给客户的不是一个个单一的产品，我们是通过云原生安全平台，将不同的安全服务能力交付给客户，而且随着平台的能力增强，我们可以交付越来越多的安全能力。”

“作为创业公司，我们认为技术也好，商业模式也好，一定是面向未来的。我们非常坚信3年以后、5年以后，我们的正确性会得到验证。”沈传宝说。

嗯，酷。