编辑：阿冒

设计：沐由

公输般为楚造云梯之械成，将以攻宋。子墨子闻之，起于鲁，行十日十夜，而至于郢，见公输般。

子墨子解带为城，以牒为械，公输般九设攻城之机变，子墨子九距之。公输般之攻械尽，子墨子之守御有余。

关于攻击防御的盘面演练，很难找到比《墨子·公输》更早，且更加紧凑和生动形象的篇章。本文讲述的是公输般建造了云梯，准备帮助楚国攻打宋国，墨子最终化战火于无形的故事。

其实过程还是颇有些曲折的，墨子先后以德、以礼却不能服之，最终选择在可视的“盘面”上，以模拟的手法抵御住了公输般的所有器械与攻势，真正打消了侵略者的野心与意图。

御敌人于国门之外，是防御的最高层级。与之类同，在网络时代里，广大政企机构最需要的能力就是看得见对手、看得见攻击。那么，安全真的可以被看见吗？

在日前举行的“2023网络安全运营技术峰会（SecOps 2023）”上，一家叫做华云安的企业这样作答：可以，且持续验证。

01

攻击面管理的知行合一

华云安，全称北京华云安信息技术有限公司。作为一家网络安全领域的新锐企业，华云安从创立至今不过三年多的时间，却已经成为攻击面管理赛道的领导型厂商。

在今年3月发布的《IDC Innovators：中国攻击面管理（ASM）技术》报告中，凭藉前瞻的技术创新能力与深厚的技术实力，华云安被IDC评为“攻击面管理创新者”。

数字化转型的持续纵深，极大地盘活了企业的资产与资源，也使得企业的网络暴露面不断加大，这一趋势也导致攻击面管理（ASM）技术成为全球网安领域的焦点。

正因为如此，攻击面管理赛道吸引了不止是像Palo Alto Networks这样的网络安全领导者，微软、IBM和谷歌等巨头也通过收并购等方式，实现了快速“入局”。

与这些体量庞大的“巨兽”同行，固然令人热血沸腾。然而，在行进间不经意却又难以避免的刮擦，会不会让小身板的新锐企业被青春撞了腰，甚至是大伤元气呢？

对此，北京华云安信息技术有限公司创始人兼CEO沈传宝似乎并不怎么担心。在他看来，国内与国际对攻击面管理的研究，基本处于同步，而在应用场景方面，国内还更加丰富。国内企业的理念、方法和产品方案，正深度影响着全球对攻击面管理的认知和发展。

以华云安为例，2022年该公司就发布了涵盖网络资产攻击面管理、外部攻击面管理，以及智能渗透与攻击模拟的攻击面管理整体解决方案，为攻击面管理带来了全新的创意、方法和实践。

差不多一年之后，华云安又在业内率先提出，“攻击面管理”需要同时关注检测发现、分析研判、情报预警、响应处置等四个环节，以闭环的全生命周期为攻击面管理厘清了思路。

在本次的“2023网络安全运营技术峰会（SecOps 2023）”，华云安更进一步拓展了对攻击面管理的定义，将创新技术与网络安全需求深度融合，以实践助力企业的数字化转型。

“知者行之始，行者知之成。”就这样，华云安不断将自身对“攻击面管理”认知与实践推向纵深。

02

“网络安全必须被看见”

在主题为“持续验证，看见安全”的演讲中，沈传宝指出，数字安全需以“看见”之力洞悉威胁暴露面，感知风险，持续“验证”安全防御有效性，于攻防之中重塑安全运营的价值。

在这方“全新”的领域里，华云安的任何探索都不是技术主义的臆想，而是建立在客户的实际需求以及大量的实践之上。在各个关基单位（能源、电力、央企、金融），华云安在2022年的订单收入高速增长，收获了大量的成功案例。

“如果说SecOps 2022华云安发布了以攻击者视角构建的攻击面管理整体解决方案，那么SecOps 2023我们就是站在攻击者视角来‘看见’网络安全的完整态势。”沈传宝表示。

正是在去年的百余场攻防演练中，华云安注意到大量的外部互联网资产，其实并不在客户的视野范围内。沈传宝认为，在数字化时代，网络安全必须被看见，被看见、才安全。

诚然如此。长期以来，在网络安全领域，人们的注意力总是聚焦于那些看得见的敌人身上，至于那些限于自身能力无法看见的敌人，人们往往自欺欺人地当对方不存在。

实际上，看不见的敌人才是最可怕的，企业构筑的千里之堤会在顷刻间被攻破，造成难以估量和弥补的巨大损失。

基于此，沈传宝认为安全保护的主体必须被看见，各种数字化资产均应被纳入到攻击面管理的范畴。此外，安全防御的效果需要被看见，并且得到持续验证。

站在攻击者视角，华云安将安全验证分成五个方面：①安全攻击面；②安全有效性；③安全一致性；④事件响应的效率；⑤安全成熟度改进。

“我们在安全验证上覆盖了完整的智能渗透、攻击模拟、战法推演等安全验证能力，由内及外地全面审视客户的数字资产，来做安全有效性的验证、安全一致性的认证，以及提供安全能力的可视。”沈传宝表示。

与此同时，华云安始终坚持以平台化和云原生的技术构建整个产品体系——这已被业界公认为产业发展的主要方向。

03

安全大模型的思考与实践

目前在国内， ChatGPT的热潮已经席卷了众多领域，所有我们耳熟能详的科技公司都在做大模型。作为工业革命级的生产力工具，ChatGPT被认为将会重塑所有的行业，包括网络安全。

没错！在云服务之外，大模型被认为将会给网络安全领域带来新变化和新价值。

我们知道，大模型的训练是非常昂贵的。作为一家创业公司，华云安之所以愿意真金白银地投入进去，就是因为看到了这样的发展趋势，沈传宝相信长期的竞争力需要一点一点的积累，“等到有钱了、规模上来了再去投入，那样就晚了。”

大模型是自然语言交互的方式，用自然语言交互的方式来影响大模型判断的结果。从攻击者的角度来看，组织化、自动化、智能化，包括生成的攻击脚本，这些用人工智能确实会更“方便”、更“高效”。换言之，防御者的难度和成本也会越来越高，这也意味着在未来的一场场“墨攻”战役中，华云安有更大的施展空间。

毫无疑问，大模型在网络安全领域的应用还有很长的路要走，不过华云安已略有小成：在本次SecOps 2023大会的现场，华云安展示了大模型在攻击面管理典型场景中的应用，显示出在拓展威胁情报、智能攻防等方面，大模型有着充分的挖掘潜力。

不过沈传宝也坚信，无论此前几年的深度学习，还是说现在的大模型，其实均是以数据应用为核心，这也是网络安全领域最底层和最核心的技术——如果网络安全企业自身没有过硬的本领，大模型既不能帮它重塑竞争力，也无法为它的客户提供保护。

从2022年至今，在国际和国内权威机构发布的攻击面管理报告中，华云安出现的频率也越来越高。“我们将坚持以平台化方向和云原生技术来构建产品体系，进行原子化能力的迭代，为企业数字化转型提供安全保障与业务护航。”沈传宝表示。