日前,网安专业媒体安全牛【牛人访谈】栏目专访了知道创宇CSO黑哥(周景平)。
围绕知道创宇出版的新书《网络空间测绘技术与实践》,安全牛分析师与黑哥就网络空间测绘技术当下的应用与挑战、未来的发展与创新进行了对话与交流。
以下全文转载自安全牛公众号。
访谈嘉宾:黑 哥
记者:石益凡
分析师:徐晓丽
随着网络技术的发展和应用,网络空间已成为国家继海、陆、空、天之后的第五大主权空间。而网络空间测绘融合了网络通信技术、网络空间安全、地理学等多门学科,将网络资源属性以及资源间的关联关系进行建模和表达,反映网络空间资源状态变化、网络行为和数字化活动意图。可以说,网络空间测绘不仅是网络实时观测、准确采样、映射和预测的重要手段,也是数字化时代实现数字化生产生活和数字化治理的重要基础设施。
尽管网络空间测绘技术具有十分重大的应用意义。从实际应用角度,目前网络空间测绘技术的应用成熟度如何?其实际应用过程中面临了哪些挑战?未来又会有什么样的创新发展?带着这些问题,安全牛日前邀请到国内网络空间资产测绘领域专业厂商知道创宇CSO周景平(黑哥),就网络空间测绘技术的创新应用和未来发展进行了交流。
黑哥
黑哥(原名:周景平),知道创宇首席安全官、404安全研究体系总负责人,国内代表性黑客技术研究专家之一。在业界有“漏洞之王”之称,在安全领域曾提出过多种攻防技术创新得到业界广泛关注及认可,尤其在漏洞挖掘及网络空间大数据分析挖掘等领域有深入的研究,部分成果处于国际领先水平。全球著名网络空间测绘搜索引擎“钟馗之眼”(ZoomEye)的发起者及倡导者,是畅销书《网络空间测绘技术与实践》作者之一。
01
安全牛
我们看到,网络空间测绘技术目前有非常高的关注度,而知道创宇不久前正式发布了《网络空间测绘技术与实践》一书。从本书创作者的角度,您是如何理解网络空间测绘的定义和内涵的?
黑哥
大家对网络空间这个概念的理解其实是不一样的,比较常见的一种理解就是单纯指互联网、局域网及各种设备组成的数字空间。但是如果把“网络空间”这个词输入到翻译软件里,它会给你输出一个词“Cyberspace”,而这个词再翻译成中文的话,会出现另外一个直译的词“赛博空间”。在20世纪80年代初,美国科幻作家威廉·吉布森在他的小说中创造了“赛博空间”(Cyberspace)一词,实际上他所描述的“赛博空间”包含上面提到的“网络空间”并强调了“网络空间”与实际物理世界空间是关联对应的。
实际上,我们提到的“网络空间”主要指“赛博空间”,这个理解很重要。我认为:网络空间与现实空间都是存在各种映射关联的!这才是赛博空间的真正意义!这也直接影响到对网络空间资产测绘的理解,尤其是在应用实践上。
随着信息技术的发展,网络空间已成为国家继海、陆、空、天之后的第五大主权空间,因此网络空间测绘技术的应用就成为不可或缺的需求,从对国家安全的保护,到对企业安全和个人安全的保护都有着至关重要的作用。最早关注网络空间测绘的应该是美国,也诞生很多著名的计划比如NSA的藏宝图计划。到2009年Shodan发布,标志着网空空间测绘搜索引擎的时代开始。
知道创宇从2010年开始关注网络空间测绘技术,首先在公司内部启动了ZoomEye产品的雏形打造,并在2013年正式对外上线。目前,我们已经有10余年网络空间测绘相关技术及数据的积累。近几年来,互联网上出现很多类似于ZoomEye的网络空间测绘项目,以至于有一些人觉得这个产品很容易做,无非就是一个类似Zmap的大规模扫描器外加一个ES数据库就可以实现了。但实际上,我认为网络空间测绘是一个非常复杂庞大的体系,会涉及多个学科及领域的知识,因为我们自己就踩过非常多的坑。为了让行业用户更好了解网络空间资产测绘,我们在几年前就有了写一部相关书籍的想法,但是由于工作繁忙,大家都把精力放在了技术研究及产品完善上,所以直到前面不久我们才把《网络空间测绘技术与实践》一书完成并发布。
在这本书中,我们基于知道创宇在网空测绘领域多年的技术研究及应用实践经验总结,对网络空间测绘技术进行系统梳理,并详细描述了网络空间测绘技术的原理、能力体系构建以及典型应用场景。我们在撰写这本书的时候,还尽可能选用了一些贴近实战、浅显易懂的案例,这个是主要是想着照顾下初学者,希望本书的所有读者都能有所收获。
02
安全牛
很多人会把网络空间资产测绘错误理解为资产扫描与发现,认为他们都是以数据采集和识别为目标,您如何看?
黑哥
很显然资产扫描和发现不等同于网络空间测绘,我们可以从字面上去做个简单拆解,可以把资产扫描和发现理解为“测”的一部分,那么我们还需要去“绘”。在2019年KCon大会上,我对此进行过总结强调:要做好网络空间资产测绘一是要获取更多的数据,同时还要为这些数据赋予灵魂,也就是说要去分析数据、解读数据。
就像我们之前所提到的,网络空间与现实物理空间存在着多种映射关联,需要通过分析数据去找到这些对应关系,并描述出来,这其实就是“绘”。网络空间资产是随时间变化而不断变化的,在这个角度上来看资产扫描与发现很多时候只是某些单一时间点的任务,而资产测绘的探测扫描则是持续的,通过网络资产的动态变化,反映现实空间的变化,这也就是我们提出的“动态测绘”理念。
当然,资产扫描与发现和资产测绘还有数据采集维度上的区别,资产测绘需要关联多种数据来完善目标画像,比如通过关联某个IP地址是否曾经被用来做恶意攻击,来实现对这个IP资产的深度刻画等。
03
安全牛
您认为目前网络空间测绘技术的应用成熟度处于什么水平?还需要有哪些新的技术能力来优化完善?
黑哥
目前,如果仅从IP探测扫描这个维度来看,网络空间资产测绘技术的应用已经相对比较成熟。从早期主要是使用Nmap方式,到2013年ZMap出现后,开始进入Mass探测阶段,可以在几分钟内,对整个IPv4地址空间进行扫描,再后来也出现MassScan等类似的项目。但是任何事物都有两面性,应用成熟也意味着对抗不断激烈,现在很多VPS厂商是禁用Zmap这类的部署探测的,另外还存在节点被封禁的问题,所以这也是需要去重新解决的问题。
另外,现在网络空间测绘的对象已不仅仅是针对IPv4网络地址,还有域名、IPv6地址,以及暗网、区块链、星链等专网领域,这些都需要新的测绘能力。对于这部分的知识在《网络空间测绘技术与实践》第一页的技术大纲中就有体现。
除了在对象探测的维度,网络空间测绘实际上还面临很多其他方面的挑战,比如数据量越来越大所来带的存储、分析的压力,以及ES等新技术的应用也会带来很多新的问题。我们应该主动去关注并整合各个领域里的重要技术突破,比如最近火出圈的ChatGPT,就可能会在目标画像、指纹识别等方向存在非常值得期待的技术突破。
04
安全牛
您刚才提到要使用和用好网络空间测绘可能会还很长时间?为什么?网络空间测绘技术的主要应用场景和应用价值是什么?
黑哥
在谈这些问题之前,我首先引用下《网络空间测绘技术与实践》前言中的一句话:“格局决定一切!” 。我认为网络空间测绘技术的应用空间及场景是非常庞大的,用测绘技术来做什么事情完全取决于使用者的“视野”和“格局”。也就是我坚持说的“道”,很多东西需要你“想得到”、“看得见”,最后才能“看得清”。
目前来看,网络安全仍然是网络空间测绘技术最主要的、最核心的应用领域,主要包括漏洞影响评估、资产普查等方向。这主要是由当前客户的应用需求决定的,现在很多企业用户都比较迫切需要梳理清楚自己的网络资产暴露面,像前几年我们强调的影子资产,近两年开始强调的所谓的“攻击面管理”等,这种测绘的对象主要是企业内外部网络中的域名、云主机等资产,同时也包括一些欺诈性伪造网站的识别需求。这些在我看来可以算是网络空间测绘技术最基础,也是最成熟的应用场景,我们公司在这个方面有很多非常成熟的产品,能够满足各种客户不同场景的应用需求。
同时,我们也一直致力于各种新的测绘技术应用场景探索,并提出了“行为测绘”、“动态测绘”、“交叉测绘”等创新应用理念,也为此进行了大量的实践尝试。比如,我们很早之前就推出了“数据订阅”的模式,可以通过搜索语法来监控用户关注的新增资产,第一时间发现资产暴露的问题;再比如,我们将APT攻击测绘与我们的NDR系统进行了智能联动,通过“行为测绘”对APT组织所使用的资产进行全网“动态测绘”,在APT攻击行为具体实施前,通过NDR产品提前进行拦截防御,真正做到了“向前防御”!
我一直认为,之前所说的“赋予数据灵魂”,其最终目的就是要让数据蜕变成为一种“知识”,并在此基础上进一步升级为“智慧”,从而更好地指导决策。比如每次提到这个都必提的2014年“心脏流血”漏洞,我们通过持续的全球“动态测绘”,通过每天漏洞影响的IP数据变化,最终得到当时我们国家的安全应急能力在全球排在102位,这表明当时我们国家急需提升漏洞应急响应能力。还有去年⼀直延续至今的“俄乌冲突”,我们通过测绘发现非常有意思的事情,比如可以说我们提前“感知”了俄乌冲突爆发,这通过针对俄罗斯针对乌克兰进行网络攻击的多个APT组织使用的C2等网络资产测绘,发现在2022年1月提前做了大量的用于攻击的服务器资源部署。我们还“感知”了俄罗斯的攻击各个阶段的进攻路线及攻击方式等。
基于这种理解,我认为网络空间测绘技术的应用不会局限在网络安全领域。比如,当新冠疫情爆发的时候,通过VPN的部署趋势就可以预测疫情所造成的影响,甚至通过设备分布也可以洞察某个厂商的市场覆盖能力及不足等。但对知道创宇来说,我们作为一家专业的安全厂商,将网络空间测绘技术应用在网络安全领域,会是我们今后研究的核心方向,特别是在区域测绘这块。
05
安全牛
您刚才提到了攻击面管理(ASM)技术,目前同样是行业普遍关注的焦点领域。您对当前ASM技术应用发展有何看法?
黑哥
在网络安全领域,从不缺少各种新概念和新理念。但其实我本人对这些“新概念”不是特别感冒。从我个人理解,如果说网络空间测绘的资产梳理是站在防御的角度去实施的,那么攻击面管理技术更强调从“攻击者”视角去寻找问题。所以在Gartner正式提出攻击面管理这一概念之前,我们实际上就已经开始大量的落地实践了。
“攻击面管理”实际上是一个综合性的概念,包含:外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点/漏洞优先级技术(VPT)等多个场景的技术,其核心点是基于大数据的攻击面持续监测治理。因此我相信,在网络空间测绘及漏洞评估管理等方面有数据及技术积累的公司,在帮助企业实现攻击面管理方面会有天然的优势。比如知道创宇404实验室,在这几方面积累深厚,尤其测绘有ZoomEye,漏洞有Seebug平台等,目前我们推出了基于SaaS的互联网攻击面管理平台ScanV以及基于本地业务网络的网络资产攻击面管理系统ZoomEye Pro等。
从Gartner最新发布的成熟度曲线来看,攻击面管理技术还处于相对早期发展阶段,其相关产品或者服务需要与甲方的安全运营相契合,对于市场来说还是一个相对新兴的领域,广泛应用还需要些时间融合。
06
安全牛
针对企业开展网络空间测绘工作,知道创宇提出了一个“5W”理论,能够结合企业日常安全工作的实践,谈谈如何将网络空间测绘技术的应用价值最大化?
黑哥
随着新一代网络安全技术方案趋向于整体综合性方案,会更加强调各个技术或者产品之间的有效联动,有很多的安全产品和工具都已经完成API化就说明这点,当然在具体的实践过程中,会出现谁来主导的问题,比如在网络空间测绘视角上,你要用防御的视角看,可能就是资产管理主导,然后配合漏洞管理的相关能力;而从攻击者的视角,就会去评估漏洞是否会影响资产的安全等。
在《网络空间测绘技术与实践》一书中,我们围绕网络空间资产测绘技术的落地应用提出了“5w”理论,即:
1. Who(全息):谁的资产,谁在用它。
2. What(全知):是什么资产,提供什么服务。
3. Where(全域):在哪里,还有哪些。
4. When(全时):这是什么时候的资产,发生过什么变化。
5. Why(全因):为什么?
结合到网络空间测绘就是为了解决这个5个基本问题展开的,这个其实就是为了我们数据获取、技术及产品研发指明方向的,当然每个客户的需求及应用场景不同,也导致他们的选择的侧重点不同,比如客户受到攻击时,客户可能更加关注是谁在攻击我,这个时候客户关注点在于攻击者的资产(what)及其归属(who),然后进一步走下去可能就会去关注什么时候部署的(when),他还部署了哪些机器(where),他们这样部署的目的是什么(why)。客户在选择测绘产品的时候,应该多结合实际的需求及应用场景,甚至通过反复的测试调节,来找到最适合的产品形态。
07
安全牛
网络空间测绘作为未来网络安全防护的重器,您认为其未来会有什么发展演进的趋势?
黑哥
前面聊了那么多,在我看来网络空间测绘是一个非常庞大的领域,这个可以对比下现实空间里的测绘学科。随着现代社会越来越高度数字化,网络空间也就越来越重要,网络空间测绘是摸清网络空间资产,而这些资产其实最后表现现实就是数据,而数据被认为是最基础的战略资源。所以获取更多的数据,赋予数据灵魂就是我们网络空间测绘的核心。
技术的发展也会给网络空间测绘引入更多的应用场景,比如云技术带来的云测绘,暗网带来的暗网测绘,星链卫星通讯带来的星链测绘等等。另外,数字资产在多个场景下复杂交织,像公有云、私有云数据混合,明网和暗网交集,内外网边界越来越模糊等,也会导致技术和产品方案的融合和变化。
另外在网络空间测绘技术本身,其实也存在很大的空间,比如前面提到的,目前没有一个测绘系统能完全覆盖所有网络系统端口,我们还有很多的协议和资产还没办法识别,这就需要更多的创新性思维,甚至要以跨维的视角去看这些问题,比如前面我多次提到的ES大数据技术广泛应用,再比如最近很火的ChatGPT带来的AI技术平民化趋势等等,都可能引发网络空间测绘新技术变革,我们应该提前做好准备。
安全牛评
网络空间安全只有“看得见”才能“防得住”。随着攻防演练、全息资产管理、攻击面管理需求的增加,网络空间测绘的应用正逐渐变得广泛,而未来将网络空间测绘应用于风险管理和预测也一定会成为很多企业的重要基础事项。但我们也看到应用网络空间测绘工具去支撑网络安全建设,很多场景下还是会有一些硬性的指标要求,需要更多的创新和融合技术,应用场景的持续挖掘以及数据持续的深度的积累。
