攻擊面管理在國內尚屬一個全新的賽道，而根據Gartner的劃分，其中細分的CAASM（內部攻擊面管理）和EASM（外部攻擊面管理）兩個概念，就更加的新潮?！艾F(xiàn)在去談國內的市場競爭還為時尚早，更應關注的是在于如何趕上國際領先的技術水平?！痹诮邮馨踩?19采訪時，零零信安創(chuàng)始人、CEO王宇的這句話給我們留下了深刻的印象。

（零零信安創(chuàng)始人、CEO 王宇）

作為目前國內外部攻擊面管理（EASM）賽道的唯一參與者，可謂是真正的先行者，這一特點也讓我們對其產生了濃厚的興趣，外部攻擊面管理這一技術理念到底能給用戶帶來什么樣的價值？零零信安選擇這樣的一個賽道有著什么樣的思考？對未來的市場競爭格局又是如何看待的呢？帶著這些問題，我們與王宇進行了深入的交流。

● 談創(chuàng)業(yè)初衷

以攻擊者視角為客戶

提供立竿見影的安全產品

作為投身網絡安全產業(yè)20余年的老兵，王宇曾先后就職于多家國內網絡安全頭部企業(yè)，既做過與安全相關的技術、服務等具體工作，也從事過產品商業(yè)化開發(fā)以及運營超200人規(guī)模的安全團隊等管理工作，和那些安全行業(yè)中普遍常見的技術型創(chuàng)業(yè)者不同，豐富的經歷讓他深知技術理想和商業(yè)化之間的關系，就創(chuàng)業(yè)而言，這的確非常關鍵。

談及創(chuàng)業(yè)初期的方向選擇，王宇坦言其背后并沒有多少深意?！凹热皇莿?chuàng)業(yè)，肯定還是希望能夠做自己喜歡甚至是熱愛的事情，網絡安全是一個很龐大很復雜的大賽道，去一個個的研究分析最后做出選擇是不現(xiàn)實的?！蓖跤钫f道，“大部分安全產品是從防御者的視角去考慮的，提供給客戶的，多是“事中”（攻擊者已開始嘗試攻擊）和“事后”（攻擊者已攻擊成功）防御。這類產品最大的弊端是被動，并且一旦某些弱點失守，補救成本很高。在和攻擊者的較量中，要想做到知己知彼，還應該從攻擊者的角度去觀察企業(yè)安全性，在“事前”采取主動防御的手段，提前預知自身的薄弱點進行攻擊預判和處置。同時，這一方式在安全建設中的效果展現(xiàn)方面也是立竿見影的?！?

這里的“立竿見影”可謂非常關鍵，為何安全經常被忽視？為何安全市場發(fā)展主要來自于合規(guī)驅動而非價值驅動？安全建設的價值無法“立竿見影”般體現(xiàn)出來就是一個重要的原因。在業(yè)務上的投入一般可以很快得到反饋，而在安全上呢？如果沒有事情發(fā)生，恐怕有很多人會覺得在安全上的投入是一種“浪費”的行為吧。

談到這里，我們不難簡單總結出王宇創(chuàng)立零零信安的初衷——以實戰(zhàn)角度出發(fā)，基于攻擊者視角去審視自身弱點，幫助用戶在防御黑客攻擊的工作上能夠做到有的放矢，同時為用戶提供看得見的安全建設成果，也就是要有立竿見影的效果。

時間回到一年半前，零零信安剛成立的時候，在具體技術路線的選擇上，他們的核心團隊當時一致認為攻擊面管理（ASM，Attack Surface Management ）同其自身的理念非常一致，但受限于當時的資金能力，他們也面臨著選擇，是通過傳統(tǒng)的安全服務立刻保證收入還是孤注一擲地投入攻擊面管理領域就成為了王宇經常思考的問題，“就發(fā)展路線而言，在企業(yè)艱難的時候也有過動搖，但最終我們團隊選擇堅持，幸運的是，這份堅持并沒有白費?！蓖跤罡锌馈?

這里所說的堅持，其實也是一種妥協(xié)。零零信安最終還是選擇投入到攻擊面管理這一發(fā)展路徑，但當時只選擇了這一領域中非常細分的一個技術點——弱點/漏洞優(yōu)先級管理（VPT，Vulnerability prioritization technology ）作為一個折中的、臨時性方案。

王宇告訴我們，做出這一選擇主要源于兩方面的考慮，“一是VPT技術可以迅速作用于漏洞管理產品，而漏洞管理作為一個成熟賽道，相關產品能夠立刻為企業(yè)帶來收入；二是從長遠規(guī)劃來看，VPT也是攻擊面管理中的一個必備技術。”

這里所說的幸運，是在于2021年，Gartner將其2018年提出的“符合CARTA方法論的弱點管理”改用了一個更為適合的名稱——“基于風險的弱點管理”，與王宇和零零信安所堅持的路線完全契合。同時，在2021年7月，《網絡產品安全漏洞管理規(guī)定》正式發(fā)布并確定于當年的9月1日施行，從而令VPT甚至攻擊面管理這一路線也在2021年開始在國內業(yè)界中迎來更多的關注。(可參考安全419往日文章——《零零信安王宇：通過基于VPT的風險管理 用20%時間去解決80%風險》)

盡管彼時的零零信安仍未完全脫離創(chuàng)業(yè)的“危險期”，但至少在2021年7月，他們看到了自己在未來的機會。

（王宇于2021年7月在ISC2021大會上進行主題演講）

● 談發(fā)展方向

獲得奇安基金獨家千萬元天使輪投資

全面發(fā)力外部攻擊面管理領域

2021年12月，零零信安正式宣布完成了來自于知名網絡安全產業(yè)投資機構——奇安基金獨家千萬元人民幣的天使輪融資，這筆資金的注入讓他們邁入了一個新的發(fā)展階段。

在既有的弱點/漏洞優(yōu)先級管理（VPT）產品基礎上，零零信安開始全面投入到攻擊面管理這一賽道中，只是他們仍然選擇了聚焦，那就是外部攻擊面管理，也就是EASM（External attack surface management）。

那么外部攻擊面管理到底都包含哪些內容呢？Gartner曾在此前發(fā)布的《新興技術：外部攻擊面管理關鍵洞察》中進行了一系列詳細的描述，具體包含以下幾點：

1、資產的識別及清點：識別未知的（影子）數(shù)字資產（如網站、IP、域名、SSL證書和云服務），并實時維護資產列表；

2、漏洞修復及暴露面管控：將錯誤配置、開放端口和未修復漏洞根據緊急程度、嚴重性來進行風險等級分析以確定優(yōu)先級；

3、云安全與治理：識別組織的公共資產，跨云供應商，以改善云安全和治理，EASM可以提供全面的云資產清單，補充現(xiàn)有的云安全工具；

4、數(shù)據泄漏檢測：監(jiān)測數(shù)據泄漏情況，如憑證泄漏或敏感數(shù)據；

5、子公司風險評估：進行公司數(shù)字資產可視化能力建設，以便更全面地了解和評估風險；

6、供應鏈/第三方風險評估：評估組織的供應鏈和第三方有關的脆弱性及可見性，以支持評估組織的暴露風險；

7、并購（M&A）風險評估：了解待并購公司數(shù)字資產和相關風險。

王宇介紹到，在攻擊面管理中，分為外部攻擊面管理（EASM）和網絡資產攻擊面管理（CAASM），區(qū)別是：前者是基于攻擊者的視角，以“黑盒”的方式發(fā)現(xiàn)和進行攻擊面管理，后者是站在防御者視角以“白盒”的方式。

● 談核心能力

數(shù)據量是衡量EASM產品能力高低的

重要評估標準

說到這里，又不得不提一個現(xiàn)象——在國內的安全市場中，我們可以觀察到有部分企業(yè)已經在涉足甚至專注于CAASM領域，而零零信安是目前第一家也是唯一一家專注于EASM的企業(yè)，對于一個當前頗為熱門的領域，為何迄今只有一家初創(chuàng)企業(yè)在參與，這一現(xiàn)象背后的成因也引起了我們的興趣。

王宇表示，CAASM和EASM的應用方向以及解決問題的思路是有不同的——CAASM更偏向于以內部視角去通過產品能力給用戶帶來價值，EASM則更偏向于以外部視角去通過數(shù)據能力給用戶帶來價值?！芭cCAASM更多強調產品力不一樣的是，EASM是以數(shù)據服務的形式存在的，對數(shù)據量的要求非常高?！?

在圍繞外部攻擊面管理的交流過程當中，王宇始終都在強調數(shù)據的重要性?！癊ASM是基于海量數(shù)據進行企業(yè)外部風險分析的，所以EASM做得好還是不好，其背后的數(shù)據量是重要的評估標準之一?！彼硎荆叭鏓ASM技術所針對的不僅是當前已知的資產和數(shù)據，而是會面向更大規(guī)模的全互聯(lián)網中企業(yè)的信息資產，尤其是企業(yè)自身可能忽略的影子資產；再如DRPS（數(shù)字風險保護服務），它有很大一部分是基于互聯(lián)網的信息數(shù)據，包括公開網絡和暗網等等，因為這些都有可能是自身重要數(shù)據的泄露點。”

這意味著，EASM領域的進入門檻取決于進入該賽道企業(yè)的數(shù)據采集以及數(shù)據處理能力，對于安全企業(yè)而言所要求的不僅僅只是創(chuàng)新能力，更需要一個長期積累下的數(shù)據，而后者更是決定能否做好EASM的核心因素。

（零零信安推出的00SEC-ASM 攻擊面管理系統(tǒng)）

● 談EASM價值

外部攻擊面管理和傳統(tǒng)安全產品之間的關系

從作用階段上看更像疫苗和藥的關系

前面我們提到了傳統(tǒng)防御類安全產品的諸多不足，相比之下，以攻擊者視角去做應對威脅的方式對于用戶的價值優(yōu)勢如何呢？

對于最終用戶而言，應用攻擊面管理的價值在于——它可以幫助企業(yè)減少黑客可能會發(fā)起攻擊的點，從源頭降低自身遭受攻擊的可能性，這種防患于未然的預防方式，其所投入的人力、物力、財力必然相對較低。比如企業(yè)的內部人員以及客戶的信息是否已經泄露并可能被黑客利用、自身的業(yè)務系統(tǒng)是否存在有漏洞等都有可能成為攻擊者眼中的弱點，通過應用攻擊面管理技術相關的產品就可以去提前去排查、處置這些弱點，預先將風險阻斷。

“這就好比人生病，目前很多疾病都可以通過接種疫苗的方式去預防，而如果沒有做好預防，生了病就要先去做各種檢查，然后再去開藥或其他方式治療?！蓖跤钆e例道，“其實安全也一樣，攻擊面管理這一理念是重點為圍繞在攻擊發(fā)生前去消除大量可導致安全事件發(fā)生的隱患，其作用就是在攻擊發(fā)生前做預防，減輕甚至規(guī)避網絡攻擊發(fā)生的可能性，而主流的防御類產品有很多是建立在事中、事后的角度，其作用更類似于檢查和病后治療。”

在這里他特別補充道，EASM并不能包打一切，不能解決所有的安全問題，因此攻擊面管理理念也并非否定所有的防御類產品，而是強調在攻擊事件發(fā)生前，就預先將大量風險化解，從而減少企業(yè)遭受攻擊風險的可能性，對企業(yè)整體的安全建設將會十分有益。

● 談未來競爭

與其國內拼個你死我活

不如提升自身能力以趕超國外優(yōu)秀企業(yè)

接下來我們又聊到了關于競爭的這個話題，如前文所述，作為EASM賽道唯一參與者，零零信安所處的仍然是一個“沒有對手”的環(huán)境，但當其他競爭者參與進來的時候，如何將先發(fā)優(yōu)勢轉化為領先優(yōu)勢？這不僅是他們會面對的，相信也是不少創(chuàng)新企業(yè)要面對的一個難題。

“坦率地說，當前我們并沒有認真地考慮過這個問題?！蓖跤钚χf道，“競爭是一定會來的，因為攻擊面管理這個賽道在升溫是大家都看得到的，但我們不會為了領先而去刻意做什么，因為我們做事的優(yōu)先級始終是滿足客戶的需求，幫助客戶將自身的安全建設做得更好，至于領先與否，最終還是要靠技術和市場口碑等多方面結合去做評判，而不是自嗨?！?

通過這段話，能夠感受到零零信安追求務實的一種態(tài)度，在他看來，與其去思考或者擔憂未來的競爭格局，遠不如迅速提升自身能力來得更加實在?！艾F(xiàn)在去談國內的市場競爭還為時尚早，更應關注的是在于如何趕上國際領先的技術水平。”

“我們應該多去對標國外的優(yōu)秀企業(yè)，包括去年被微軟以5億美元收購的Risk IQ等等，他們的技術能力以及所能為客戶帶來的價值都是當前我們國內企業(yè)無法達到的，相比于國內在市場上彼此拼個你死我活，不如去將當前發(fā)展重點放在快速的提升自身的相關技術能力方面，縮小與國外企業(yè)之間的差距，甚至去迎頭趕上，只有這樣我國的整體網絡安全才能做上去，從而體現(xiàn)出我們這些安全行業(yè)從業(yè)人員的價值，不枉當初的創(chuàng)業(yè)理想?！蓖跤钤诓稍L的最后強調道。