黑哥不黑,也没有想象中黑客的高冷,专访全程笑眯眯的黑哥极具亲和力和感染力。
采访黑哥的想法起源于近期网络资产测绘的火爆,而黑哥就职的知道创宇正是国内最早布局这个方向的安全公司,其404实验室打造的网络空间搜索引擎ZoomEye(“钟馗之眼”)在全球范围内赫赫有名。因此,探寻网络资产测绘这一话题,怎么都绕不开黑哥,绕不开ZoomEye,绕不开知道创宇及404实验室。
知道创宇“预知”了 网络资产测绘的今天
Q:知道创宇是国内最早布局网络资产测绘的安全公司,ZoomEye是如何萌芽的?
网络资产测绘是知道创宇在2010年开始萌芽启动的。而ZoomEye的产生跟知道创宇的创新基因相关,公司两位创始人赵伟和杨冀龙都是安全圈的技术大佬,对安全的理解相当深入,他们认为漏洞和数据是网络安全的两大基础,对此非常重视。
当时,知道创宇主导Web漏扫产品,主要服务于各地的监管部门,那时很多单位反馈不知道辖区有多少网站和服务器,为帮助客户普查资产,就想到做一款全网域名及IP探测的工具。这款工具最开始的主要关注点还是在知道创宇所擅长的Web上,他们做了大量的Web通用应用识别也就是wmap引擎,随后逐渐加入了IPv4及其他协议,逐步形成了今天ZoomEye的产品形态。
黑哥回忆,ZoomEye在2013年正式对外发布上线,到2014年心脏出血的漏洞一战成名:“心脏出血漏洞是一个很经典的案例,当时我们针对漏洞去进行动态测绘,经过多天的跟进并做了动态对比和分析后,得出了数据变化的趋势——心脏出血是SSL安全类协议,我们认为它的覆盖度能代表某个国家和地区对安全的重视程度和普及率,修复率能说明其应急能力有多强。根据数据分析结果我们做了一个全球国家安全能力的排名,我们国家当时排了102名。”
说这段的时候,黑哥的眼睛里有星星闪烁。
获取更多的数据,并赋予数据灵魂。
Q:什么样的网络空间资产测绘产品算是一款好的产品?
黑哥认为网络空间测绘是一个数据类型的产品,这种产品有两个核心关键点:
一是,获取更多的数据。
二是,赋予数据灵魂。
“数据不是摆在这里,要让数据去说话,要表达出来数据背后的东西。”黑哥说。
【核心能力一:获取数据】
目前,网络资产测绘的测绘对象主要集中在IPv4、IPv6、域名、区块链等方面。其中IPv4的地址库数量是有限已知的,而IPv6、域名、暗网理论上是无限的,所以首要核心能力是如何去获取这些地址数据。知道创宇已经收集了接近30个亿的IPv6地址,黑哥说:“没有数据基础,后面的事情是无法继续下去的。”
虽然IPv6是未来的防线,但目前市场上的测绘重点还是在IPv4上面。黑哥为我们介绍了IPv4地址库的数据量,每个IP理论上可以开放的端口数为65535*2 (包括TCP/UDP),每个端口可能有n种协议,然后每种协议可能包括n种探针。这些数据的获取需要进行协议分析、探针开发等,数据量也是非常庞大的。
获取数据的核心能力里面还包括很多细节,如:需要探针的数据那么多,必然影响你的探测频率, 那么就需要大量的探测节点;存在各种“对抗”的问题, 节点会被“ban”等,而解决这些问题正是“获取数据”能力的体现。
网络测绘主要关注的还是目标画像,所以需要其他多维度的数据关联,比如IP物理地址库、Whois数据、DNS相关数据、威胁情报数据等是较为核心的能力。
【核心能力二:赋予数据灵魂】
“获得了数据后,我们就需要去分析解读这些数据,让数据说话,也就是我说的‘赋予数据灵魂’了,这个才是测绘的真正价值所在,然而这也可能因为能力意识等因素而被忽视。”黑哥说。
对数据进行分析和解读,基础是将这些数据存储及结构化处理,目前这部分能力主要依赖互联网大数据技术的发展,比如Elasticsearch数据库这种相关技术的出现。数据存储后,是数据分析识别的能力,比如我们常说的设备、组件、指纹分析提取。还要考虑要用户体验层的问题,包括搜索引擎的平台的建立,数据的聚合、关联的能力,要方便用户进行检索。在以上基础上,还需要解读和思考的能力,才能真正让数据说话让数据拥有灵魂。这个说起来简单,实际上是个非常重要的核心能力。
矛盾在哪里,
技术发展的方向就在哪里
Q: 网络空间资产测绘产品未来在技术上会如何演进?
“我一直认为矛盾是技术发展原始动力,换句话说问题矛盾在哪里,那么未来就在哪里。”黑哥说。
目前,测绘领域有一些问题并没有被很好的解决,比如前面说到的全端口的覆盖、更多的协议覆盖、更深度的探测、扫描对抗等。这些问题带来的成本方面的压力也是越来越高的,未来,会催生扫描探测上新技术的发展和与其他技术的融合共同来解决面临的问题。知道创宇也在不停地改进其产品技术和能力,例如他们一直致力改进扫描探测Xmap引擎及架构,使产品可以更加快速进行一键部署、可以适用于一般比较廉价的VPS主机、节点隐蔽不暴露等。
在网络空间资产测绘的大数据处理分析及搜索平台部分,未来AI技术的发展和机器学习的数据分析模式会有利于解决指纹识别、目标画像等问题。在产品方向上,未来会有一些测绘边界融合相关的改变,比如目前测绘主要是分公网及内网(或专用网络),可能会出现把两者融合到一起的技术或者产品形态。
多维数据关联+丰富的漏洞库+独有网络空间测绘能力
Q: 我们知道市面上有很多类似的资产测绘产品,ZoomEye的特色和差异化优势在哪里?
黑哥说:“实际上,我关注更多的是Shodan,Shodan作为第一个网络空间搜索引擎确实值得尊重,尤其我们是国内第一家做网络空间测绘的公司,在很多开拓性的尝试后更能体会其中的不易。新事物能够被市面接受的时间周期其实很⻓,直到近年来资产测绘才逐步被重视起来。目前从各方面反馈看,在网络空间测绘搜索引擎上 ZoomEye已经被国际各大用户认可,也逐步稳固了行业翘楚的地位。”
黑哥表示,聚焦到ZoomEye产品本身,知道创宇的特色及优势还是很突出的:
第一,ZoomEye是国内最早也是全球诞生的第二个搜索引擎,意味着技术积累、数据积累。而数据积累有不可追逐的优势,这些历史数据在完善追踪目标动态变化及立体画像等方面有至关重要的作用。
第二,ZoomEye是全球唯一个全面支持IPv4/IPv6/域名/暗网测绘的, 且是国内第一个支持IPv6测绘,通过自主研发的引擎,知道创宇到目前已经整理了近30亿IPv6地址库。
第三,知道创宇具备多维度的数据关联的能力, 同时支持多个IP物理地址库 (ipip、埃文)及多国家高精度地址库、独有的知道创宇安全大脑的恶意IP域名地址库、DNS相关的数据库、Whois数据库等等,这些都对完善目标立体画像非常有意义,比如可以通过数据关联得到IP的行业标签数据(就是知道这个IP是属于哪个行业相关)。
第四,漏洞是网络安全攻防的基石,目前对漏洞影响面的测绘仍然是网空测绘的主要应用场景。通过知道创宇404实验室的安全研究能力,加上⺠间最大的通用漏洞数据库seebug,能快速输出漏洞检测方案,并结合ZoomEye实现全球漏洞影响面评估探测。
第五,知道创宇全面支持主动测绘及被动测绘,帮助客户完善内部或者专有网络的测绘,并提供多种产品形态及全面解决方案以应对不同客户各种需求及场景。
第六,知道创宇提出了很多先进的测绘理念并实践,如黑哥提出的“动态测绘”,时刻关注数据的动态变化及趋势。前面提到的心脏流血漏洞,就是利用动态测绘的理念分析得出的各种有趣的结论。再比如2019年委内瑞拉大停电事件, ZoomEye是全球唯一及时响应、通过动态测绘理念完成该国的网络关键基础设施及重要信息系统测绘的工具。此外还有 “交叉测绘” 的思想,基于它可以完成IPv4 vs IPv6 、暗网 vs IP/域名的交叉比;通过“行为测绘”理念来实现重要基础设施的识别定位等等。
第七,知道创宇历经10余年探测引擎的积累,打造出独立自研的网络空间搜索引擎,通过“一键部署”能快速部署在普通的VPS主机上,并通过独有分布式算法实现稳定快速有效的探测,目前已在全球16 个国家地区部署了1000+的节点。
黑哥表示,未来知道创宇全面开放API接口,鼓励社区通过融合 ZoomEye能力打造更多更好的安全项目。
“挂图作战”与“动态测绘”不谋而合
Q: 近期,相关领导在多个场合提到了“挂图作战“,这个是网络空间资产测绘的典型应用场景么?
黑哥表示,“挂图作战”是通过直观的图形化形式,将计划的实施方案、工作流程和执行进度等内容呈现出来,用于指导计划具体实施过程,是一种类似作战的快速响应行动方式。相关领导提出的“挂图作战”就是网络空间测绘的一个非常重要且典型的应用场景,知道创宇在网空测绘领域的理解跟这个理念是非常贴合的。
早在2015 年,知道创宇就提出网络安全要“看得清、防得住,攻得克”的9字真言,其中“看得清”就是对网络空间地图最形象的诠释。2016年4月19日,习近平总书记讲话也提出网络安全要“摸清家底,认清⻛险”的指示,这与网络测绘“画全画准”的要求不谋而合。
黑哥表示,关于“挂图作战“的论文中提到地理地图学的“人-地-网”纽带建立,正好对应了他提出在网络空间中的“3W”概念,也就是网络空间测绘围绕的“who?”-“what?”-“where?”。
黑哥强调:“挂图作战”还有一个重要的点就是战场的“瞬息万变”。因此,我们关注空间分布的同时也需要关注时间变化的维度,尤其是在攻防领域“时间差”是关键,谁能更好的把握时间差,就能获取主动权,这也跟黑哥提出的“动态测绘”不谋而合。
小到企业大到政府、国家都需要网络资产测绘
Q: 网络资产测绘还有哪些典型民用应用场景和案例?
黑哥认为,网络空间资产测绘是网络安全建设中基础设施类的工作,跟网络空间资产挂钩的地方就需要网络空间测绘,所以在很多场景上都是有需求的。
目前,比较典型应用场景就是企业网络安全职能部⻔对企业资产识别管理,尤其是当下各种公有云/私有云的应用,很多网络资产被沦为暗资产,甚至到被入侵曝光后才被发现。此外,现在流行的各种攻防演练也是从资产排查入手的,资产发现的多,发现的快,是对抗的关键。在历年国家举办的攻防演练过程中,知道创宇通过 ZoomEye能够梳理并实时监控参演单位的暗资产,得到客户的广泛认可。
比较常⻅的场景比如行业监管等部⻔,有对辖区的网络资产进行安全监管、⻛险排查及监督整改的需求,智慧城市的网络安全建设就离不开网络空间测绘。目前,知道创宇对智慧城市相关的项目已经开始进行布局和切入。小到一个企业、大到一个行政管理部⻔、再到国家层面,网络安全、网络空间测绘都是有非常大的价值的。
黑哥说,“漏洞攻防是目前主要的应用场景,但是我认为这只是网络空间测绘的一个点,实际上我们还有很多其他应用场景。包括在APT、僵尸网络、攻击框架等方向上的主动测绘应用、在网络数据泄露上的探测应用,甚至还有脱离传统网络安全上的应用。
比如,我们尝试分析VPN、邮件系统的数据变化来反应疫情的影响。还有个例子,我们去年通过ZoomEye多年的历史数据分析发现IPv4地址还有大量的地址没有被启用,由此说明,IPv4 不是绝对枯竭,而是这些资源都被掌握在少数的国家及组织手里,我想这也说明了为什么我国致力发展普及IPv6的原因之一。”
未来网安新三件套中,资产测绘必须有姓名!
Q: 网络空间资产测绘这个方向未来的发展和市场空间?
黑哥说,“我们在这个领域已经持续投入耕耘了10来年了,在这期间也有不少同行的加入然后又退出这个领域, 直到近年来市场稍有起色,有越来越多的同行加入进来。谈到未来我们背靠着10余年的技术数据和人才的积累,还是充满信心的。我们在10年前就意识到了网络空间资产测绘在网络安全中基础建设的地位,而且我们坚信随着国家相关网络安全政策制度的推动,网络空间资产测绘在市场上有着极其广泛的需求。
在未来有各种不同的需求及场景出现,会诞生更多的产品或者服务形式去迎合这种变化。如果说漏扫、防火墙、流量分析是网络安全老三件套的话,那么,我觉得网络安全未来三件套里可能会有网络空间测绘产品一席之地。”
找准定位,明确需求
Q:黑哥,最后给我们的客户朋友们建议一下,怎么选购网络空间资产测绘产品吧。
黑哥听到这个问题直爽地笑了,直言:“这个问题我就不用建议了吧,选择ZoomEye系列产品就可以了!”
其实对于客户而言,首先要考虑自身的需求及预算,俗话说:“只选最对的,不选最贵的”。黑哥也为我们举例,比如:外网测绘和内网测绘在技术及产品实现上的侧重点是不一样的,这个问题一般客户可能是不太明白的,外网测绘一般要求测绘目标非常多,所以可能需要在速度及效率上有更多考量;但是在企业内网可能测绘的目标是相对有限的,要考虑更全、更准的资产识别,甚至可以启用多种测绘手段比如主动测绘与被动测绘结合等。
同时,产品扩展性问题也易被忽视,网络资产测绘是企业安全管理工作基础中的基础,所以资产梳理清楚后需要配合其他产品或者能力进行扩展匹配,这就要求资产测绘产品提供API等开放接口,方便其他安全设备或者能力的融合。
此外,客户重点关注是漏洞应急处理能力。而目前在企业安全管理中资产梳理后对漏洞的应急探测就是首当其冲要解决的问题。
关于网络资产测绘的话题,黑哥与我们深入浅出地聊了很多,每一个观点的背后都包含着黑哥与知道创宇的能力积累与安全创新。此次专访让我们对网络资产测绘的未来怀揣更多期待。未来,网络安全建设更需要安全企业紧盯时代发展需求,抢抓新一代信息技术先机,更好彰显网络安全企业价值。
评论