引言
(网络空间测绘技术的实践与思考 系列之四)
这两年,传统网络安全领域,或者说这个行业面临时代发展所带来的一些风险和挑战,我们也看到了一些调整,其中一个方向就是安全能力的产品化的问题,进一步说,应该是安全能力工程化所面对的问题。
过去的二十年中,从经验看到,国内各级组织对于整体安全体系架构,并不完全都是由上而下的。换言之,一个安全体系的顶层设计往往并没有实际指挥和带动其以下各层面的安全措施和能力设计,反而是被底层安全技术能力牵引的。具体来说,
1. 境外强国底层安全能力创新
2. 通过境外最佳实践转化
3. 进而被国内C2C引进
4. 国内先进行业落地
5. 转化为合规政策
6. 通过合规要求和措施在国内全面落地
也就是说境外底层的一些安全技术能力的发展带动了整个安全体系的方向,包括我们的顶层设计。
这些底层的安全能力中,大概在2000-2010间,整个领域最重要牵引力的安全技术能力,从密码学技术能力转移为漏洞挖掘和攻防能力,这一点是客观存在的。也正是因为这个背景,漏洞一直被视为最重要的安全资源,漏洞挖掘和攻防能力一直被视为技术研究的尖端领域。然而,尽管这些能力在技术上取得了显著成就,但在工程化,产品化,商业化道路上却常常面临挑战。许多安全研究人员往往陷入“曲高和寡”的困境,他们的高超技能在未能找到合适的市场应用时,往往难以转化为实际的商业价值。
前几日,在与某用户的综合交流中,我司某核心能力团队的安全专家提出的观点值得学习和理解:
安全能力工程化的方向是技术与业务的深度融合,仅仅研究技术或业务是远远不够的。但就深度攻防而言,最高级的攻坚能力很难形成产品化工程化,还是需要人去做的。
一、 测绘技术工程化的特点
测绘应用于网络安全领域,工程化是其最主要的特点。因此技术和业务的深度融合,对于网空测绘领域的深度应用,就显得尤为重要。
举一个例子,如果错误的将无状态扫描技术,简单粗暴的按传统漏洞扫描类产品来用,就违背了其技术的原理,也不符合业务的需求,更不能发挥其价值和作用。
从某种意义上说,测绘技术的工程化是由两个工程化阶段构成的,分别是流水线式数据采集,以及服务数据利用和分析
所谓流水线式采集,是全网测绘的特有的路径,也是其更接近搜索引擎而与漏洞扫描不同的主要特点:数据是不间断的在生产的。相对于传统的扫描系统,用户不必以任务为核心进行监测,每一次结果需要一次任务执行完成后再统一分析。测绘的工程化赋予了用户常年随时进入查询调用数据,且随时获得分析结果的能力,即不间断的动态分析能力。所以测绘的工程化是最适合做数据订阅类SaaS服务的安全技术产品,可支撑用户持续不间断的常年订阅和数据查询分析。
正是由于这一点,探测资源是测绘系统的基础支撑,如果用户对数据的生产效率和覆盖面缺乏信心,那么所谓的“网络空间攻防地图“,也就是安全情报的能力,就缺乏详细且准确的数据支撑。
此外,探测是流水式的,并不代表探测不能定向,探测任务实际上是可以随时调整的,但必须异步,也就是用户不能期待所有的探测调整能够得到实时反馈,应当预留出反馈的时间窗。
二、 能力背后的能力
为什么说:就深度攻防而言,最高级的攻坚能力很难形成产品化工程化呢?
因为,从另一个角度来看,漏洞挖掘和攻防能力为代表的安全能力实际上代表着一种打破常规的“超能力”。这种能力不仅可以让研究者们在技术领域取得突破,更重要的是,它具备着巨大的商业价值和社会影响力。
例如,一个被成功挖掘的漏洞,不仅仅是一个获得“漏洞奖金”的机会,更是掌握了一种打破互联网和内网屏障的关键能力。
这种“超能力“就是藏在测绘能力背后的能力。
例如在360 Quake系统中输入语句 app:"DVWA漏洞演练环境",可以直接找到互利网上所有开放的DVWA靶场。输入语句 app:"Acunetix Web Vulnerability Scanner" 则可以查询到所有的AWVS扫描器。这些都是测绘数据基础上,根据用户个人对技术和产品的理解所找的的一些重要服务,其重要不重要取决于用户自身头脑里面的既定知识或印象,这样就会形成一种现象,即测绘的工具化,同样一个系统,不同的用户使用,就会有天差地别的效果和价值。
应当指出的是:这样的工具化使用现状,是不符合我们心目中安全能力工程化的目标的,工程化的目标是让任何人都享受技术带来的价值,而不是将人区分对待。
例如:通过特征聚类,从服务之间找出更多的共同特征,就形成了服务数据之间的联系,通过这种技术上的联系,我们就可以打通社会信息关联之间壁垒,进而形成组织—服务—服务—组织的数据关联。这样的关联,一方面可以为组织找到更多的新的服务,另一方面,也可以找到组织和组织在社会空间中未曾发现的关联关系。结合终端数据,就能做到组织和组织,人员和组织,人员和人员的关联性分析,从而将业务和技术深度融合。如图所示:
此外,在漏洞攻防方面,测绘系统也能依据漏洞与产品之间的必然关系,进而构建起服务—漏洞—产品—环境—行业的数据链条,从而挖掘更多的安全情报和情报关联的知识,为用户带来更多了单一漏洞攻防之外的能力和价值。
三、 大模型引入的思考
在深入探讨测绘领域的工程化革新时,我们不得不提及大模型的引入如何深刻地影响了这一领域,特别是如何利用大模型深度挖掘和利用测绘数据的潜在价值。这一变革不仅是对测绘数据的简单加工或处理,更是一种全新的思维模式和操作范式的转变。
在以往,测绘数据的处理和分析往往局限于特定的领域或行业,其关联性和应用价值受到诸多限制。然而,考虑到大模型的引入,我们得以有机会系统性地串联起测绘信息,并与多维度、多层次的外部关联信息进行融合。这种跨界的整合不仅突破了传统测绘数据关联的维度和方法,更是实现了碎片化知识的统一串联。
想象一下,过去那些分散在业务和技术各个角落、难以形成有效知识体系的数据碎片,如今在大模型的助力下,被巧妙地串联起来,形成了一个完整、清晰、有价值的知识网络。这不仅解决了知识碎片化和难沉淀的问题,更为我们打开了一个全新的世界大门,让我们能够更深入地挖掘和利用测绘数据的价值。
这种变革不仅仅局限于技术领域,更涉及到了业务逻辑、安全策略等多个方面。通过大模型的引入,我们能够将业务专家对于业务的深入理解、安全专家对于技术的精湛研究,以及数据运营人员对于数据的精准把控,都紧密地结合在一起。这种跨领域的合作与融合,不仅提高了工作效率,更为我们提供了全新的思路和解决方案。
最终形成碎片化知识的统一串联,重塑过去知识碎片化和难沉淀的情况,真正打开了激活测绘数据价值的新世界大门。
这样就真正形成了“能力背后的能力“,把业务专家对于业务的理解,安全专家对于技术的研究,都通过数据的运营将其结合到一起,从而在网络空间之间,利用技术之间的数据关联,构建起对现实空间信息和情报分析的桥梁。
总结
综上所述,我们认为安全能力工程化的必须遵循的路径是业务与技术的深度融合,而测绘技术能力工程化的路径需要注意以下两点:
一是深度理解测绘的技术特点,采用符合其工作方式的流水线式数据生成和加工流程,以此为基础构建对应的应用体系和安全体系;
二是需要注意业务数据和测绘数据的关联和融合,实现物理空间和网络空间的强连接,进而通过测绘数据的技术关联,作用于物理空间的业务需求,提供能力背后的能力。
“
添加管理员微信号:quake_360
备注 您的账号 邀请加入技术交流群