攻擊面管理在國內尚屬一個全新的賽道，而根據Gartner的劃分，其中細分的CAASM（內部攻擊面管理）和EASM（外部攻擊面管理）兩個概念，就更加的新潮。“現在去談國內的市場競爭還為時尚早，更應關注的是在于如何趕上國際領先的技術水平。”在接受安全419采訪時，零零信安創始人、CEO王宇的這句話給我們留下了深刻的印象。

（零零信安創始人、CEO 王宇）

作為目前國內外部攻擊面管理（EASM）賽道的唯一參與者，可謂是真正的先行者，這一特點也讓我們對其產生了濃厚的興趣，外部攻擊面管理這一技術理念到底能給用戶帶來什么樣的價值？零零信安選擇這樣的一個賽道有著什么樣的思考？對未來的市場競爭格局又是如何看待的呢？帶著這些問題，我們與王宇進行了深入的交流。

● 談創業初衷

以攻擊者視角為客戶

提供立竿見影的安全產品

作為投身網絡安全產業20余年的老兵，王宇曾先后就職于多家國內網絡安全頭部企業，既做過與安全相關的技術、服務等具體工作，也從事過產品商業化開發以及運營超200人規模的安全團隊等管理工作，和那些安全行業中普遍常見的技術型創業者不同，豐富的經歷讓他深知技術理想和商業化之間的關系，就創業而言，這的確非常關鍵。

談及創業初期的方向選擇，王宇坦言其背后并沒有多少深意。“既然是創業，肯定還是希望能夠做自己喜歡甚至是熱愛的事情，網絡安全是一個很龐大很復雜的大賽道，去一個個的研究分析最后做出選擇是不現實的。”王宇說道，“大部分安全產品是從防御者的視角去考慮的，提供給客戶的，多是“事中”（攻擊者已開始嘗試攻擊）和“事后”（攻擊者已攻擊成功）防御。這類產品最大的弊端是被動，并且一旦某些弱點失守，補救成本很高。在和攻擊者的較量中，要想做到知己知彼，還應該從攻擊者的角度去觀察企業安全性，在“事前”采取主動防御的手段，提前預知自身的薄弱點進行攻擊預判和處置。同時，這一方式在安全建設中的效果展現方面也是立竿見影的。”

這里的“立竿見影”可謂非常關鍵，為何安全經常被忽視？為何安全市場發展主要來自于合規驅動而非價值驅動？安全建設的價值無法“立竿見影”般體現出來就是一個重要的原因。在業務上的投入一般可以很快得到反饋，而在安全上呢？如果沒有事情發生，恐怕有很多人會覺得在安全上的投入是一種“浪費”的行為吧。

談到這里，我們不難簡單總結出王宇創立零零信安的初衷——以實戰角度出發，基于攻擊者視角去審視自身弱點，幫助用戶在防御黑客攻擊的工作上能夠做到有的放矢，同時為用戶提供看得見的安全建設成果，也就是要有立竿見影的效果。

時間回到一年半前，零零信安剛成立的時候，在具體技術路線的選擇上，他們的核心團隊當時一致認為攻擊面管理（ASM，Attack Surface Management ）同其自身的理念非常一致，但受限于當時的資金能力，他們也面臨著選擇，是通過傳統的安全服務立刻保證收入還是孤注一擲地投入攻擊面管理領域就成為了王宇經常思考的問題，“就發展路線而言，在企業艱難的時候也有過動搖，但最終我們團隊選擇堅持，幸運的是，這份堅持并沒有白費。”王宇感慨道。

這里所說的堅持，其實也是一種妥協。零零信安最終還是選擇投入到攻擊面管理這一發展路徑，但當時只選擇了這一領域中非常細分的一個技術點——弱點/漏洞優先級管理（VPT，Vulnerability prioritization technology ）作為一個折中的、臨時性方案。

王宇告訴我們，做出這一選擇主要源于兩方面的考慮，“一是VPT技術可以迅速作用于漏洞管理產品，而漏洞管理作為一個成熟賽道，相關產品能夠立刻為企業帶來收入；二是從長遠規劃來看，VPT也是攻擊面管理中的一個必備技術。”

這里所說的幸運，是在于2021年，Gartner將其2018年提出的“符合CARTA方法論的弱點管理”改用了一個更為適合的名稱——“基于風險的弱點管理”，與王宇和零零信安所堅持的路線完全契合。同時，在2021年7月，《網絡產品安全漏洞管理規定》正式發布并確定于當年的9月1日施行，從而令VPT甚至攻擊面管理這一路線也在2021年開始在國內業界中迎來更多的關注。(可參考安全419往日文章——《零零信安王宇：通過基于VPT的風險管理 用20%時間去解決80%風險》)

盡管彼時的零零信安仍未完全脫離創業的“危險期”，但至少在2021年7月，他們看到了自己在未來的機會。

（王宇于2021年7月在ISC2021大會上進行主題演講）

● 談發展方向

獲得奇安基金獨家千萬元天使輪投資

全面發力外部攻擊面管理領域

2021年12月，零零信安正式宣布完成了來自于知名網絡安全產業投資機構——奇安基金獨家千萬元人民幣的天使輪融資，這筆資金的注入讓他們邁入了一個新的發展階段。

在既有的弱點/漏洞優先級管理（VPT）產品基礎上，零零信安開始全面投入到攻擊面管理這一賽道中，只是他們仍然選擇了聚焦，那就是外部攻擊面管理，也就是EASM（External attack surface management）。

那么外部攻擊面管理到底都包含哪些內容呢？Gartner曾在此前發布的《新興技術：外部攻擊面管理關鍵洞察》中進行了一系列詳細的描述，具體包含以下幾點：

1、資產的識別及清點：識別未知的（影子）數字資產（如網站、IP、域名、SSL證書和云服務），并實時維護資產列表；

2、漏洞修復及暴露面管控：將錯誤配置、開放端口和未修復漏洞根據緊急程度、嚴重性來進行風險等級分析以確定優先級；

3、云安全與治理：識別組織的公共資產，跨云供應商，以改善云安全和治理，EASM可以提供全面的云資產清單，補充現有的云安全工具；

4、數據泄漏檢測：監測數據泄漏情況，如憑證泄漏或敏感數據；

5、子公司風險評估：進行公司數字資產可視化能力建設，以便更全面地了解和評估風險；

6、供應鏈/第三方風險評估：評估組織的供應鏈和第三方有關的脆弱性及可見性，以支持評估組織的暴露風險；

7、并購（M&A）風險評估：了解待并購公司數字資產和相關風險。

王宇介紹到，在攻擊面管理中，分為外部攻擊面管理（EASM）和網絡資產攻擊面管理（CAASM），區別是：前者是基于攻擊者的視角，以“黑盒”的方式發現和進行攻擊面管理，后者是站在防御者視角以“白盒”的方式。

● 談核心能力

數據量是衡量EASM產品能力高低的

重要評估標準

說到這里，又不得不提一個現象——在國內的安全市場中，我們可以觀察到有部分企業已經在涉足甚至專注于CAASM領域，而零零信安是目前第一家也是唯一一家專注于EASM的企業，對于一個當前頗為熱門的領域，為何迄今只有一家初創企業在參與，這一現象背后的成因也引起了我們的興趣。

王宇表示，CAASM和EASM的應用方向以及解決問題的思路是有不同的——CAASM更偏向于以內部視角去通過產品能力給用戶帶來價值，EASM則更偏向于以外部視角去通過數據能力給用戶帶來價值。“與CAASM更多強調產品力不一樣的是，EASM是以數據服務的形式存在的，對數據量的要求非常高。”

在圍繞外部攻擊面管理的交流過程當中，王宇始終都在強調數據的重要性。“EASM是基于海量數據進行企業外部風險分析的，所以EASM做得好還是不好，其背后的數據量是重要的評估標準之一。”他表示，“如EASM技術所針對的不僅是當前已知的資產和數據，而是會面向更大規模的全互聯網中企業的信息資產，尤其是企業自身可能忽略的影子資產；再如DRPS（數字風險保護服務），它有很大一部分是基于互聯網的信息數據，包括公開網絡和暗網等等，因為這些都有可能是自身重要數據的泄露點。”

這意味著，EASM領域的進入門檻取決于進入該賽道企業的數據采集以及數據處理能力，對于安全企業而言所要求的不僅僅只是創新能力，更需要一個長期積累下的數據，而后者更是決定能否做好EASM的核心因素。

（零零信安推出的00SEC-ASM 攻擊面管理系統）

● 談EASM價值

外部攻擊面管理和傳統安全產品之間的關系

從作用階段上看更像疫苗和藥的關系

前面我們提到了傳統防御類安全產品的諸多不足，相比之下，以攻擊者視角去做應對威脅的方式對于用戶的價值優勢是如何體現的呢？

面對這個問題，王宇引用了是習主席在網絡安全和信息化工作座談會上發表重要講話（也稱419講話）中的內容：

“網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。網絡安全也就是攻防兩端的對抗。明確分析對手的優勢、分析自己的弱項，安排合理的網絡‘攻防戰略’，合理保護自己。要以技術對技術，以技術管技術，做到魔高一尺、道高一丈。”

“沒有意識到風險是最大的風險。維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險，正所謂‘聰者聽于無聲，明者見于未形。’”

王宇指出，在這之中所講的“分析自己的弱項”、“首先要知道風險在哪里，是什么樣的風險。”恰恰都是可以利用攻擊面管理來實現的。

對于最終用戶而言，應用攻擊面管理的價值在于——它可以幫助企業減少黑客可能會發起攻擊的點，從源頭降低自身遭受攻擊的可能性，這種防患于未然的預防方式，其所投入的人力、物力、財力必然相對較低。比如企業的內部人員以及客戶的信息是否已經泄露并可能被黑客利用、自身的業務系統是否存在有漏洞等都有可能成為攻擊者眼中的弱點，通過應用攻擊面管理技術相關的產品就可以去提前去排查、處置這些弱點，預先將風險阻斷。

“這就好比人生病，目前很多疾病都可以通過接種疫苗的方式去預防，而如果沒有做好預防，生了病就要先去做各種檢查，然后再去開藥或其他方式治療。”王宇舉例道，“其實安全也一樣，攻擊面管理這一理念是重點為圍繞在攻擊發生前去消除大量可導致安全事件發生的隱患，其作用就是在攻擊發生前做預防，減輕甚至規避網絡攻擊發生的可能性，而主流的防御類產品有很多是建立在事中、事后的角度，其作用更類似于檢查和病后治療。”

在這里他特別補充道，EASM并不能包打一切，不能解決所有的安全問題，因此攻擊面管理理念也并非否定所有的防御類產品，而是強調在攻擊事件發生前，就預先將大量風險化解，從而減少企業遭受攻擊風險的可能性，對企業整體的安全建設將會十分有益。

● 談未來競爭

與其國內拼個你死我活

不如提升自身能力以趕超國外優秀企業

接下來我們又聊到了關于競爭的這個話題，如前文所述，作為EASM賽道唯一參與者，零零信安所處的仍然是一個“沒有對手”的環境，但當其他競爭者參與進來的時候，如何將先發優勢轉化為領先優勢？這不僅是他們會面對的，相信也是不少創新企業要面對的一個難題。

“坦率地說，當前我們并沒有認真地考慮過這個問題。”王宇笑著說道，“競爭是一定會來的，因為攻擊面管理這個賽道在升溫是大家都看得到的，但我們不會為了領先而去刻意做什么，因為我們做事的優先級始終是滿足客戶的需求，幫助客戶將自身的安全建設做得更好，至于領先與否，最終還是要靠技術和市場口碑等多方面結合去做評判，而不是自嗨。”

通過這段話，能夠感受到零零信安追求務實的一種態度，在他看來，與其去思考或者擔憂未來的競爭格局，遠不如迅速提升自身能力來得更加實在。“現在去談國內的市場競爭還為時尚早，更應關注的是在于如何趕上國際領先的技術水平。”

“我們應該多去對標國外的優秀企業，包括去年被微軟以5億美元收購的Risk IQ等等，他們的技術能力以及所能為客戶帶來的價值都是當前我們國內企業無法達到的，相比于國內在市場上彼此拼個你死我活，不如去將當前發展重點放在快速的提升自身的相關技術能力方面，縮小與國外企業之間的差距，甚至去迎頭趕上，只有這樣我國的整體網絡安全才能做上去，從而體現出我們這些安全行業從業人員的價值，不枉當初的創業理想。”王宇在采訪的最后強調道。