信息无障碍通道
您的位置:首页>>互联网

趣访“漏洞之王”黑哥,探寻知道创宇十年网络资产测绘之路

发布时间:2021-05-28 11:50  来源:中国资讯报道网    背景: 无障碍阅读通道

    黑哥不黑,也没有想象中黑客的高冷,专访全程笑眯眯的黑哥极具亲和力和感染力。

  采访黑哥的想法起源于近期网络资产测绘的火爆,而黑哥就职的知道创宇正是国内最早布局这个方向的安全公司,其404实验室打造的网络空间搜索引擎ZoomEye(“钟馗之眼”)在全球范围内赫赫有名。因此,探寻网络资产测绘这一话题,怎么都绕不开黑哥,绕不开ZoomEye,绕不开知道创宇及404实验室。

    知道创宇“预知”了,网络资产测绘的今天

    Q:知道创宇是国内最早布局网络资产测绘的安全公司,ZoomEye是如何萌芽的?

  网络资产测绘是知道创宇在2010年开始萌芽启动的。而ZoomEye的产生跟知道创宇的创新基因相关,公司两位创始人赵伟和杨冀龙都是安全圈的技术大佬,对安全的理解相当深入,他们认为漏洞和数据是网络安全的两大基础,对此非常重视。

  当时,知道创宇主导Web漏扫产品,主要服务于各地的监管部门,那时很多单位反馈不知道辖区有多少网站和服务器,为帮助客户普查资产,就想到做一款全网域名及IP探测的工具。这款工具最开始的主要关注点还是在知道创宇所擅长的Web上,他们做了大量的Web通用应用识别也就是wmap引擎,随后逐渐加入了IPv4及其他协议,逐步形成了今天ZoomEye的产品形态。

  黑哥回忆,ZoomEye在2013年正式对外发布上线,到2014年心脏出血的漏洞一战成名:“心脏出血漏洞是一个很经典的案例,当时我们针对漏洞去进行动态测绘,经过多天的跟进并做了动态对比和分析后,得出了数据变化的趋势——心脏出血是SSL安全类协议,我们认为它的覆盖度能代表某个国家和地区对安全的重视程度和普及率,修复率能说明其应急能力有多强。根据数据分析结果我们做了一个全球国家安全能力的排名,我们国家当时排了102名。”

  说这段的时候,黑哥的眼睛里有星星闪烁。

  ZoomEye主页

    获取更多的数据,并赋予数据灵魂。

    Q:什么样的网络空间资产测绘产品算是一款好的产品?

  黑哥认为网络空间测绘是一个数据类型的产品,这种产品有两个核心关键点:

    一是,获取更多的数据。

    二是,赋予数据灵魂。

  “数据不是摆在这里,要让数据去说话,要表达出来数据背后的东西。”黑哥说。

    核心能力一:获取数据

  目前,网络资产测绘的测绘对象主要集中在IPv4、IPv6、域名、区块链等方面。其中IPv4的地址库数量是有限已知的,而IPv6、域名、暗网理论上是无限的,所以首要核心能力是如何去获取这些地址数据。知道创宇已经收集了接近30个亿的IPv6地址,黑哥说:“没有数据基础,后面的事情是无法继续下去的。”

  虽然IPv6是未来的防线,但目前市场上的测绘重点还是在IPv4上面。黑哥为我们介绍了IPv4地址库的数据量,每个IP理论上可以开放的端口数为65535*2(包括TCP/UDP),每个端口可能有n种协议,然后每种协议可能包括n种探针。这些数据的获取需要进行协议分析、探针开发等,数据量也是非常庞大的。

  获取数据的核心能力里面还包括很多细节,如:需要探针的数据那么多,必然影响你的探测频率,那么就需要大量的探测节点;存在各种“对抗”的问题,节点会被“ban”等,而解决这些问题正是“获取数据”能力的体现。

  网络测绘主要关注的还是目标画像,所以需要其他多维度的数据关联,比如IP物理地址库、Whois数据、DNS相关数据、威胁情报数据等是较为核心的能力。

    核心能力二:赋予数据灵魂

  “获得了数据后,我们就需要去分析解读这些数据,让数据说话,也就是我说的‘赋予数据灵魂’了,这个才是测绘的真正价值所在,然而这也可能因为能力意识等因素而被忽视。”黑哥说。

  对数据进行分析和解读,基础是将这些数据存储及结构化处理,目前这部分能力主要依赖互联网大数据技术的发展,比如Elasticsearch数据库这种相关技术的出现。数据存储后,是数据分析识别的能力,比如我们常说的设备、组件、指纹分析提取。还要考虑要用户体验层的问题,包括搜索引擎的平台的建立,数据的聚合、关联的能力,要方便用户进行检索。在以上基础上,还需要解读和思考的能力,才能真正让数据说话让数据拥有灵魂。这个说起来简单,实际上是个非常重要的核心能力。

    矛盾在哪里,技术发展的方向就在哪里

    Q:网络空间资产测绘产品未来在技术上会如何演进?

  “我一直认为矛盾是技术发展原始动力,换句话说问题矛盾在哪里,那么未来就在哪里。”黑哥说。

  目前,测绘领域有一些问题并没有被很好的解决,比如前面说到的全端口的覆盖、更多的协议覆盖、更深度的探测、扫描对抗等。这些问题带来的成本方面的压力也是越来越高的,未来,会催生扫描探测上新技术的发展和与其他技术的融合共同来解决面临的问题。知道创宇也在不停地改进其产品技术和能力,例如他们一直致力改进扫描探测Xmap引擎及架构,使产品可以更加快速进行一键部署、可以适用于一般比较廉价的VPS主机、节点隐蔽不暴露等。

  在网络空间资产测绘的大数据处理分析及搜索平台部分,未来AI技术的发展和机器学习的数据分析模式会有利于解决指纹识别、目标画像等问题。在产品方向上,未来会有一些测绘边界融合相关的改变,比如目前测绘主要是分公网及内网(或专用网络),可能会出现把两者融合到一起的技术或者产品形态。

    多维数据关联+丰富的漏洞库+独有网络空间测绘能力

    Q:我们知道市面上有很多类似的资产测绘产品,ZoomEye的特色和差异化优势在哪里?

  黑哥说:“实际上,我关注更多的是Shodan,Shodan作为第一个网络空间搜索引擎确实值得尊重,尤其我们是国内第一家做网络空间测绘的公司,在很多开拓性的尝试后更能体会其中的不易。新事物能够被市面接受的时间周期其实很⻓,直到近年来资产测绘才逐步被重视起来。目前从各方面反馈看,在网络空间测绘搜索引擎上ZoomEye已经被国际各大用户认可,也逐步稳固了行业翘楚的地位。”

  黑哥表示,聚焦到ZoomEye产品本身,知道创宇的特色及优势还是很突出的:

  第一,ZoomEye是国内最早也是全球诞生的第二个搜索引擎,意味着技术积累、数据积累。而数据积累有不可追逐的优势,这些历史数据在完善追踪目标动态变化及立体画像等方面有至关重要的作用。

  第二,ZoomEye是全球唯一个全面支持IPv4/IPv6/域名/暗网测绘的,且是国内第一个支持IPv6测绘,通过自主研发的引擎,知道创宇到目前已经整理了近30亿IPv6地址库。

  第三,知道创宇具备多维度的数据关联的能力,同时支持多个IP物理地址库(ipip、埃文)及多国家高精度地址库、独有的知道创宇安全大脑的恶意IP域名地址库、DNS相关的数据库、Whois数据库等等,这些都对完善目标立体画像非常有意义,比如可以通过数据关联得到IP的行业标签数据(就是知道这个IP是属于哪个行业相关)。

  第四,漏洞是网络安全攻防的基石,目前对漏洞影响面的测绘仍然是网空测绘的主要应用场景。通过知道创宇404实验室的安全研究能力,加上⺠间最大的通用漏洞数据库seebug,能快速输出漏洞检测方案,并结合ZoomEye实现全球漏洞影响面评估探测。

  第五,知道创宇全面支持主动测绘及被动测绘,帮助客户完善内部或者专有网络的测绘,并提供多种产品形态及全面解决方案以应对不同客户各种需求及场景。

  第六,知道创宇提出了很多先进的测绘理念并实践,如黑哥提出的“动态测绘”,时刻关注数据的动态变化及趋势。前面提到的心脏流血漏洞,就是利用动态测绘的理念分析得出的各种有趣的结论。再比如2019年委内瑞拉大停电事件,ZoomEye是全球唯一及时响应、通过动态测绘理念完成该国的网络关键基础设施及重要信息系统测绘的工具。此外还有“交叉测绘”的思想,基于它可以完成IPv4 vs IPv6、暗网vs IP/域名的交叉比;通过“行为测绘”理念来实现重要基础设施的识别定位等等。

  第七,知道创宇历经10余年探测引擎的积累,打造出独立自研的网络空间搜索引擎,通过“一键部署”能快速部署在普通的VPS主机上,并通过独有分布式算法实现稳定快速有效的探测,目前已在全球16个国家地区部署了1000+的节点。

  黑哥表示,未来知道创宇全面开放API接口,鼓励社区通过融合ZoomEye能力打造更多更好的安全项目。

    “挂图作战”与“动态测绘”不谋而合

    Q:近期,相关领导在多个场合提到了“挂图作战“,这个是网络空间资产测绘的典型应用场景么?

  黑哥表示,“挂图作战”是通过直观的图形化形式,将计划的实施方案、工作流程和执行进度等内容呈现出来,用于指导计划具体实施过程,是一种类似作战的快速响应行动方式。相关领导提出的“挂图作战”就是网络空间测绘的一个非常重要且典型的应用场景,知道创宇在网空测绘领域的理解跟这个理念是非常贴合的。

  早在2015年,知道创宇就提出网络安全要“看得清、防得住,攻得克”的9字真言,其中“看得清”就是对网络空间地图最形象的诠释。2016年4月19日,习近平总书记讲话也提出网络安全要“摸清家底,认清⻛险”的指示,这与网络测绘“画全画准”的要求不谋而合。

    黑哥表示,关于“挂图作战“的论文中提到地理地图学的“人-地-网”纽带建立,正好对应了他提出在网络空间中的“3W”概念,也就是网络空间测绘围绕的“who?”-“what?”-“where?”。

  黑哥强调:“挂图作战”还有一个重要的点就是战场的“瞬息万变”。因此,我们关注空间分布的同时也需要关注时间变化的维度,尤其是在攻防领域“时间差”是关键,谁能更好的把握时间差,就能获取主动权,这也跟黑哥提出的“动态测绘”不谋而合。

    小到企业大到政府、国家,需要网络资产测绘

    Q:网络资产测绘还有哪些典型民用应用场景和案例?

  黑哥认为,网络空间资产测绘是网络安全建设中基础设施类的工作,跟网络空间资产挂钩的地方就需要网络空间测绘,所以在很多场景上都是有需求的。

  目前,比较典型应用场景就是企业网络安全职能部⻔对企业资产识别管理,尤其是当下各种公有云/私有云的应用,很多网络资产被沦为暗资产,甚至到被入侵曝光后才被发现。此外,现在流行的各种攻防演练也是从资产排查入手的,资产发现的多,发现的快,是对抗的关键。在历年国家举办的攻防演练过程中,知道创宇通过ZoomEye能够梳理并实时监控参演单位的暗资产,得到客户的广泛认可。

  比较常⻅的场景比如行业监管等部⻔,有对辖区的网络资产进行安全监管、⻛险排查及监督整改的需求,智慧城市的网络安全建设就离不开网络空间测绘。目前,知道创宇对智慧城市相关的项目已经开始进行布局和切入。小到一个企业、大到一个行政管理部⻔、再到国家层面,网络安全、网络空间测绘都是有非常大的价值的。

  黑哥说,“漏洞攻防是目前主要的应用场景,但是我认为这只是网络空间测绘的一个点,实际上我们还有很多其他应用场景。包括在APT、僵尸网络、攻击框架等方向上的主动测绘应用、在网络数据泄露上的探测应用,甚至还有脱离传统网络安全上的应用。

  比如,我们尝试分析VPN、邮件系统的数据变化来反应疫情的影响。还有个例子,我们去年通过ZoomEye多年的历史数据分析发现IPv4地址还有大量的地址没有被启用,由此说明,IPv4不是绝对枯竭,而是这些资源都被掌握在少数的国家及组织手里,我想这也说明了为什么我国致力发展普及IPv6的原因之一。”

    未来网安新三件套中,资产测绘必须有姓名!

    Q:网络空间资产测绘这个方向未来的发展和市场空间?

  黑哥说,“我们在这个领域已经持续投入耕耘了10来年了,在这期间也有不少同行的加入然后又退出这个领域,直到近年来市场稍有起色,有越来越多的同行加入进来。谈到未来我们背靠着10余年的技术数据和人才的积累,还是充满信心的。我们在10年前就意识到了网络空间资产测绘在网络安全中基础建设的地位,而且我们坚信随着国家相关网络安全政策制度的推动,网络空间资产测绘在市场上有着极其广泛的需求。

  在未来有各种不同的需求及场景出现,会诞生更多的产品或者服务形式去迎合这种变化。如果说漏扫、防火墙、流量分析是网络安全老三件套的话,那么,我觉得网络安全未来三件套里可能会有网络空间测绘产品一席之地。”

    找准定位,明确需求

    Q:黑哥,最后给我们的客户朋友们建议一下,怎么选购网络空间资产测绘产品吧。

  黑哥听到这个问题直爽地笑了,直言:“这个问题我就不用建议了吧,选择ZoomEye系列产品就可以了!

  其实对于客户而言,首先要考虑自身的需求及预算,俗话说:“只选最对的,不选最贵的”。黑哥也为我们举例,比如:外网测绘和内网测绘在技术及产品实现上的侧重点是不一样的,这个问题一般客户可能是不太明白的,外网测绘一般要求测绘目标非常多,所以可能需要在速度及效率上有更多考量;但是在企业内网可能测绘的目标是相对有限的,要考虑更全、更准的资产识别,甚至可以启用多种测绘手段比如主动测绘与被动测绘结合等。

  同时,产品扩展性问题也易被忽视,网络资产测绘是企业安全管理工作基础中的基础,所以资产梳理清楚后需要配合其他产品或者能力进行扩展匹配,这就要求资产测绘产品提供API等开放接口,方便其他安全设备或者能力的融合。

  此外,客户重点关注是漏洞应急处理能力。而目前在企业安全管理中资产梳理后对漏洞的应急探测就是首当其冲要解决的问题。

    关于网络资产测绘的话题,黑哥与我们深入浅出地聊了很多,每一个观点的背后都包含着黑哥与知道创宇的能力积累与安全创新。此次专访让我们对网络资产测绘的未来怀揣更多期待。未来,网络安全建设更需要安全企业紧盯时代发展需求,抢抓新一代信息技术先机,更好彰显网络安全企业价值。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:中国资讯报道网

本文评论
SSD固态硬盘怎么选?SSD缓外速度减半使用有什么影响?
如何选择适合自己的SSD对于不同类型的用户都会产生一些困扰,尤其是对于市面上鱼龙混杂的产品,什么原厂颗粒、PCIE4.0、缓存外速度、4K性能、质保等等关键词都是需要考虑的因素,这对于很对不了解电脑配件的消费者就产生了选择困难症,尤其是近期接连有大厂被爆旗下产品跟换颗粒,缓存速度减半,这就更让普通消费者...
日期:08-28
看索尼电视魅力有多大?让球王奥斯卡和宝宝其乐无穷
近日,上海海港的明星球员——奥斯卡,在社交平台晒出了自己休息时与自家萌娃的温馨日常。“奶爸”奥斯卡不仅监督孩子学习,还带着孩子一起玩耍娱乐。奥斯卡显然游刃有余,还晒出了自己新入手的“带娃神器”——索尼电视A90J!上海海港队组最好的球员之一也用索尼电视,这让不少...
日期:08-28
BCS2021:奇安信推出零信任身份安全解决方案3.0
8月27日,在2021北京网络安全大会(BCS2021)期间,奇安信身份安全事业部总经理张泽洲正式发布奇安信零信任身份安全解决方案3.0。据介绍,奇安信零信任身份安全解决方案3.0核心内容可概括为“零信任123&rd...
日期:08-27
腾讯公益平台年捐赠人次首破亿,重庆、长沙、郑州表现亮眼"
2020年腾讯公益平台年捐赠人次首度突破1亿,累积超过4亿;爱心网友捐款总额达38.49亿元,其中约九成用于脱贫攻坚和乡村振兴。2021年“99公益日”到来前夕,腾讯公益公布了上述数据,充分体现了互联...
日期:08-27
苹果iPhone13/Pro系列手机到底涨不涨价?业内人士回答了!
ITBEAR科技资讯8月27日消息,有知名人士Jon Prosser带来最新消息:iPhone13系列手机会在9月14日亮相,而全球范围开售时间在9月24日,其可信度很高。如果抛开外界因素(COVID-19疫情等)的话,小编还真就是100%...
日期:08-27
云之家亮相2021届重庆智博会
云之家报表秀秀亮相2021届重庆智博会,本次会议将沿用“智能化:为经济赋能,为生活添彩”的主题,于8月23日—25日采用“线上+线下”方式举办。
日期:08-27
中国信通院:我国 IPv6 分配地址用户数 16.1 亿,活跃用户数 5.35 亿
8 月 27 日消息 8 月 25 日,工业和信息化部召开 IPv6 流量提升三年专项行动全国部署宣贯会。据中国信通院消息,中国信息通信研究院副院长王志勤在会上发布了国家 IPv6 发展监测平台最新监测数据。
日期:08-27
再下一城,鸿雁最大智能家居体验馆落地中山星光联盟
体验消费时代的到来,线下沉浸式、场景化的体验消费空间已成众多品牌营销新阵地,随着智能家居市场竞争加速,越来越多的知名品牌开始着力布局线下体验店。近日,智能家居头部企业鸿雁迈出门店拓展新步伐,集...
日期:08-27
开学有什么数码好物值得买,可以选择当贝激光投影X3
马上就开学了,作为大学生,其实是需要一些提升生活质量和学习效率的东西,今天给大家分享一下开学必备的数码电子产品,大家可以根据自己的需求去选择。
日期:08-27
重新定义边界安全新模式 奇安信推出边界安全栈新能力
8月27日下午,在2021北京网络安全大会发布系列活动上,奇安信集团副总裁吴亚东为大家带来了边界安全栈新能力的发布,聚焦安全运营,重新定义边界安全新模式。
日期:08-27
tcl电视安装U盘app方法,安装U盘里的软件真的非常简单
TCL电视作为老牌电视软件,一直备受消费者喜爱,在昨天TCL电视也发布了新品mini LED电视,不管是从外观还是硬件来说都是无可挑剔的。
日期:08-27
三星 Galaxy S21 Ultra 被曝运行 Android 12 系统跑分
8 月 27 日消息 据外媒 SamMobile 消息,三星 Galaxy S21 Ultra 5G 手机的一条跑分信息出现在 Geekbench 5 网站,值得注意的是,手机运行的是 Android 12 系统。目前三星最新的 One UI 4.0 系统基于 Android ...
日期:08-27
在“抖音新潮好物夜”,看见比娱乐更重要的事情
(本文转自微信号:镜像娱乐ID:jingxiangyule,文丨栗子酒、顾贞观,编辑丨李芊雪)
日期:08-27
Comper×脱口秀大会,用全新沟通方式圈粉年轻人
在年轻化营销主导消费趋势的2021年,对于品牌而言,找到自身与年轻人心智的市场结合点,通过符合圈层与潮流文化的营销手段来占领和打通年轻人的生活场景,已经成为品牌面向Z世代的重要选择。
日期:08-27
百度智能云 ×美欣达|实现“双碳”目标,看下纺织业的智慧样本
中国经济正处于由高速增长到高质量发展的转型过程中,伴随着产业升级,中国制造业也将逐步从“中国制造”转向“中国智造”。这就要求制造企业向“绿色”、“高效”...
日期:08-27
吸尘器什么牌子好 三款知名吸尘器黑科技大比拼
后疫情时代,居家健康成为了人们关注的重点。相对扫地机器人而言,无线手持式吸尘器可以适应多场景的清洁,成为现代家庭最受欢迎的清洁家电之一。最新数据显示,2021年1-4月吸尘器市场规模达72亿元,同比增长...
日期:08-27
跨越速运 x DorisDB:统一查询引擎,强悍性能带来极速体验
跨越速运集团有限公司创建于2007年,目前服务网点超过3000家,覆盖城市500余个,是中国物流服务行业独角兽企业。跨越集团大数据中心负责全集团所有数据平台组件的建设和维护,支撑20余条核心业务线,面向集团...
日期:08-27
腾讯阿里打通生态,针锋相对的时代或将结束
  前些日子,阿里张勇表态将会和腾讯打通生态。目前双方生态最核心的断点在淘宝支付和微信外部链接。因此可以判断,未来打通生态是指淘宝可以使用微信支付,同时微信内也可以使用淘宝平...
日期:08-27
欧盟将正式对英伟达 540 亿美元收购 ARM 交易展开调查
8 月 27 日消息 今日外媒《金融时报》发布消息,称欧盟已经正式对英伟达 540 亿美元收购 ARM 交易展开调查。此前监管机构已经与英伟达进行了为期数月的非正式讨论,正式的调查将于 2021 年 9 月开启。
日期:08-27
首批通过TAG反欺诈认证,国双AD成功的秘诀原来于此
近日,国双广告监测分析优化平台Ad Dissector(以下简称AD)成功通过TAG数字广告流量反欺诈国际认证,国双成为国内首批获得该认证的第三方广告监测服务商。为什么国双能够首批通过TAG反欺诈认证,获得行业权威资质...
日期:08-27
  专栏介绍
海露 的专栏
海露发表的文章