168体育趣访“漏洞之王”黑哥探寻知道创宇十年网络资美食产测绘之路

  黑哥不黑,也没有想象中黑客的高冷,专访全程笑眯眯的黑哥极具亲和力和感染力。

  采访黑哥的想法起源于近期网络资产测绘的火爆,而黑哥就职的知道创宇正是国内最早布局这个方向的安全公司,其404实验室打造的网络空间搜索引擎ZoomEye(“钟馗之眼”)在全球范围内赫赫有名。因此,探寻网络资产测绘这一话题,怎么都绕不开黑哥,绕不开ZoomEye,绕不开知道创宇及404实验室。

  Q:知道创宇是国内最早布局网络资产测绘的安全公司,ZoomEye是如何萌芽的?

  网络资产测绘是知道创宇在2010年开始萌芽启动的。而ZoomEye的产生跟知道创宇的创新基因相关,公司两位创始人赵伟和杨冀龙都是安全圈的技术大佬,对安全的理解相当深入,他们认为漏洞和数据是网络安全的两大基础,对此非常重视。

  当时,知道创宇主导Web漏扫产品,主要服务于各地的监管部门,那时很多单位反馈不知道辖区有多少网站和服务器,为帮助客户普查资产,就想到做一款全网域名及IP探测的工具。这款工具最开始的主要关注点还是在知道创宇所擅长的Web上,他们做了大量的Web通用应用识别也就是wmap引擎,随后逐渐加入了IPv4及其他协议,逐步形成了今天ZoomEye的产品形态。

  黑哥回忆,ZoomEye在2013年正式对外发布上线年心脏出血的漏洞一战成名:“心脏出血漏洞是一个很经典的案例,当时我们针对漏洞去进行动态测绘,经过多天的跟进并做了动态对比和分析后,得出了数据变化的趋势心脏出血是SSL安全类协议,我们认为它的覆盖度能代表某个国家和地区对安全的重视程度和普及率,修复率能说明其应急能力有多强。根据数据分析结果我们做了一个全球国家安全能力的排名,我们国家当时排了102名。”

  “数据不是摆在这里,要让数据去说话,要表达出来数据背后的东西。”黑哥说。

  目前,网络资产测绘的测绘对象主要集中在IPv4、IPv6、域名、区块链等方面。其中IPv4的地址库数量是有限已知的,而IPv6、域名、暗网理论上是无限的,所以首要核心能力是如何去获取这些地址数据。知道创宇已经收集了接近30个亿的IPv6地址,黑哥说:“没有数据基础,后面的事情是无法继续下去的。”

  虽然IPv6是未来的防线,但目前市场上的测绘重点还是在IPv4上面。黑哥为我们介绍了IPv4地址库的数据量,每个IP理论上可以开放的端口数为65535*2(包括TCP/UDP),每个端口可能有n种协议,然后每种协议可能包括n种探针。这些数据的获取需要进行协议分析、探针开发等,数据量也是非常庞大的。

  获取数据的核心能力里面还包括很多细节,如:需要探针的数据那么多,必然影响你的探测频率,那么就需要大量的探测节点;存在各种“对抗”的问题,节点会被“ban”等,而解决这些问题正是“获取数据”能力的体现。

  网络测绘主要关注的还是目标画像,所以需要其他多维度的数据关联,比如IP物理地址库、Whois数据、DNS相关数据、威胁情报数据等是较为核心的能力。

  “获得了数据后,我们就需要去分析解读这些数据,让数据说话,也就是我说的赋予数据灵魂了,这个才是测绘的真正价值所在,然而这也可能因为能力意识等因素而被忽视。”黑哥说。

  对数据进行分析和解读,基础是将这些数据存储及结构化处理,目前这部分要依赖互联网大数据技术的发展,比如Elasticsearch数据库这种相关技术的出现。数据存储后,是数据分析识别的能力,比如我们常说的设备、组件、指纹分析提取。还要考虑要用户体验层的问题,包括搜索引擎的平台的建立,数据的聚合、关联的能力,要方便用户进行检索。在以上基础上,还需要解读和思考的能力,才能真正让数据说话让数据拥有灵魂。这个说起来简单,实际上是个非常重要的核心能力。

  “我一直认为矛盾是技术发展原始动力,换句话说问题矛盾在哪里,那么未来就在哪里。”黑哥说。

  目前,测绘领域有一些问题并没有被很好的解决,比如前面说到的全端口的覆盖、更多的协议覆盖、更深度的探测、扫描对抗等。这些问题带来的成本方面的压力也是越来越高的168体育,未来,会催生扫描探测上新技术的发展和与其他技术的融合共同来解决面临的问题。知道创宇也在不停地改进其产品技术和能力,例如他们一直致力改进扫描探测Xmap引擎及架构168体育,使产品可以更加快速进行一键部署、可以适用于一般比较廉价的VPS主机、节点隐蔽不暴露等。

  在网络空间资产测绘的大数据处理分析及搜索平台部分,未来AI技术的发展和机器学习的数据分析模式会有利于解决指纹识别、目标画像等问题。在产品方向上,未来会有一些测绘边界融合相关的改变,比如目前测绘主要是分公网及内网(或专用网络),可能会出现把两者融合到一起的技术或者产品形态。

  Q:我们知道市面上有很多类似的资产测绘产品,ZoomEye的特色和差异化优势在哪里?

  黑哥说:“实际上,我关注更多的是Shodan,Shodan作为第一个网络空间搜索引擎确实值得尊重,尤其我们是国内第一家做网络空间测绘的公司,在很多开拓性的尝试后更能体会其中的不易。新事物能够被市面接受的时间周期其实很⻓,直到近年来资产测绘才逐步被重视起来。目前从各方面反馈看,在网络空间测绘搜索引擎上ZoomEye已经被国际各大用户认可,也逐步稳固了行业翘楚的地位。”

  黑哥表示,聚焦到ZoomEye产品本身,知道创宇的特色及优势还是很突出的:

  第一,ZoomEye是国内最早也是全球诞生的第二个搜索引擎,意味着技术积累、数据积累。而数据积累有不可追逐的优势,这些历史数据在完善追踪目标动态变化及立体画像等方面有至关重要的作用。

  第二,ZoomEye是全球唯一个全面支持IPv4/IPv6/域名/暗网测绘的,且是国内第一个支持IPv6测绘,通过自主研发的引擎,知道创宇到目前已经整理了近30亿IPv6地址库。

  第三,知道创宇具备多维度的数据关联的能力,同时支持多个IP物理地址库(ipip、埃文)及多国家高精度地址库、独有的知道创宇安全大脑的恶意IP域名地址库、DNS相关的数据库、Whois数据库等等,这些都对完善目标立体画像非常有意义,比如可以通过数据关联得到IP的行业标签数据(就是知道这个IP是属于哪个行业相关)。

  第四,漏洞是网络安全攻防的基石,目前对漏洞影响面的测绘仍然是网空测绘的主要应用场景。通过知道创宇404实验室的安全研究能力,加上⺠间最大的通用漏洞数据库seebug,能快速输出漏洞检测方案,并结合ZoomEye实现全球漏洞影响面评估探测。

  第五,知道创宇全面支持主动测绘及被动测绘,帮助客户完善内部或者专有网络的测绘,并提供多种产品形态及全面解决方案以应对不同客户各种需求及场景。

  第六,知道创宇提出了很多先进的测绘理念并实践,如黑哥提出的“动态测绘”,时刻关注数据的动态变化及趋势。前面提到的心脏流血漏洞,就是利用动态测绘的理念分析得出的各种有趣的结论。再比如2019年委内瑞拉大停电事件,ZoomEye是全球唯一及时响应、通过动态测绘理念完成该国的网络关键基础设施及重要信息系统测绘的工具。此外还有“交叉测绘”的思想,基于它可以完成IPv4 vs IPv6、暗网vs IP/域名的交叉比;通过“行为测绘”理念来实现重要基础设施的识别定位等等。

  第七,知道创宇历经10余年探测引擎的积累,打造出独立自研的网络空间搜索引擎,通过“一键部署”能快速部署在普通的VPS主机上,并通过独有分布式算法实现稳定快速有效的探测,目前已在全球16个国家地区部署了1000+的节点。

  黑哥表示,未来知道创宇全面开放API接口,鼓励社区通过融合ZoomEye能力打造更多更好的安全项目。

  Q:近期,相关领导在多个场合提到了“挂图作战“,这个是网络空间资产测绘的典型应用场景么?

  黑哥表示,“挂图作战”是通过直观的图形化形式,将计划的实施方案、工作流程和执行进度等内容呈现出来,用于指导计划具体实施过程,是一种类似作战的快速响应行动方式。相关领导提出的“挂图作战”就是网络空间测绘的一个非常重要且典型的应用场景,知道创宇在网空测绘领域的理解跟这个理念是非常贴合的。

  早在2015年,知道创宇就提出网络安全要“看得清、防得住,攻得克”的9字真言,其中“看得清”就是对网络空间地图最形象的诠释。2016年4月19日,习讲话也提出网络安全要“摸清家底,认清⻛险”的指示,这与网络测绘“画全画准”的要求不谋而合。

  黑哥表示,关于“挂图作战“的论文中提到地理地图学的“人-地-网”纽带建立168体育,正好对应了他提出在网络空间中的“3W”概念,也就是网络空间测绘围绕的“who?”-“what?”-“where?”。

  黑哥强调:“挂图作战”还有一个重要的点就是战场的“瞬息万变”。因此,我们关注空间分布的同时也需要关注时间变化的维度,尤其是在攻防领域“时间差”是关键,谁能更好的把握时间差,就能获取主动权,这也跟黑哥提出的“动态测绘”不谋而合。

  黑哥认为,网络空间资产测绘是网络安全建设中基础设施类的工作,跟网络空间资产挂钩的地方就需要网络空间测绘,所以在很多场景上都是有需求的。

  目前,比较典型应用场景就是企业网络安全职能部⻔对企业资产识别管理,尤其是当下各种公有云/私有云的应用,很多网络资产被沦为暗资产,甚至到被入侵曝光后才被发现。此外,现在流行的各种攻防演练也是从资产排查入手的,资产发现的多,发现的快,是对抗的关键。在历年国家举办的攻防演练过程中,知道创宇通过ZoomEye能够梳理并实时监控参演单位的暗资产,得到客户的广泛认可。

  比较常⻅的场景比如行业监管等部⻔,有对辖区的网络资产进行安全监管、⻛险排查及监督整改的需求,智慧城市的网络安全建设就离不开网络空间测绘。目前,知道创宇对智慧城市相关的项目已经开始进行布局和切入。小到一个企业、大到一个行政管理部⻔、再到国家层面,网络安全、网络空间测绘都是有非常大的价值的。

  黑哥说,“漏洞攻防是目前主要的应用场景,但是我认为这只是网络空间测绘的一个点,实际上我们还有很多其他应用场景。包括在APT、僵尸网络、攻击框架等方向上的主动测绘应用、在网络数据泄露上的探测应用,甚至还有脱离传统网络安全上的应用。

  比如,我们尝试分析VPN、邮件系统的数据变化来反应疫情的影响。还有个例子,我们去年通过ZoomEye多年的历史数据分析发现IPv4地址还有大量的地址没有被启用,由此说明,IPv4不是绝对枯竭,而是这些资源都被掌握在少数的国家及组织手里,我想这也说明了为什么我国致力发展普及IPv6的原因之一。”

  黑哥说,“我们在这个领域已经持续投入耕耘了10来年了,在这期间也有不少同行的加入然后又退出这个领域,直到近年来市场稍有起色,有越来越多的同行加入进来。谈到未来我们背靠着10余年的技术数据和人才的积累,还是充满信心的。我们在10年前就意识到了网络空间资产测绘在网络安全中基础建设的地位,而且我们坚信随着国家相关网络安全政策制度的推动,网络空间资产测绘在市场上有着极其广泛的需求。

  在未来有各种不同的需求及场景出现,会诞生更多的产品或者服务形式去迎合这种变化。如果说漏扫168体育、防火墙、流量分析是网络安全老三件套的话,那么,我觉得网络安全未来三件套里可能会有网络空间测绘产品一席之地。”

  Q:黑哥,最后给我们的客户朋友们建议一下,怎么选购网络空间资产测绘产品吧。

  黑哥听到这个问题直爽地笑了,直言:“这个问题我就不用建议了吧,选择ZoomEye系列产品就可以了!”

  其实对于客户而言,首先要考虑自身的需求及预算,俗话说:“只选最对的,不选最贵的”。黑哥也为我们举例,比如:外网测绘和内网测绘在技术及产品实现上的侧重点是不一样的,这个问题一般客户可能是不太明白的,外网测绘一般要求测绘目标非常多,所以可能需要在速度及效率上有更多考量;但是在企业内网可能测绘的目标是相对有限的,要考虑更全、更准的资产识别,甚至可以启用多种测绘手段比如主动测绘与被动测绘结合等。

  同时,产品扩展性问题也易被忽视,网络资产测绘是企业安全管理工作基础中的基础,所以资产梳理清楚后需要配合其他产品或者能力进行扩展匹配,这就要求资产测绘产品提供API等开放接口数码,方便其他安全设备或者能力的融合。

  此外,客户重点关注是漏洞应急处理能力。而目前在企业安全管理中资产梳理后对漏洞的应急探测就是首当其冲要解决的问题美食。

  关于网络资产测绘的话题,黑哥与我们深入浅出地聊了很多,每一个观点的背后都包含着黑哥与知道创宇的能力积累与安全创新。此次专访让我们对网络资产测绘的未来怀揣更多期待。未来,网络安全建设更需要安全企业紧盯时代发展需求,抢抓新一代信息技术先机,更好彰显网络安全企业价值。

  本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

  【ITBEAR科技资讯】9月13日消息,苹果公司的首款混合现实(MR)头显Vision Pro即将于明年初正式发售,这是苹果首次涉足MR领域。这款头显在北京时间的6月6日首次亮相,现在苹果CEO蒂姆·库克已确认了发售计划。Vision Pro的引人注目之处在于其高质量的Micro-OLED屏幕,总分

  【ITBEAR科技资讯】9月13日消息,北京时间凌晨1点,苹果公司在一场备受瞩目的新品发布会上推出了众多新品,其中包括 15系列和第二代Apple Watch Ultra。然而,令人意外的是,苹果并没有发布新款。据ITBEAR科技资讯了解,苹果公司计划在明年推出两款全新的OLED

  【ITBEAR科技资讯】9月13日消息,佳能公司今日发布了一系列针对CINEMA EOS SYSTEM的全新RF电影镜头。这次发布包括7款型号,分别是CN-R14mm T3.1 L F、CN-R20mm T1.5 L F、CN-R24mm T1.5 L F、CN-R35mm T1.5 L F、CN-R50mm T1.3 L F、CN-R85mm T1.3 L F以及CN-R135mm T2.

  iQOO 12系列:骁龙8 Gen3芯片助力 性能王者 即将登场

  【ITBEAR科技资讯】9月13日消息,不久前,vivo副总裁贾净东发布了令人期待的预告,全新的iQOO 12系列旗舰手机即将与大家见面。这次的iQOO 12系列被定位为“性能王者”,最大的卖点之一是它将搭载骁龙8 Gen3旗舰移动平台。如今,我们获得了更多有关这款手机的核心细节。

  【ITBEAR科技资讯】9月13日消息,苹果公司在今天的“好奇心上头”活动结束之后,宣布移除了两款备受期待的MagSafe配件产品:MagSafe外接电池和MagSafe双项充电器。这一决定引起了广泛关注,尤其是考虑到这两款产品的便携性和充电效能。MagSafe外接电池,售价749元,曾是

  【ITBEAR科技资讯】9月13日消息,微软再次为游戏玩家们献上一份惊喜,他们今日公布了最新的Xbox手柄配色——星辰紫(Astral Purple)。这款令人期待的无线人民币)。据微软透露,这款手柄将支持蓝牙和Xbox无线

  【ITBEAR科技资讯】9月13日消息,苹果公司在今年6月份的WWDC大会上引发了科技界的轰动,正式发布了备受期待的Vision Pro混合现实设备。然而,虽然许多人迫不及待地想要体验这一革命性的产品,但他们还需要耐心等待一段时间。苹果公司的首席执行官蒂姆·库克近日确认,Vi

  【ITBEAR科技资讯】9月13日消息,索尼公司于今日发布了最新的CineAlta系列电影摄影机,其中一款备受期待的产品是CineAltaB168体育,该款轻量化智能全画幅8K电影摄影机的单机建议零售价为20万元。这一重要发布事件吸引了全球影视制作行业的目光。新的CineAltaB电影摄影机搭载了

  苹果发布会揭秘: 15和AirPods系列换上USB-C接口

  【ITBEAR科技资讯】9月13日消息,今天在苹果秋季新品发布会上,苹果公司宣布了一系列重大变革,其中包括为 15系列手机以及AirPods Pro、EarPods耳机引入USB-C接口,以实现更多的灵活性和便利性。然而,值得注意的是,苹果并未为AirPods(第三代)更新相应接口,保持

  【ITBEAR科技资讯】9月13日消息,苹果公司在今日的秋季新品发布会上正式宣布,全新的watchOS 10将于9月18日推出,为Apple Watch带来了一系列令人兴奋的更新和功能增强。新系统最引人注目的特性之一是小组件功能。用户将能够根据自己的需求自定义设置和浏览小组件。这项

  【ITBEAR科技资讯】9月13日消息,苹果公司在今天凌晨的秋季新品发布会上推出了令人瞩目的新一代智能手表产品,包括Apple Watch Series 9和Apple Watch Ultra 2。这两款产品的发布引发了广泛关注,让我们来看看它们的亮点。首先介绍的是全新的 **Apple Watch Series 9**

  Apple Watch Series 9:屏幕升级、手势操作 智能手表新体验

  【ITBEAR科技资讯】9月13日消息,苹果公司于当日凌晨举行的秋季新品发布会上,推出了全新升级的Apple Watch Series 9和Apple Watch Ultra 2,引发了广泛的关注。这两款智能手表不仅在外观和功能方面进行了全面升级,还展现了苹果在智能手表领域的决心和创新。作为Apple

  Apple Watch Ultra 2登场:亮度飙升至3000nits,功能强大

  【ITBEAR科技资讯】9月13日消息,苹果公司在今天凌晨1点发布了备受期待的全新智能手表产品,分别为Apple Watch Series 9和Apple Watch Ultra 2。这两款产品带来了一系列引人注目的创新和升级。Apple Watch Ultra 2成为了焦点,它搭载了全新的Apple S9 SiP芯片,这一升级

  【ITBEAR科技资讯】9月13日消息,苹果公司于北京时间昨日凌晨举行的秋季发布会上正式推出了全新 15 Pro系列手机,其中的亮点之一是搭载的全新A17 Pro芯片,这也被称为是迄今为止性能最强大的芯片。根据苹果的介绍,A17 Pro芯片是全球首款采用3nm工艺制造的

  精彩绽放!Apple Watch Series 9的全新功能和设计亮点

  【ITBEAR科技资讯】9月13日消息,苹果公司于今天凌晨1点举行了一场备受期待的秋季新品发布会,为全球科技爱好者带来了一系列惊喜。首个亮相的新品是备受瞩目的Apple Watch Series 9。Apple Watch Series 9不仅延续了苹果在智能手表领域的创新传统,还带来了一项引人注目

  行云管家全面适配信创国产化平台 助力政企信创环境下数字化转型与安全运维

  Apple Watch Series 9:S9芯片助力智能手表领域巅峰

  全新宏基Predator X32Q FS问世:32英寸Mini LED游戏显示器震撼登场

  苹果2023秋季发布会倒计时 15系列和Apple Watch亮相在即

  苹果发布会预测: 15将全面拥抱USB-C AirPods或双版本登场

  iQOO 12系列:骁龙8 Gen3芯片助力 性能王者 即将登场

  本网站LOGO小熊标志受版权保护,版权登记号:鲁作登字-2015-F-025467,未经ITBEAR官方许可,严禁使用。168体育168体育

未经允许不得转载:168体育 » 168体育趣访“漏洞之王”黑哥探寻知道创宇十年网络资美食产测绘之路

网站地图 网站地图