活动 | 华顺信安专题：真实攻击下的金融信息安全赋能

活动开场，本次沙龙的主持人也是安在新媒体创始人张耀疆发表致辞。他表示，年终岁尾是金融行业的特殊时期，在这期间，探索新技术和新趋势是最为重要的任务。幸运的是，华顺信安举办了此次沙龙活动，作为一家以技术创新为特点的安全厂商，华顺信安所提供的产品及服务备受业界好评，期待他们会在这次沙龙活动中分享更多干货，让参会的CSO们不虚此行。

随后，华顺信安创始人赵武发表了致辞。他提到，华顺信安的崛起源于与监管机构的合作。在合作中，华顺信安看见了一些趋势，也希望与业界进行讨论。赵武认为，目前基于攻防的技术正在发生变化，而这些变化与网络空间测绘高度相关，也与华顺信安高度相关。在致辞的最后，赵武对现场参会的CSO们表示欢迎，并期待接下来的交流和分享。

随后，华顺信安金融行业解决方案专家温海江、某金融公司信息安全合规专家徐正伟、青藤云安全金融行业安全顾问秦文辉以及华顺信安安服总监尹晓坤四位专家，分别以《网络空间测绘技术在金融行业的实战应用》、《配合执法机关临检及协查取证》、《云原生安全建设实践》、《威胁狩猎-网络空间测绘新视角》为主题进行了分享。

网络空间测绘是通过网络探测、采集、处理、分析等方面的技术，将网络上的基础设施、软硬件等等进行探测，并结合网络空间、地理空间以及社会空间的属性，将最终的测绘结果对外呈现。换言之，网络空间测绘就是“画地图”，在当前严峻的网络安全攻防趋势下，网络空间测绘更注重呈现出网络攻防地图。

华顺信安虽然不是第一个提出网络空间测绘技术的企业，但在成立后的8年时间里，华顺信安始终专注研发网络空间测绘的底层技术。目前，华顺信安推出的FOFA（网络空间资产搜索引擎）用户量居于全球首位，海外用户也在急剧上升。此外，通过对同类产品的调研和分析，FOFA的月更新速度最快，存量数据已超过百亿，资产识别规则高达35万余种。通过FOFA，用户可以很精确的刻画出资产的内容、范围、状况等等。

作为监管最为严格的金融行业，其在资产管理中具备三大痛点。首先是供应链刻画不清，金融企业互联网暴露的供应链资产(系统中的各类运行组件)刻画不清晰，同时并未建立基于情报的供应链安全监控及预警发现的协同管理体系。其次是情报价值转换不足，基于现有的情报体系，提取其中能够转化为对行内有价值的情报能力不足，未与互联网风险监控体系形成合力。第三是影响面评估难，爆发新漏洞后，难以对行内暴露在互联网上的所有系统，进行全盘影响面评估，针对突发的供应链安全事件响应捉襟见肘。

对此，温海江表示，可通过构建信息安全视角下的资产发现能力及供应链资产库，通过主动扫描、轮询扫描来建立一个动态的供应链资产库，并从全面性、准确性、深入度、细腻度、持续性以及关联性来评估资产库的状况。接下来是风险识别，相对于传统的漏扫设备，华顺信安更针对基于资产地图的漏洞专扫，利用绘制出的资产地图，基于资产与漏洞的关联策略，精确圈定风险资产范围，并利用漏洞PoC进行专扫，提升漏洞发现效率。

在分享环节中，温海江着重分享了华顺信安的两款安全产品FORadar和FOBrain。FORadar（互联网资产攻击面管理平台），针对用户关于互联网资产边界模糊、入侵风险隐患增加、未知资产难以挖掘、数字资产难以统一管理等痛点，做到资产全盘点、收敛暴露面、建立供应链线索库、风险关联分析等等。通过FORadar，用户可以实现一键式快速探查企业资产全貌、资产风险矩阵自动管理、提升资产运营效率等等。

另一款产品FOBrain（网络资产攻击面管理平台）则以攻击者视角聚焦企业网络空间资产，帮助客户全面掌握资产动态、洞察资产风险。针对用户资产数量多、种类繁杂，有多种资产管理工具但缺少内外网资产统一管理平台等痛点，可以提供全面资产管理能力，打破数据孤岛建立资产间关联关系，形成企业完整可信的资产清单等等。

金融行业的数据涉及交易数据、个人金融数据、隐私数据等等，因此格外受到监管的关注。监管或执法机关可能会在没有事先通知的条件下突然到公司进行现场检查。包括对企业生产、经营以及企业高管开展调查，或请公司提供涉案人员的相关数据。

据徐正伟介绍，在执法机构进入企业后，一般会要求提供安全的办公区域进行询问、审计、审查。由于案件的敏感性、重要性，接受问询的企业高管及员工要对执法机构的问询内容保密，不能与无关人员交流相关内容，避免不必要的麻烦。

协查取证是执法机关经常采取的办案方式，只要其出示了合规、合法的手续，任何人都要全力配合。这里有一个比较特殊的部门是国家安全部门。因工作特殊性，国家安全机关工作人员在执行工作任务时，大多时候会着便装，在需要公民配合的情况下，工作人员会出示证件。证件外观与公安机关的警官证一致，证件内页上方有金色警徽和“国安”二字，内页下方有工作人员证件照和证件号。徐正伟在介绍时讲到了一个案例，某境外间谍在北京期间，准备与我体制内涉密岗位工作人员会面，地点选在了某酒店餐厅。安全机关在调查时出示证件，并说明来意，酒店的两名相关负责人却拒不配合，百般的阻拦，强烈挑衅国家安全机关的执法权，将国家安全机关在酒店开展侦查工作的国家秘密透露给了无关人员。该酒店两名负责人因妨碍执行任务，致使国家安全机关工作错失良机，造成重大损失，被北京市国家安全机关依法处以行政拘留的处罚。

在执法机构临检及协查取证的时候需要做什么？首先是要请执法人员提供相关手续和证件，并做好存档。因为企业不具备核查执法机关人员身份的能力，所以遇到假冒人员，可以报警并提供相关材料，以此来规避自身的风险。其次合法合规前提下，无条件配合执法人员执行公务。如果抗法，那么可能会面临公安机关传唤和强制传唤。传唤指的是对现场发现的违法嫌疑人，人民警察经出示工作证件，可以口头传唤，并在询问笔录中注明违法嫌疑人到案经过、到案时间和离开时间。强制传唤指的是对无正当理由不接受传唤或者逃避传唤的违反治安管理的违法嫌疑人，使用强制方法将其带至公安机关或指定地点接受询问的一种限制人身自由的行政强制措施。

近5-10年，云原生技术建设费用占IT总体投入的比例越来越高，这意味着从业务视角来看，云原生是我们在业务角度来看的话，云原生技术在金融行业的应用已经较为成熟。然而，新技术的应用势必带来新的问题，导致新问题发生的原因是新技术带来了新的保护对象，这些保护对象无法在传统安全体系中得到保护，此前也不会去建设对应的防护策略或前置的安全手段。

近年来云原生技术带来的新问题包括网络安全风险、基础设施风险、运行风险、微服务风险以及镜像风险。在网络层面，云原生技术构建了虚拟化的、运行云应用的管理平面，这导致网络会变得更加复杂，从而产生包括集群内横向移动、越权攻击等风险。在基础设施层面，云原生改变了主机层的容器运行环境以及新增了很多未受保护的基础设施，这可能导致未授权访问、K8S权限提升漏洞、开启匿名账号登录、K8s攻击等风险。运行风险包括容器逃逸反弹Shel、病毒木马、无文件攻击等。微服务风险包括微服务漏洞、微服务越权、微服务框架漏洞。镜像风险包括恶意程序、软件漏洞、敏感信息、不安全配置、仓库漏洞、不可信镜像等等。

秦文辉在分享中指出，有数据显示，如果在研发阶段发现了⼀个安全问题，修复它的成本是1；到测试阶段发现⼀个安全问题，修复它的成本到了10；到上线的时候，再去修复这个安全漏洞，同样的安全漏洞修复成本是100，相当于扩⼤了100倍。如果在前端没有安全介入的话，安全措施就是治标不治本，后续可能会产生更大的修复成本。

在云原生环境下，业务安全管理体系需要随之变化，包括管理的手段及相关制度的制定。其次是云原生环境下可能会带来资产不清、风险不明、攻击不知等问题，传统的安全手段解决不了这些问题，就需要新的策略来应对和覆盖。部分企业会将资产相关的问题由云转型团队来负责，这就导致安全团队很难以安全视角来提前感知和干预，这也是一个需要改善和解决的问题。

华顺信安的核心能力有 3 个，分别为“白帽子社区”、“全球资产量”以及“漏洞”。目前，FOFA的资产指纹数量达到了35W+，这几乎可以覆盖全球80%以上的供应链资产指纹，而供应链攻击也是近几年攻防演练的核心技战法之一。除此之外，多年以来以实战化为目标累计的漏洞也是白帽汇的看家本领之一。

在威胁狩猎领域，大部分企业更倾向被动式狩猎，也就是更多依靠内部的SIEM、NDR等告警信息来做威胁狩猎。然而，目前国际安全形势愈发严峻，传统的被动式威胁狩猎已经无法满足当前的需求，主动式威胁狩猎就成为当前的重点技术方向。

而在网络测绘技术的加持下，不论是对 C2 节点的跟踪捕获，还是对漏洞影响面的快速标定以及未知APT 组织的攻击画像刻画，主动狩猎已经从“概念”转变为主动扩大战果的技战法之一。而这些任务完成，其实离不开 FOFA 的两大核心能力：资产拓线以及资产标定。

资产拓线，指的是通过提取资产特征，进行规则组合去拓线同类型资产。在面临APT 组织，C2 节点不再存活的情况下，通过 IOC结合 FOFA 语法可以快速对该 APT 组织进行资产拓线从而标记目前还在存活的 C2 节点。尹晓坤现场通过演示对蔓灵花组织的追踪，展现了 FOFA 强大的资产拓线能力。

议题分享完毕后，本次沙龙活动进入了圆桌环节。安在新媒体创始人张耀疆、华顺信安创始人赵武、某金融公司信息安全合规专家徐正伟、青藤云安全金融行业安全顾问秦文辉共同探讨网络空间测绘的发展历程。

赵武：华顺信安与监管机构的关系十分密切。此前，勒索攻击并不广泛，然而近年来随着勒索团队的猖獗以及被勒索企业的“软弱”，数据勒索变得越来越复杂。即便是华顺信安能够做出相应的专项报告也无济于事，一方面是漏洞非常多，华顺信安应接不暇，另一方面是无法控制勒索团队，治标不治本。对此，监管机构出台了非常多的专项策略，在这个过程中，我们发现了FOFA的价值。作为用户量最大的网络资产搜索引擎，其具备的情报能力不仅可以支持监管机构，还可以利用测绘技术将资产地图可视化，让更多企业具备抗风险的能力。

秦文辉：青藤云的CEO张福也十分重视技术，我们的第一款产品是主机安全，其产生的原因是张福看到了金融行业的安全工作离不开监管合规这条红线。然而，大部分企业的纵深防御只关注外部，而忽视了内部的安全防线，这就需要有一个从内而外的主机安全产品来更全面地防护。

但在技术向产品化转型的过程中，我们发现不能以流量的方式来做，这对企业的工作负载太大。因此我们选择了以Agent的方式来实现产品化，并保障用户的业务连续性。基于国家攻防演练的契机，我们与客户展开了多次交流，他们也发现了传统纵深防御的一些问题，也就逐渐接受了我们的产品。

徐正伟：从甲方视角来看，我在国内某金融公司就职时发现，他们的主机设备除了自带的应用以外，没有任何软件。这是因为担心其他软件出现问题，导致主机设备无法正常使用，从而影响业务的开展。在2016年以后，国家级攻防演练促进了企业做好更精细的防护，也提出了相应的需求。这些需求累计起来，就是安全供应商产品化、商业化的方向。

赵武：未来几年内，在AI的加持下，漏洞利用一定会发生很大的变化，而这种变化是不可逆的。这将导致勒索攻击变得更加复杂，因此，需要利用网络空间测绘技术来建立资产地图，以此来实现全方位地防范包括勒索攻击等一系列攻击态势。对于华顺信安来说，我们公司的使命不是让95分的人提到到100分，而是让20分的人快速的提高至85分。

秦文辉：随着公有云的普及，金融行业的用户体验到资源利用提升的好处后，开始关注数据安全。因此，这些用户开始采用公私结合的方式来保障数据安全。但是，公有云和私有云的集合势必会提升工作负载，这也是当前青藤云关注的重点。同时，随着攻防态势的变化，安全的位置也逐渐发生了改变，想要真正实现安全防护，就需要在应用内部来设置安全策略。这里的好处在于应用的流量和行为可以同步监测，让响应预警更加及时。

徐正伟：随着政策的变化，金融行业的资源越来越有限，将有限的资源最大程度地利用离不开云。特别是在双碳政策的影响下，IDC设备无法肆意扩张，虚拟化就变得尤其重要。当前，无论私有云还是公有云都是重要趋势，一方面，云能够促进企业降本增效；另一方面，通过云的弹性还可以将资源进行弹性调用，这对企业来说意义重大。

活动相关资料欢迎大家在知识星球下载~