前言：

随着数字化建设的兴起，各行各业大力发展信息化IT建设，通过数字技术的投入，建设数字新基建，   引发互联网+传统行业的数字化变革，打破了传统行业的产业边界，带来大量网上便捷业务。在“互联网+”助力产业新样貌建立的同时，企业在互联网上的暴露面也不断增加，网络安全成为企业数字化转型核心竞争力的最大阻碍。

网络安全是没有硝烟的战场，“高效”和“精准”是战场中致胜的法宝，快速明确敌人的动机、战略、技术、流程，将帮助安全管理人员轻松“以智取胜”，提前调整防御措施，并给予客观的数据辅助进行决策。互联网攻击面情报主要包含两部分：一、企业在互联网中暴露的信息系统的情报数据；二、互联网中可能对企业产生安全威胁的情报数据；这两类情报数据将帮助企业以攻击者的视角发现企业被攻击的可能性及影响，从数字扩展情报、漏洞情报、威胁情报三个方面了解自身在公网中的安全风险，实现了解自身状况与攻击流行态势，从而先于攻击者进行防御策略的部署。

1.外部攻击面管理面临的挑战

信息化的发展让企业的公网暴露面过大，攻击面也随之增加，不同于安全工具的应用，对外部风险的把控是长期持续且动态监控的过程：

（1） 互联网资产梳理困难

业务迁移，系统私搭乱建，员工违规操作，企业管理约束不严格都会导致企业在互联网上暴露自身的系统平台、业务代码、企业邮箱、敏感文件、数据等，梳理企业在互联网上暴露的信息资产实属不易。

（2）海量漏洞信息掌握困难

面对海内外爆发的漏洞，及时捕获1day漏洞及其他漏洞数据信息，并结合企业自身情况利用情报数据实现自身资产安全风险的推算，是企业安全管理的难题之一。

（3）企业动态安全监控困难

面对不断迭代更新的业务系统以及外界不断变更的安全攻击态势，实现7*24h对外接攻击环境的响应与自身资产安全的动态监控，是降低企业出现安全事故的核心所在。

（4）测绘企业攻击面困难

梳理企业自身的脆弱性很容易成为不同资产的弱点堆积，形成离散的安全数据孤岛。建立弱点的关联关系，将跨平台、跨类型的安全风险进行关联，才能有效先于攻击者发现自身攻击面。

2.解决方案

互联网威胁监测平台，通过对全球互联网攻击面数据进行7*24h不间断的动态监测，进行互联网暴露面发现、攻击面分析、关联情报追踪，可协助企业完成未知或违规暴露面的收敛、漏洞或弱点的应急响应、安全事件的及时预警、云安全资产的治理、数据泄露风险治理、供应链安全评估等外部攻击面管理场景。以攻击者思维定向梳理企业暴露面以及其脆弱性相关情报信息，基于预防、响应和防御策略相结合的模型对接用户本地各安全管理环节，实现精准、全面、及时的发现威胁，快速定性研判事件，帮助企业提升自身安全运营水平。

全网收集数据不仅仅包括域名、 IP、端口、服务等，还报括数字资产、业务暴露面、企业邮箱、人员、代码、敏感数据等攻击面信息，通过模仿攻击者搜集企业信息化基础设施、第三方服务和可能利用公共接口上的入口或出口点的应用程序，并了解其业务与通信关系，再进一步进行漏洞的发现与利用。将所有攻击者可能用来做攻击的风险点纳入监测范围，并完全以黑盒的视角对目标进行情报信息的获取，将扩展情报的价值充分用于企业攻防场景中，一方面将大量劳动密集型流程工作转化为自动化机器执行，另一方面泛化威胁情报的概念，将情报聚焦在黑客可能获取到的信息上，并将其关联后形成企业外部攻击面视图，在评估IT/OT 系统安全风险的同时，也融入对业务风险的安全评价与治理。

（1） 未知暴露面发现

通过分布式的探针对全网数字资产暴露面进行定期暴露面收集，针对新场景下的数字资产，包括IP、域名、Web应用、移动应用、敏感数据、代码、人员信息、企业信息、供应链信息等进行主动发现，不同于资产发现工具仅针对IP或Website进行扫描的方式，灵知（Ai·Radar）以攻击者视角，长期对企业暴露在公网中可被攻击者利用的数据进行采集，通过API请求、网站爬虫、资产测绘等技术捕获IT 设备、哑终端OT设备、虚拟信息资产、人员资产信息，并利用华云安自研的知识图谱模型将其对应关系串联起来，形成安全实体对象进一步下钻安全数据价值。

通过多类型数据探针，适配当前数字化的环境发现包括API、公网代码泄露、敏感信息泄露等新场景下的数字暴露面，而这些资产往往是传统场景下企业所没有关注到的。对于企业员工私搭乱建，监管不到位导致暴露在互联网中的未知安全暴露面，可以通过高频的检测快速发现，定位暴露面，并溯源暴露路径。针对暴露面，系统可以定期自动化分析并打上标记，如新增暴露面、更新暴露面等。

（2）持续自动化攻防测试

在发现了安全暴露面后，可以针对安全暴露面进行模拟攻击者的安全测试。通过自动化调用多种安全检测引擎，实现对暴露面目标的安全测试，包括但不限于资产探测、漏洞扫描、弱口令扫描、自动化渗透等。定期更新攻击面中的风险视图，不仅限于匹配可能存的CVE漏洞，基于安全分析引擎，以对抗视角，真实发现攻击者对企业业务和关键资产可能进行的攻击和攻击借助的载体，如可利用的漏洞、错误的配置、暴露的数据信息、安全防御的缺陷、重点防守的APT组织等，通过自动化的模拟攻击测试发现完整的外部攻击面，全局视角发现外部攻击面的风险。

（3）外部攻击面测绘

通过网络监测、接口查询的方式，以攻击者视角发现企业的暴露面信息、攻击面信息，并将暴露面和攻击面进行关联，形成业务视角的攻击面。通过针对发现的暴露面进行持续的自动化测试，并按照killchain模型，将攻击者可能的攻击链路进行可视化，形成可见的攻击面。将脆弱点、攻击 链路通过知识图谱的方式，构建实体间的关联关系，通过关联分析、强化验证、智能预测等方式，挖掘暴露面、脆弱点在真实对抗场景下可能产生的安全业务影响，测绘出外部暴露的实际风险情况，再通过风险优先级算法，评价出最具威胁的攻击链路，并给出优先级。

3.关键技术

• 风险优先级评估模型

融合威胁情报、资产管理、弱点管理的能力自提供风险评估模型，计算最易被攻击的问题点，通过资产价值、资产所处位置、漏洞可利用状态等多个维度评估出漏洞影响并确定优先响应顺序，并持续动态的进行评估运算。

• 知识图谱赋能攻击面测绘

采用知识图谱技术，将系统漏洞、Web漏洞、敏感信息泄露、开放高危端口服务、安全配置不当等多种弱点类型进行统一汇聚，并自动化进行过滤和标记处理，并建立弱点与弱点之间，弱点与攻击链之间的实体关联关系，以此分析完整的链路并分析攻击面风险影响。

• 攻击面业务影响评价

推演性和实测性弱点影响分析能力，能够基于网络真实环境及漏洞可利用性等因素，识别并标注出网络中可能被攻击者利用尝试突破的区域和攻陷后可拿到的信息。

4.架构部署

互联网威胁监测预警中心基于大数据与人工智能技术，将情报、资产、问题三个维度整合，实现全网威胁监测预警，由安全风险知识库、分布式采集节点、大数据存储以及各种安全分析构成，结合并通过SaaS化的形式，向用户提供服务。