圖片來源@視覺中國

網路安全不是一個新興行業，但在不斷的攻防升級中，卻可以稱得上是變化最快的行業。

2010年前後，權小文決定下海創業，成立了盛邦安全。在創業的最開始幾年，盛邦安全的主要業務聚焦在通用性應用安全層面，產品主要包括漏洞掃描與檢測、應用安全防禦等。2015年之後，盛邦安全開始進入垂直行業，逐步將漏洞檢測、應用防禦、安全預警等產品打入了一些網信公安、教育、電力能源等行業客戶中。

直到近兩三年，網路安全大資料開始受到關注，也因為有之前大量的漏洞挖掘、漏洞檢測等技術和經驗積累，權小文萌生了做網路空間地圖的想法。作為網路安全行業的老兵，在近日舉行的IDC 2022 CSO全球網路安全峰會（中國站）上，盛邦安全創始人權小文分享了關於利用網路空間地圖構建數字安全底圖的主題，並與鈦媒體App聊了聊，網路空間坤輿圖那些事兒。

網路空間坤輿圖與漏洞工程化

在物理世界內，我們很容易判斷從中國到美國應該採用何種路徑和交通工具，但如果在網路空間中，我們應該如何抵達呢？

“在網路空間中，我們同樣需要一張地圖。舉一個例子，比如某大學，在各種物理地圖上，很容易判斷該大學位於哪裡，大學內有什麼樣的建築物，透過哪個道路進去。但是在網路空間內看到的不是建築物，而是位於網路空間內的承載該大學核心資料的伺服器等資產。”權小文說。

不同於網路資產測繪，權小文認為，網路空間坤輿圖是數字政府、智慧城市等數字中國建設在虛擬空間中的呈現，是關鍵基礎設施“摸清家底”的基礎，是網路安全“掛圖作戰”的底圖。

這個底圖具體是長什麼樣子？

權小文進一步解釋稱該圖是對網路空間萬事萬物的虛擬化呈現。它能呈現IT新架構、雲計算、移動網際網路等新技術應用的“邊界”和形態，精準展現關鍵基礎設施、網路資產、供應鏈關係等重要資訊與資料。

當前，盛邦安全依託十多年在漏洞挖掘方面的大資料積累，已經擁有了一個超過18萬條的漏洞庫並實時進行更新，能夠動態守護使用者單位的網路空間資產安全。“網路空間坤輿圖透過對網路空間社會面、地理面和人文面的演算法分析，幫助使用者從網路空間全域性的視角來審視和梳理整個網路的安全域，形成精準識別、精確防禦、主動防護的網路安全保障體系。”權小文介紹。

網路空間坤輿圖與漏洞工程化

“判斷一個漏洞檢測工具是不是好，可以把它拿到漏洞靶場，看是不是能夠檢測出問題；另一方面，也可以在靶場中應用漏洞，檢驗防火牆是否能夠防得住。”權小文解釋說。

網路空間坤輿圖的產生，實際上正是盛邦安全漏洞工程化能力的一種體現。它是跳出漏洞發現、漏洞挖掘，對漏洞實現更高層次的復現、模擬並形成漏洞靶場的一種技術形式。將漏洞工程化之後，形成漏洞靶場，可以將漏洞批次處理，沉澱成漏洞監測工具、漏洞管理工具甚至是網路空間地圖。

漏洞工程化要與行業結合，進入垂直行業，貼身服務行業客戶是必然選擇。

談及十多年的網路安全創業經歷，權小文感觸頗多。令他印象深刻的是2015、2016年前後，公司決定深入行業做場景安全時，他發現，做行業安全要面臨許多之前沒有預想過的挑戰。舉個簡單的例子，行業客戶對於一些術語的認知與網路安全行業有很大不同。之前盛邦安全在做通用標準化產品時，都是按照國標、行標來做，但沒想到垂直行業對於術語的定義與理解是不同的，有些雖然沒有形成行業標準，但卻是約定俗成的。

“想做好行業場景安全，就要深入瞭解客戶的業務和真實需求。就拿‘預警’這個詞來說，在網路安全行業當中，預警其實意味著‘監測’，重點在於‘查’問題；但是在行業客戶中，他們理解的‘預警’其實意味著‘防’，重點在於解決問題。”權小文說到。

後來，每當公司要進入一個新的行業，第一個動作就是規範行業術語以及特定詞彙的定義，這是權小文從實踐中總結出來的辦法。

對於未來迅速迭代的網路安全市場，權小文表示會把漏洞工程化能力繼續堅持下去。他認為，未來無論是物聯網、5G，還是是信創趨勢，其實本質上都是基於HTTP協議的Web安全，漏洞工程化的思路也完全可以適配未來不斷變化的市場。正是這種技術創新能力和豐富的應急響應與安全治理經驗，權小文字人入選“中國CSO名人堂（十大人物）”。同時，他所率領的盛邦安全團隊，憑藉在API領域的技術前瞻性與創新能力，入選《IDC TechScape： 中國資料安全技術發展路線圖，2022》報告API領域的推薦廠商。

回看網路安全行業，不同的網路安全廠商都會選擇不同的技術路線做出各式各樣的網路安全產品，權小文把這比喻為一場類似珠穆朗瑪峰的爬坡。“都是上珠峰，有人會選擇南坡，有人則會選擇北坡。理念不同，路線沒有對錯，只是恰好，盛邦選擇了用漏洞工程化為代表的核心技術能力繪製網路空間地圖這樣一條更難的路而已。”權小文表示。（本文首發鈦媒體APP 作者 | 秦聰慧）