将漏洞管理带入零信任时代：蔷薇“零洞”，让漏洞“一点”看不见。从零基础到精通，收藏这篇就够了！

本文链接：https://blog.youkuaiyun.com/Libra1313/article/details/144702751

蔷薇灵动发布“零洞”攻击面风险管理平台，以零信任技术开创漏洞管理新时代。

从漏洞管理到风险管理

所谓“漏洞”，指的就是软件在实现过程中的错误或者缺陷，攻击者可以利用漏洞对软件进行攻击。“漏洞管理”一直以来都是企业网络安全管理中的核心任务。漏洞管理的核心目标就一个，即发现并修复所有的漏洞。然而多年的行业实践证明，这样的目标很难完成。

漏洞与软件本身基本上属于双生并存，只要软件存在漏洞就一定存在，而随着企业的数字化水平日益提升，软件部署规模不断增长，企业中的漏洞总量也是在不断膨胀，而且很多时候我们即使发现了漏洞的存在，但不代表我们就知道如何修复这些漏洞，就算我们知道如何修复，因为各种原因（比如系统不能重启、软件不能升级、业务不能停止等等）我们也只能选择让漏洞继续存在着，想要把所有漏洞都修复完是不现实的，就好像要把人体中所有的基因缺陷全部修复完是不现实的一样。

另外，漏洞对企业的影响符合80/20原则，最大的风险往往是由极少一部分漏洞带来的，可是我们往往无法知道那极少的一部分究竟是什么。实际情况是，我们修复了很多漏洞，但企业的风险却并没有得到显著改善。

当漏洞管理路越走越窄的时候，风险管理的大门正在向我们打开。在国外，Gartner提出了基于风险的漏洞管理框架（RBVM）。在国内，国标《GB/T 20984-2022 信息安全技术信息安全风险评估方法》也于2022年正式发布。这两个重要理论的共同点在于，都不再仅仅关注漏洞自身，而是综合评估漏洞可能对用户造成的影响，也不再把给漏洞打补丁当做唯一的管理手段，而是提倡综合利用一切安全工具对漏洞带来的风险进行缓解。

思路打开了，事情就好办了。事实上，我们并不关心“漏洞”，我们关心的是“漏洞”对企业的影响。在过去我们把这两个概念等同看待，但风险管理理论不这样认为。根据《信息安全风险评估方法》的内容，风险除了要考虑漏洞自身之外，还需综合考虑资产情况、威胁情况以及企业内部的现有安全措施的防御能力。

这看起来似乎让事情变得更复杂了：“一个漏洞都整不明白，还考虑这么多因素不是更困难？”。而事实上，**风险视角的引入给漏洞管理带来了新的机遇——我们可能无法消除漏洞，但是通过安全措施的引入，我们却可以降低漏洞被利用的难易程度，抵御外部威胁，从而最终实现降低企业风险，保护企业资产的目的。**毕竟，我们关注的从来都不是“漏洞的多少”而是“企业的风险”！

攻击面风险管理的概念与过程

攻击面的概念由美国国家标准局NIST提出并被Gartner引用。攻击者要攻击一个对象（比如一个网络、一个业务等等）总是要从某一个具体的攻击点开始，比如网络上的某个开放在互联网的服务端口、比如业务的服务页面，这个具体的攻击点就叫**攻击面，可以简单理解为能被攻击者看见的资产。而资产上是有漏洞的，这些漏洞可以被攻击者利用进而造成危害，这就是所谓的攻击面脆弱性。**但是通过安全防御手段，可以下降这种脆弱性，当攻击者真正对业务进行攻击时，**业务的风险是由资产脆弱性及其安全防护手段共同决定的，这种综合了脆弱性与防御能力的评估指标就是攻击面风险。**一个攻击面可能有严重的脆弱性，但是同时可能风险并不高。

结合《信息安全风险评估方法》和攻击面理论，蔷薇灵动提出了攻击面风险管理框架。该框架的核心目的在于：“充分利用零信任技术，通过最小权限访问控制和零信任访问代理的方式对漏洞进行封堵和访问控制，从而在不打补丁的情况下对企业攻击面资产的风险实现有效缩减。”该框架主要包含三个主要过程：攻击面发现，攻击面风险量化和攻击面风险缩减。

通过这三个过程，攻击面风险管理框架构建出了一套崭新的漏洞管理思路。

从漏洞扫描到攻击面发现

在过去，漏洞治理工作开始于漏洞扫描，但是攻击面风险管理中的“攻击面发现”的内涵却比漏洞扫描要大。**攻击面发现首先要做的是发现企业中有哪些资产，然后再评估这些资产上是否有漏洞，同时它还要去研究这些资产的“可见性”。**能被看见的资产才叫攻击面！而能被互联网看见的资产显然比只能被办公网看见的资产风险高。基于不同的可见性，攻击面风险管理把资产分为“外部攻击面”和“内部攻击面”，通过综合分析资产的“可见性”及其脆弱性，攻击面发现才能了解漏洞如何对企业构成威胁。

从漏洞等级评估到攻击面风险度量

除了可见性外，攻击面风险管理另一个关注点就是攻击面的风险度量。在过去，我们通过CVSS评分来衡量漏洞的严重等级，但这种度量方法是独立于企业具体情况而进行的度量，一个漏洞的CVSS评分在全世界都一样，但一个漏洞所能造成的风险，在每一个企业中都是不一样的，就算是同一个企业，若漏洞存在于不同资产上，那这个漏洞所带来的风险也是不一样的。因此，对于一个攻击面的风险度量，必须要结合企业的具体情况来分析，比如漏洞所在资产的重要性、漏洞对不同访问的可见性、漏洞当下被攻击的态势以及资产是否有安全手段能够对攻击进行防御等等。

从给漏洞打补丁到攻击面风险缩减

在过去，应对漏洞的唯一方法就是以软件升级或者打补丁的方式直接修复漏洞，但正如前文所言，这种处置方式所需工作量极大且很多时候无法推进，所以实际情况就是企业内漏洞的修复率极低。而且，即使对漏洞进行了修复，这个修复对企业的意义和价值究竟又是什么，我们通过修复漏洞如何让企业变得更加安全也是一个无法回答的问题。

攻击面风险管理不再把修复漏洞当作唯一的手段，它更加看重的是如何下降漏洞给企业带来的风险。**如果不能直接修复漏洞，我们还可以通过调度企业内的安全手段对漏洞进行保护从而达到降低风险的目的。**由于引入了攻击面和风险概念，企业有可能在不对漏洞进行打补丁修复的情况下，通过综合利用企业整体安全能力有效降低企业风险。

蔷薇“零洞”的四大核心能力

攻击面风险管理是一种先进的安全理念，但一切理念落地都需要具体的技术支撑，攻击面风险管理对资产可见性发现、攻击面风险评估和攻击面风险缩减等技术都有着内在要求。尤其是攻击面风险缩减，这是重点也是难点，只有解决好这个问题，才能真正下降企业的风险。蔷薇灵动为业界所熟知是因为其领先的“微隔离”产品，而微隔离产品的核心能力就在于细粒度的流量识别与访问控制。而这种能力事实上与攻击面风险管理的内在要求有着很强的一致性，当微隔离遇到了攻击面风险管理，一个跨界的颠覆性创新就诞生了，这就是蔷薇灵动最新发布的“零洞”攻击面风险管理平台。

“零洞”平台具有包括“全视角攻击面发现”“多维度风险量化评估”“自适应风险缩减”和“分层级量化基线”在内的四大核心能力，完整覆盖了攻击面风险管理的全过程要求，凭借独特的微隔离底层能力，以零信任的方式将漏洞管理带入新时代。

全视角攻击面发现

攻击面发现的核心任务就是要明确从攻击者视角能够看到哪些资产。要回答这个问题，有两种常见做法，一种是主动探测，一种是旁路流量分析。主动探测就是从攻击者的位置对网络进行探测，看看能够发现什么资产。这种做法的弊端在于一方面无法对大规模网络进行有效扫描，巨大的资产规模和复杂的网络结构将会让扫描很难进行。而流量分析的方法则是通过分析网络的流量信息，看看有哪些资产是可以被访问到的。而这种方法的问题在于，随着网络的开放性越来越高，很难确保捕获全部流量，而对于内部流量来说就更加难于捕捉了，再者，一旦发生了NAT地址转化这种方法就会彻底失去作用。

“零洞”产品的攻击面发现属于“流量分析”技术路线，而与众不同之处在于，**零洞的流量获取方式不是旁路镜像而是在工作负载上直接获取，这使得零洞可以掌握完整的网络流量信息，因此可以更全面的对网络的攻击面做出分析。**尤其是对于内部攻击面，零洞的产品能力可以说独一无二。

除了能够发现内外部攻击面外，零洞产品更加独到的能力在于可以针对一个特定业务进行攻击面分析。在云计算时代，多租户多业务混合部署，业务资产往往不是分布在一个独立的网段，而是和不同业务资产混合部署在一起。这种情况下，要对一个特定的业务做攻击面分析就很困难了。而零洞利用了微隔离的资产业务属性，可以将同一业务的资产流量进行关联分析，从而完成对特定业务的攻击面分析，并提出了“外部攻击面”、“业务间攻击面”、“业务内攻击面”等概念，为用户对特定业务（而不是整个网络）进行攻击面分析与治理提供了可能。

多维度风险量化评估

之所以要对攻击面进行量化风险评估，最主要的目的是对攻击面进行基于风险的排序。攻击面管理认为，并不是所有的攻击面对于企业的风险都是一样的，有的攻击面更加危险，而有的攻击面不那么危险，有的攻击面甚至可以认为没有危险。因此企业应该把工作重点放在那些更加危险的攻击面上，而要做到这一点，就必须对攻击面进行风险量化评估，从而找到那些危险的攻击面。

攻击面的风险评估要考虑众多要素，除了攻击面资产上的漏洞CVSS评分之外，更要考虑攻击面资产所在网络实际情况，比如资产的可见性（互联网可见？办公网可见？业务间可见？）、比如资产的暴露面宽度（几个资产能看见？几百个资产能看见？几千个资产能看见？）、再比如资产所在业务的重要性、所在网络的威胁态势、资产上漏洞的流行情况等等。

**“零洞”产品在风险量化上具备很强的数据优势，一方面零洞产品通过全网流量分析掌握了准确的攻击面可见性信息，**从而可以为攻击面赋予不同的风险因子。同时，**利用精细的微隔离策略可以推算出攻击面的暴露面宽度数据，**从而对攻击面可能被攻击的风险进行评估。而且，由于零洞平台掌握了资产的业务属性，**结合不同业务的业务重要性指标，零洞可以进一步对攻击面的风险进行调整，**从而最终帮助用户找到那些对他们最为关键的攻击面。

自适应风险缩减

零洞平台最为强大的能力在于“自适应风险缩减”。漏洞管理的目标是消除漏洞，而攻击面风险管理的目标是风险缩减。两者的区别在于，通过给漏洞打补丁进而消除漏洞固然是缩减攻击面风险的方式，但是缩减攻击面不一定非要打补丁。零洞平台利用了蔷薇灵动完整的零信任能力实现对攻击面的风险缩减。**对于内部攻击面而言，零洞利用了微隔离的访问控制能力，可以缩小漏洞的暴露面宽度乃至完全封堵对漏洞的访问从而彻底让漏洞变得不可见，**这样一来就可以在不打补丁的情况下做到对攻击面风险的有效缩减。需要指出的是，零洞的攻击面风险缩减能力继承了微隔离的自适应策略计算能力，当用户的网络发生变化时，微隔离的访问控制策略将会发生自适应调整，从而确保对漏洞的封堵实时有效。

而**对于外部攻击面，零洞则利用了蔷薇灵动的统一微隔离产品的零信任网络访问能力，通过零信任网关代理来自外部的访问流量从而将外部攻击面转化为内部攻击面进而大大下降了攻击面的风险。**与此同时，零洞还会通过微隔离在工作负载上的访问控制能力将外部服务的访问源严格锁死为零信任网关，从而确保外部攻击面的有效隐藏。

分层级量化基线

通过对网络中的风险量化指标做定期的评估和记录，就形成了网络的攻击面风险基线。风险基线在攻击面管理中可以发挥非常重要的作用。一方面通过**基线可以定量的呈现攻击面风险管理的工作效果，通过有效的攻击面风险管理，将会看到风险基线的走向逐渐收敛。而反过来，风险基线也可以成为管理上的指标抓手，可以通过基线提出定量的管理目标。**与此同时，基线还是监控企业风险变化的有效指标，如果出现了新的漏洞，新的未经防护的资产与业务，都会带来风险基线的上扬，从而提示用户进行有针对性的攻击面治理。

值得一提的是，零洞的风险基线是个分层级的评价体系，用户通过零洞不仅可以建立全网络的攻击面风险基线，还可以为每一个业务分别建立不同的风险基线，从而可以支持用户对特定的重点业务做针对性风险治理，用户还可以为每一个资产乃至一个端口维持风险基线，从而实现精细化的攻击面管理。

漏洞管理的零信任时代

当“微隔离”遇到“攻击面”，就把“漏洞管理”带入了“零信任”时代。一个产品的能力边界，取决于其底层的基本能力组件。零信任技术作为新时代的强大网络安全基础设施，为漏洞管理带来了新的可能。零信任的基本理念就是“从不信任，永远验证”，而要做到这一点，零信任产品必须具备的技术能力就是对一切网络中实体的全方位认知，以及对其行为的敏锐感知和精细管控。过去的漏洞管理一方面缺少信息获取途径，另一方面缺少行为干预手段，只能靠旁挂的扫描设备做着尽力而为的信息获取，至于说治理那就只能停留在手工阶段了，可以说整体能力非常薄弱，而零信任技术与漏洞管理的结合则极大地改变了这种现状。

在蔷薇灵动这款跨界产品中，实现了许多过去用户高度期盼却无法实现的黑科技功能**（例如“漏洞一键封堵”）。凭借微隔离强大的端点级信息采集与访问控制能力，“零洞”的能力远超所有旁路型漏洞管理产品。在过去的漏洞管理工作中，最大的难题在于“发现问题却无法解决”，用户面对漏洞扫描器中成千上万的漏洞常常束手无策。而零洞产品通过结合微隔离的访问控制能力，可以让大量漏洞在网络上完全消失，同时极大地缩减剩余漏洞的暴露面宽度。**过去能被全网看到的漏洞，现在可能只能被同一业务中的工作负载访问。**最关键的是，用户只需简单点击鼠标，剩下的工作将由产品自动化完成。**此外，攻击面风险缩减的效果将实时反映在系统中，用户可以直接看到多少漏洞被屏蔽了、多少漏洞的访问受限了、多少端口被封堵了、风险下降了多少。一次小小的点击，取得的成绩足以写入年终总结，是的，这就是科技的力量。

（2024.6.26数说安全发布）

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：