对话知道创宇“黑哥”：视野和格局将决定网络空间测绘的未来！

访谈嘉宾：黑   哥

记者：石益凡

分析师：徐晓丽

大家对网络空间这个概念的理解其实是不一样的，比较常见的一种理解就是单纯指互联网、局域网及各种设备组成的数字空间。但是如果把“网络空间”这个词输入到翻译软件里，它会给你输出一个词“Cyberspace”，而这个词再翻译成中文的话，会出现另外一个直译的词“赛博空间”。在20世纪80年代初，美国科幻作家威廉·吉布森在他的小说中创造了“赛博空间”(Cyberspace)一词，实际上他所描述的“赛博空间”包含上面提到的“网络空间”并强调了“网络空间”与实际物理世界空间是关联对应的。

实际上，我们提到的“网络空间”主要指“赛博空间”，这个理解很重要。我认为：网络空间与现实空间都是存在各种映射关联的！这才是赛博空间的真正意义！ 这也直接影响到对网络空间资产测绘的理解，尤其是在应用实践上。

随着信息技术的发展，网络空间已成为国家继海、陆、空、天之后的第五大主权空间，因此网络空间测绘技术的应用就成为不可或缺的需求，从对国家安全的保护，到对企业安全和个人安全的保护都有着至关重要的作用。最早关注网络空间测绘的应该是美国，也诞生很多著名的计划比如NSA的藏宝图计划。到2009年Shodan发布，标志着网空空间测绘搜索引擎的时代开始。

知道创宇从2010年开始关注网络空间测绘技术，首先在公司内部启动了ZoomEye产品的雏形打造，并在2013年正式对外上线。目前，我们已经有10余年网络空间测绘相关技术及数据的积累。近几年来，互联网上出现很多类似于ZoomEye的网络空间测绘项目，以至于有一些人觉得这个产品很容易做，无非就是一个类似Zmap的大规模扫描器外加一个ES数据库就可以实现了。但实际上，我认为网络空间测绘是一个非常复杂庞大的体系，会涉及多个学科及领域的知识，因为我们自己就踩过非常多的坑。为了让行业用户更好了解网络空间资产测绘，我们在几年前就有了写一部相关书籍的想法，但是由于工作繁忙，大家都把精力放在了技术研究及产品完善上，所以直到前面不久我们才把《网络空间测绘技术与实践》一书完成并发布。

在这本书中，我们基于知道创宇在网空测绘领域多年的技术研究及应用实践经验总结，对网络空间测绘技术进行系统梳理，并详细描述了网络空间测绘技术的原理、能力体系构建以及典型应用场景。我们在撰写这本书的时候，还尽可能选用了一些贴近实战、浅显易懂的案例，这个是主要是想着照顾下初学者，希望本书的所有读者都能有所收获。

很显然资产扫描和发现不等同于网络空间测绘，我们可以从字面上去做个简单拆解，可以把资产扫描和发现理解为“测”的一部分，那么我们还需要去“绘”。在2019年KCon大会上，我对此进行过总结强调：要做好网络空间资产测绘一是要获取更多的数据，同时还要为这些数据赋予灵魂，也就是说要去分析数据、解读数据。

就像我们之前所提到的，网络空间与现实物理空间存在着多种映射关联，需要通过分析数据去找到这些对应关系，并描述出来，这其实就是“绘”。网络空间资产是随时间变化而不断变化的，在这个角度上来看资产扫描与发现很多时候只是某些单一时间点的任务，而资产测绘的探测扫描则是持续的，通过网络资产的动态变化，反映现实空间的变化，这也就是我们提出的“动态测绘”理念。

当然，资产扫描与发现和资产测绘还有数据采集维度上的区别，资产测绘需要关联多种数据来完善目标画像，比如通过关联某个IP地址是否曾经被用来做恶意攻击，来实现对这个IP资产的深度刻画等。

目前，如果仅从IP探测扫描这个维度来看，网络空间资产测绘技术的应用已经相对比较成熟。从早期主要是使用Nmap方式，到2013年ZMap出现后，开始进入Mass探测阶段，可以在几分钟内，对整个IPv4地址空间进行扫描，再后来也出现MassScan等类似的项目。但是任何事物都有两面性，应用成熟也意味着对抗不断激烈，现在很多VPS厂商是禁用Zmap这类的部署探测的，另外还存在节点被封禁的问题，所以这也是需要去重新解决的问题。

另外，现在网络空间测绘的对象已不仅仅是针对IPv4网络地址，还有域名、IPv6地址，以及暗网、区块链、星链等专网领域，这些都需要新的测绘能力。对于这部分的知识在《网络空间测绘技术与实践》第一页的技术大纲中就有体现。

除了在对象探测的维度，网络空间测绘实际上还面临很多其他方面的挑战，比如数据量越来越大所来带的存储、分析的压力，以及ES等新技术的应用也会带来很多新的问题。我们应该主动去关注并整合各个领域里的重要技术突破，比如最近火出圈的ChatGPT，就可能会在目标画像、指纹识别等方向存在非常值得期待的技术突破。

在谈这些问题之前，我首先引用下《网络空间测绘技术与实践》前言中的一句话：“格局决定一切！” 。我认为网络空间测绘技术的应用空间及场景是非常庞大的，用测绘技术来做什么事情完全取决于使用者的“视野”和“格局”。也就是我坚持说的“道”，很多东西需要你“想得到”、“看得见”，最后才能“看得清”。

目前来看，网络安全仍然是网络空间测绘技术最主要的、最核心的应用领域，主要包括漏洞影响评估、资产普查等方向。这主要是由当前客户的应用需求决定的，现在很多企业用户都比较迫切需要梳理清楚自己的网络资产暴露面，像前几年我们强调的影子资产，近两年开始强调的所谓的“攻击面管理”等，这种测绘的对象主要是企业内外部网络中的域名、云主机等资产，同时也包括一些欺诈性伪造网站的识别需求。这些在我看来可以算是网络空间测绘技术最基础，也是最成熟的应用场景，我们公司在这个方面有很多非常成熟的产品，能够满足各种客户不同场景的应用需求。

同时，我们也一直致力于各种新的测绘技术应用场景探索，并提出了“行为测绘”、“动态测绘”、“交叉测绘”等创新应用理念，也为此进行了大量的实践尝试。比如，我们很早之前就推出了“数据订阅”的模式，可以通过搜索语法来监控用户关注的新增资产，第一时间发现资产暴露的问题；再比如，我们将APT攻击测绘与我们的NDR系统进行了智能联动，通过“行为测绘”对APT组织所使用的资产进行全网“动态测绘”，在APT攻击行为具体实施前，通过NDR产品提前进行拦截防御，真正做到了“向前防御”！

我一直认为，之前所说的“赋予数据灵魂”，其最终目的就是要让数据蜕变成为一种“知识”，并在此基础上进一步升级为“智慧”，从而更好地指导决策。比如每次提到这个都必提的2014年“心脏流血”漏洞，我们通过持续的全球“动态测绘”，通过每天漏洞影响的IP数据变化，最终得到当时我们国家的安全应急能力在全球排在102位，这表明当时我们国家急需提升漏洞应急响应能力。还有去年⼀直延续至今的“俄乌冲突”，我们通过测绘发现非常有意思的事情，比如可以说我们提前“感知”了俄乌冲突爆发，这通过针对俄罗斯针对乌克兰进行网络攻击的多个APT组织使用的C2等网络资产测绘，发现在2022年1月提前做了大量的用于攻击的服务器资源部署。我们还“感知”了俄罗斯的攻击各个阶段的进攻路线及攻击方式等。

基于这种理解，我认为网络空间测绘技术的应用不会局限在网络安全领域。比如，当新冠疫情爆发的时候，通过VPN的部署趋势就可以预测疫情所造成的影响，甚至通过设备分布也可以洞察某个厂商的市场覆盖能力及不足等。但对知道创宇来说，我们作为一家专业的安全厂商，将网络空间测绘技术应用在网络安全领域，会是我们今后研究的核心方向，特别是在区域测绘这块。

在网络安全领域，从不缺少各种新概念和新理念。但其实我本人对这些“新概念”不是特别感冒。从我个人理解，如果说网络空间测绘的资产梳理是站在防御的角度去实施的，那么攻击面管理技术更强调从“攻击者”视角去寻找问题。所以在Gartner正式提出攻击面管理这一概念之前，我们实际上就已经开始大量的落地实践了。

“攻击面管理”实际上是一个综合性的概念，包含：外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）、数字风险保护服务（DRPS）、漏洞评估（VA）、弱点/漏洞优先级技术（VPT）等多个场景的技术，其核心点是基于大数据的攻击面持续监测治理。因此我相信，在网络空间测绘及漏洞评估管理等方面有数据及技术积累的公司，在帮助企业实现攻击面管理方面会有天然的优势。比如知道创宇404实验室，在这几方面积累深厚，尤其测绘有ZoomEye，漏洞有Seebug平台等，目前我们推出了基于SaaS的互联网攻击面管理平台ScanV以及基于本地业务网络的网络资产攻击面管理系统ZoomEye Pro等。

从Gartner最新发布的成熟度曲线来看，攻击面管理技术还处于相对早期发展阶段，其相关产品或者服务需要与甲方的安全运营相契合，对于市场来说还是一个相对新兴的领域，广泛应用还需要些时间融合。

随着新一代网络安全技术方案趋向于整体综合性方案，会更加强调各个技术或者产品之间的有效联动，有很多的安全产品和工具都已经完成API化就说明这点，当然在具体的实践过程中，会出现谁来主导的问题，比如在网络空间测绘视角上，你要用防御的视角看，可能就是资产管理主导，然后配合漏洞管理的相关能力；而从攻击者的视角，就会去评估漏洞是否会影响资产的安全等。

在《网络空间测绘技术与实践》一书中，我们围绕网络空间资产测绘技术的落地应用提出了“5w”理论，即：

1. Who（全息）：谁的资产，谁在用它。

2. What（全知）：是什么资产，提供什么服务。

3. Where（全域）：在哪里，还有哪些。

4. When（全时）：这是什么时候的资产，发生过什么变化。

5. Why（全因）：为什么？

结合到网络空间测绘就是为了解决这个5个基本问题展开的，这个其实就是为了我们数据获取、技术及产品研发指明方向的，当然每个客户的需求及应用场景不同，也导致他们的选择的侧重点不同，比如客户受到攻击时，客户可能更加关注是谁在攻击我，这个时候客户关注点在于攻击者的资产（what）及其归属（who），然后进一步走下去可能就会去关注什么时候部署的（when），他还部署了哪些机器（where），他们这样部署的目的是什么（why）。客户在选择测绘产品的时候，应该多结合实际的需求及应用场景，甚至通过反复的测试调节，来找到最适合的产品形态。

前面聊了那么多，在我看来网络空间测绘是一个非常庞大的领域，这个可以对比下现实空间里的测绘学科。随着现代社会越来越高度数字化，网络空间也就越来越重要，网络空间测绘是摸清网络空间资产，而这些资产其实最后表现现实就是数据，而数据被认为是最基础的战略资源。所以获取更多的数据，赋予数据灵魂就是我们网络空间测绘的核心。

技术的发展也会给网络空间测绘引入更多的应用场景，比如云技术带来的云测绘，暗网带来的暗网测绘，星链卫星通讯带来的星链测绘等等。另外，数字资产在多个场景下复杂交织，像公有云、私有云数据混合，明网和暗网交集，内外网边界越来越模糊等，也会导致技术和产品方案的融合和变化。

另外在网络空间测绘技术本身，其实也存在很大的空间，比如前面提到的，目前没有一个测绘系统能完全覆盖所有网络系统端口，我们还有很多的协议和资产还没办法识别，这就需要更多的创新性思维，甚至要以跨维的视角去看这些问题，比如前面我多次提到的ES大数据技术广泛应用，再比如最近很火的ChatGPT带来的AI技术平民化趋势等等，都可能引发网络空间测绘新技术变革，我们应该提前做好准备。