先给大家看一个好玩的。

长亭科技的吉祥物形象是一只黑猫，这是我为它设计的一个头像，狂拽酷炫，是不是同时还透露着一丝可爱。没错，这个头像就是用今天的主角-某人工智能企业（以下简称A企业）的AI助手完成的。

A企业在业内凭借自身前沿科研成果，一直处在行业领先地位，让我们听听属于他的故事。

/ 大鹏一日同风起 /

2022 年 11 月 30 日， ChatGPT 发布，如同齐天大圣给了这个混沌的世界敲了一闷棍，全世界都沸腾了。

大模型算法的研究在全世界的顶尖科研项目中并不罕见，但大部分停留在理论研究和试点应用上。A企业成立之初，也是希望在实验室环境中的大模型技术能适配更多应用场景。

事实证明，坚持正确的事情，开花结果只是时间的选择。

本来循序渐进成长中的企业，被ChatGPT的这一棍，敲开了一条金光大道。A企业乘着这股时代之风，业务迎来全速发展。

众所周知，大模型的核心之一在这个“大”字，算力就成为了承托大模型算法的重中之重，为了满足算力需求、实现数据存储和处理、优化资源配置、提升服务质量，A企业在全国持续布局算力中心，并且这一数字还在不断的更新。

/ 安全规划的蓝图 /

计算领域最有价值的两个东西：自研尖端模型和超大计算能力。

短短几年，A企业的业务快速发展，多个数据中心相继建成投产，业务的出口多了，也随之带来更多的安全挑战。

在以被动防御为主旋律的传统网络安全生态中，信息安全中心的几位工程师希望能够采取一些主动防御的技术手段，识别、发现、定位风险，在攻击发生之前，就把所有安全隐患扼杀在摇篮中。就这样，网络安全深度建设被推上了日程。

业务发展和安全形势的快速变化，锚定了A企业安全建设的主要方向。

一个是业务的大繁荣带来的安全需求。A企业依托基础模型底座，打造了AIGC模型及产品矩阵，丰富的应用，运行在A企业全国的数据中心生态中，地域上分布相对分散，网络出口变多，这可能容易带来高危端口暴露、高危漏洞和弱口令等衍生风险，所以风险的前置识别与管理工作更为关键。

另一个是人员架构带来的安全需求。几乎所有的企业都会遇到研发人员为了工作便利私自建站点的情况，就在互联网上就积攒了一些无主资产，而这些暴露在外的资产也将成为安全隐患，所以风险资产的发掘也是重中之重。

风险的收敛应该是由外向内的。在A企业此轮规划的蓝图里，有几个明确的方向：

第一，所有互联网上的暴露的无主资产，全部肃清

第二，所有现有业务的互联网资产及其携带风险，全部排查

第三，无论是外部还是内部的资产，统一管控起来

攻击者视角下的暴露面

当然，投入最小的人力、物力，收获最佳效果，是每一个网络安全工作者追求的终极目标。寻找到一个智能的，自动化的解决方案，就可以一次性解决这个矛盾问题。

/ 三刀流 /

三刀流——同时使用三把刀战斗，追求一击决胜的剑术。用这个词来形容A企业此次解决问题的方案，再恰当不过了。

长亭CTEM资产暴露面管理方案

在与A企业信息安全中心老师们的多轮沟通中，「CTEM资产暴露面管理方案」终于被确定下来。

构成这个方案的是长亭科技名副其实的三把尖刀：凝聚顶级攻击思路的攻击面管理平台、常年霸榜最受白帽子认可的漏洞扫描工具、企业级王牌服务渗透测试、应急服务。

三项能力彼此交错配合，上线前先用扫描器把系统都扫一遍，已上线的服务由攻击面管理平台周期自动化去扫巡检持续监测，再辅以渗透测试等服务覆盖那些核心业务加强风险收敛的效果。

在与客户的多轮对接中，这个方案从外部到内部，从工具到服务已经敲定的非常全面了。不过全不全面是一回事儿，好不好用是另一回事儿。

决定这个方案最终效果的，还得是风险发现的能力。

我们都知道买渗透测试服务都喜欢按发现的漏洞风险等级付费，这样才能保证工作真正做到位，有价值，无论评价自动化扫描平台能力，还是服务质量，离不开这一考量基线。

# 从外部，肃清威胁

长亭云图 (Cloud Atlas) 攻击面管理运营平台测试上线的第一天，就帮A企业进行了一次全网资产暴露面大排查，这次排查，帮助A企业发现了数百个资产，百余个相关风险点。

而这些，仅仅只用了24小时。

进一步深度运营，将第一轮扫描出的资产，再次输入到平台，进行信息聚合，转化成新的种子信息，进行更深度的扫描，把平台运营起来，效果会再提升。

基于种子飞轮的资产自动化发现

提到运营，有一个重要的指标，那就是数据。从理论上讲“运营”只是策略，是方法论的层面，而决定运营结果的关键还是要看数据的质量。

高噪音的数据结果没有运营价值，资产发现的覆盖率决定了能力的上限，误报率决定了能力的下限。因此，在数据发现的覆盖率和精准度上，云图 (Cloud Atlas) 做了大量优化。

在云图 (Cloud Atlas) 的置信度推导机制中，从开始就已经将开始扫描前输入系统的种子信息做了分类，一类是精准种子，例如企业备案主题及精准域名等，一类是模糊种子，例如网站的标题、网站关键词、网站图标等等，当然这些也可以根据企业的业务情况进行自定义分类。

精准搜索和模糊搜索的数据源头、探索关联方式都不一样，识别出的结果必然也是不同的。市场上很多同类产品结果精准度问题，大多也来自于从产品设计的第一环就错把不同维度检测出的结果混为一谈。

云图 (Cloud Atlas) 将它们分别存储，分别分析，再做最终整合，从第一个层面保证了扫描结果的精准度。

而后面，还有更多算法对数据进行过滤。基于种子信息扫描的信息，会先储备在域名情报池进行第一轮有效性验证，验证后的结果进入第二轮泛域名解析机制，清洗无效域名，进行数据降噪。

然后经过三方资产的识别，将属于三方管理的CDN、WAF、OSS等资源打上标签，区分A企业直接管理的资产和属于三方供应商安全职责的资产，最后基于资产生命周期状态，将当前状态为存活的资产提炼出最终资产清单。

正是基于这样严格的控制逻辑，才保证了A企业在后续实现平均每天发现并处理10余个潜在风险点的能力，收获可以达到99%的资产的覆盖面和风险发现的精准度。

#从内部，梳理资产

切断了外部的风险入侵，内部就将处于相对稳定状态。

信息安全中心的老师们计划立刻启动「内部资产风险闭环管理」工作，这是一个包含资产发现、漏洞发现、漏洞检测/复测、漏洞验证、风险评估的体系化工程。

通过长亭洞鉴（X-Ray）安全评估系统的部署，协助A企业从资产视角出发进行风险的发现与管理，在资产分组、数据隔离的基础上促进分布各地的业务模块的漏洞风险闭环工作，从以下几个方向可以看到此次建设的方向和成果：

(1) 全面资产发现与漏洞挖掘

洞鉴(X-Ray)通过主动扫描方式对A企业内部的资产信息进行全面收集，凭借丰富的指纹维度，实现A企业 IT资产台账的补充和细化为后续的漏洞发现与管理奠定基础。亦支持镜像流量代理、日志提取等被动扫描方式，进行未知资产的发现。

洞鉴(X-Ray)集成CVE、CNVD、CNNVD等主流漏洞库中的漏洞信息，形成现有30W+漏洞库规模，覆盖A企业通用Web与主机漏洞检测需求。并且通过智能爬虫满足高交互Web页面的Web漏洞检测需求。亦支持通过自带盲打反连平台进行存储型XSS、SSRF、Fastjson等常见无回显漏洞的发现与验证需求。

(2) 多维算法降低漏洞误报，提升漏洞管理效率

洞鉴（X-Ray）使用自启发漏洞检测算法，结合语义分析与多元化检测规则，根据场景自动化构建payload，精准检测漏洞可能存在位置的上下文，全方位、多维度分析准确挖掘漏洞，有效降低误报率。此外洞鉴（X-Ray）通过基于扫描与验证方式的不同进行漏洞确信度的分值量化，分为【确认】【疑似】等标签辅助A企业运维人员判断漏洞的真实性，合理分配漏洞管理精力。

此外在检测与管理效率维度，洞鉴（X-Ray）结合随机森林算法，根据此前收集的资产指纹，智能匹配调度漏洞检测策略，有效提高漏洞的检测发现速度。并且洞鉴（X-Ray）支持根据漏洞可利用性、所处网络环境等因素进行漏洞排序，便于A企业管理人员判断漏洞修复优先级，提高运维管理效率。

(3) 风险闭环管理下的考核量化

基于洞鉴（X-Ray）对各分支机构资产的发现与管理，实现了IT资产的分组管理，根据不同分支、部门和责任人进行资产风险情况的对应展示，体现如端口开放、漏洞数量、弱口令及风险评分等信息。

而洞鉴（X-Ray）通过对角色权限划分的支持，使得普通角色仅可管理、扫描权限范围内的资产，从而协助A企业基于资产视角进行各分支资产风险的级联管理。

通过对发现、筛选、处置、复测等漏洞全生命周期日志的跟踪，洞鉴（X-Ray）辅助A企业实现了漏洞闭环的跟踪管理，协助总部运维人员使用管理员权限进行漏洞状态的跟踪，统计漏洞修复时间和修复进度，为量化绩效评定提供数据，促进漏洞绩效考核制度的落地执行。

#加入安全专家，提升服务质量

除了自动化工具的深度使用，A企业还引入了专家服务来为工具查缺补漏。

依托长亭科技内部完善的漏洞应急流程和专业安全研究团队对漏洞情报和检测原理的及时输出（自研发现的漏洞、网上未公开POC的漏洞等），能够最快时间发布漏洞库及检测插件更新包，对80%以上对业务系统影响严重的新型高危漏洞进行小时级响应（0day漏洞扫描策略更新，48小时响应）。

在风险发现的这条线上，加入渗透测试服务，对Web应用业务功能及支持Web业务稳定性运行的服务进行安全检测，人工测试能够基于工具未检测出的方向进行深入的发觉，与工具相互补充，达到最佳效果。

/ 以“AI”为营，理想不灭 /

被大家热切讨论人工智能的安全，是利用基础模型逻辑漏洞导致的结果输出错误问题。而回归到信息基础设施的基础安全，却常常被遗忽略。

运行在基础模型上，为行业、产业赋能的应用，才是AI发展高速路上的轮子。

AI的发展需要安全的土壤，AI技术也同样需要在安全这个领域实践应用。这也是A企业和长亭科技合作的重要因素。

风雨不改凌云志，振衣濯足展襟怀。

A企业从成立至今经历了起起伏伏，质疑的声音从未间断。但你要问他为何如何如此坚定，他可能会回答你，是因为“AI”，热爱。

这份热爱源于A企业网络安全工作者对卓越的追求，源于在A企业对技术热忱的氛围中的浸染，让我相信他们可以改变世界。

初心滚烫，理想主义者将永远奔跑。