1997年,我第一次用Nmap端口扫描工具,就发现里面最有用的不是端口扫描,而是存活测试与系统类型识别。2001—2002年,我在某运营商做项目时需要了解其网络安全风险状态和变化,首先需要的就是找出哪些是重要资产,然后看这些资产是否存在安全漏洞、弱口令、配置错误。那时,我每天用Nmap对其全网做一次存活IP探测,积累了一个月的存活IP数据之后开始进行分析,先筛选出每天持续存活的IP,标识为重要资产,然后从中筛选出如Unix、Oracle、Cisco等高端型号的系统类型和业务服务器,标识为关键资产,最后再分析这些关键资产是否存在漏洞和脆弱性风险,从而量化评估这个由3万多台设备组成的网络安全风险等级与变化态势。
后来的很多年,我都在构想一种平台——能够了解互联网中不断变化的资产情况,并能量化和评估互联网中一个国家、一个城市、一个大型集团的安全等级与风险态势,能够描述互联网中的各类活动。2009年,Shodan在DEFCON安全大会上的正式发布刺激了我,让我觉得不能再纸上谈兵。2010年,我去广州塔登高望远,心胸开阔,在塔下书店着手写了ZoomEye原型,开启了ZoomEye的网络空间测绘之路。
这么多年发展下来,我通过测绘见证了网络的蓬勃发展。在现实世界中,网络就像人的神经系统一样,无限延伸到社会的各个角落,打破了原有的国家、城市、企业边界,使网络安全与传统安全有了巨大区别。随着万物互联时代的到来以及5G、IPv6、云计算、边缘计算、物联网、区块链等新兴技术的蓬勃发展,网络空间中的联网设备呈现爆炸式增长,网络空间资产也变得多种多样。网络空间中的资产普查、资产管理、风险管理、拓扑优化、路径优化等场景,都需要测绘数据作为支撑。网络空间测绘很像人们健康体检时的X光机或CT机,对身体进行全面扫描,发现身体中的病灶和异常,摸清身体健康状况,才能对症下药。同样,网络空间测绘在网络空间中扮演着健康检查、诊断以及伴诊的角色。
在网络空间中,它能够为互联网信息资产的安全防护方构建起网络底图,帮助防护方摸清所管辖的全量和增量网络资产,做到心中有表、心中有数;还能够帮助发现联网信息系统的暴露面、潜在受攻击路径和潜在受攻击点,帮助防护方针对信息系统和网络薄弱环节,有的放矢地部署安全防护方案,不做无效安全防护,提升安全防护效能;更能够在全球网络空间中追踪国家级APT组织、黑客组织、勒索组织、黑产组织的动向,发现它们在网络中所部署的中转跳板、木马服务器、僵尸节点等网络攻击资源,帮助防护方有针对性地提前部署防御方案,抵御来自这些组织的高级攻击。
前面说的这几类对于网络空间测绘的实践应用,是知道创宇公司从研究网络空间测绘伊始就长期致力的方向。我们在网络空间测绘领域已经深耕十余年。ZoomEye目前已经成为国际领先的网络空间测绘搜索引擎,在数据积累、技术能力和产品体系方面都有了深厚的积累。ZoomEye自发布以来,就对全球网络空间进行7×24小时不间断探索,为社会构建互联网安全基础态势测绘底图,并不断感知全球网络空间安全态势,向社会输出全面的安防地图。当然,网络空间测绘还远不止于此,它的外延很大,可以与现实社会治理等方方面面结合起来,为国家在网络空间层面的数字化治理提供支撑。
本书是知道创宇公司结合十多年扎根于网络空间测绘领域技术研究和应用的经验萃取与实践总结。书中既有深入浅出的理论讲解,又有结合ZoomEye的大量生动鲜活、让人印象深刻的网络安全事件案例,从概念原理、技术能力、应用实践等方面为读者系统、全面地介绍了网络空间测绘领域的相关知识和最佳实践。本书旨在帮助读者更好地理解和掌握网络空间测绘的基础原理和具体使用方法,希望能够让更多对网络空间测绘感兴趣的人进入这个领域。
杨冀龙