黑哥不黑，也沒有想象中黑客的高冷，專訪全程笑瞇瞇的黑哥極具親和力和感染力。

　　采訪黑哥的想法起源于近期網絡資產測繪的火爆，而黑哥就職的知道創宇正是國內最早布局這個方向的安全公司，其404實驗室打造的網絡空間搜索引擎ZoomEye(“鐘馗之眼”)在全球范圍內赫赫有名。因此，探尋網絡資產測繪這一話題，怎么都繞不開黑哥，繞不開ZoomEye，繞不開知道創宇及404實驗室。

　　　　知道創宇“預知”了，網絡資產測繪的今天

　　　　Q:知道創宇是國內最早布局網絡資產測繪的安全公司，ZoomEye是如何萌芽的？

　　網絡資產測繪是知道創宇在2010年開始萌芽啟動的。而ZoomEye的產生跟知道創宇的創新基因相關，公司兩位創始人趙偉和楊冀龍都是安全圈的技術大佬，對安全的理解相當深入，他們認為漏洞和數據是網絡安全的兩大基礎，對此非常重視。

　　當時，知道創宇主導Web漏掃產品，主要服務于各地的監管部門，那時很多單位反饋不知道轄區有多少網站和服務器，為幫助客戶普查資產，就想到做一款全網域名及IP探測的工具。這款工具最開始的主要關注點還是在知道創宇所擅長的Web上，他們做了大量的Web通用應用識別也就是wmap引擎，隨后逐漸加入了IPv4及其他協議，逐步形成了今天ZoomEye的產品形態。

　　黑哥回憶，ZoomEye在2013年正式對外發布上線，到2014年心臟出血的漏洞一戰成名：“心臟出血漏洞是一個很經典的案例，當時我們針對漏洞去進行動態測繪，經過多天的跟進并做了動態對比和分析后，得出了數據變化的趨勢——心臟出血是SSL安全類協議，我們認為它的覆蓋度能代表某個國家和地區對安全的重視程度和普及率，修復率能說明其應急能力有多強。根據數據分析結果我們做了一個全球國家安全能力的排名，我們國家當時排了102名。”

　　說這段的時候，黑哥的眼睛里有星星閃爍。

　　ZoomEye主頁

　　　　獲取更多的數據，并賦予數據靈魂。

　　　　Q:什么樣的網絡空間資產測繪產品算是一款好的產品？

　　黑哥認為網絡空間測繪是一個數據類型的產品，這種產品有兩個核心關鍵點：

　　　　一是，獲取更多的數據。

　　　　二是，賦予數據靈魂。

　　“數據不是擺在這里，要讓數據去說話，要表達出來數據背后的東西。”黑哥說。

　　　　核心能力一：獲取數據

　　目前，網絡資產測繪的測繪對象主要集中在IPv4、IPv6、域名、區塊鏈等方面。其中IPv4的地址庫數量是有限已知的，而IPv6、域名、暗網理論上是無限的，所以首要核心能力是如何去獲取這些地址數據。知道創宇已經收集了接近30個億的IPv6地址，黑哥說：“沒有數據基礎，后面的事情是無法繼續下去的。”

　　雖然IPv6是未來的防線，但目前市場上的測繪重點還是在IPv4上面。黑哥為我們介紹了IPv4地址庫的數據量，每個IP理論上可以開放的端口數為65535*2(包括TCP/UDP),每個端口可能有n種協議，然后每種協議可能包括n種探針。這些數據的獲取需要進行協議分析、探針開發等，數據量也是非常龐大的。

　　獲取數據的核心能力里面還包括很多細節，如：需要探針的數據那么多，必然影響你的探測頻率，那么就需要大量的探測節點;存在各種“對抗”的問題，節點會被“ban”等，而解決這些問題正是“獲取數據”能力的體現。

　　網絡測繪主要關注的還是目標畫像，所以需要其他多維度的數據關聯，比如IP物理地址庫、Whois數據、DNS相關數據、威脅情報數據等是較為核心的能力。

　　　　核心能力二：賦予數據靈魂

　　“獲得了數據后，我們就需要去分析解讀這些數據，讓數據說話，也就是我說的‘賦予數據靈魂’了，這個才是測繪的真正價值所在，然而這也可能因為能力意識等因素而被忽視。”黑哥說。

　　對數據進行分析和解讀，基礎是將這些數據存儲及結構化處理，目前這部分能力主要依賴互聯網大數據技術的發展，比如Elasticsearch數據庫這種相關技術的出現。數據存儲后，是數據分析識別的能力，比如我們常說的設備、組件、指紋分析提取。還要考慮要用戶體驗層的問題，包括搜索引擎的平臺的建立，數據的聚合、關聯的能力，要方便用戶進行檢索。在以上基礎上，還需要解讀和思考的能力，才能真正讓數據說話讓數據擁有靈魂。這個說起來簡單，實際上是個非常重要的核心能力。

　　　　矛盾在哪里，技術發展的方向就在哪里

　　　　Q:網絡空間資產測繪產品未來在技術上會如何演進？

　　“我一直認為矛盾是技術發展原始動力，換句話說問題矛盾在哪里，那么未來就在哪里。”黑哥說。

　　目前，測繪領域有一些問題并沒有被很好的解決，比如前面說到的全端口的覆蓋、更多的協議覆蓋、更深度的探測、掃描對抗等。這些問題帶來的成本方面的壓力也是越來越高的，未來，會催生掃描探測上新技術的發展和與其他技術的融合共同來解決面臨的問題。知道創宇也在不停地改進其產品技術和能力，例如他們一直致力改進掃描探測Xmap引擎及架構，使產品可以更加快速進行一鍵部署、可以適用于一般比較廉價的VPS主機、節點隱蔽不暴露等。

　　在網絡空間資產測繪的大數據處理分析及搜索平臺部分，未來AI技術的發展和機器學習的數據分析模式會有利于解決指紋識別、目標畫像等問題。在產品方向上，未來會有一些測繪邊界融合相關的改變，比如目前測繪主要是分公網及內網(或專用網絡)，可能會出現把兩者融合到一起的技術或者產品形態。

　　　　多維數據關聯+豐富的漏洞庫+獨有網絡空間測繪能力

　　　　Q:我們知道市面上有很多類似的資產測繪產品，ZoomEye的特色和差異化優勢在哪里？

　　黑哥說：“實際上，我關注更多的是Shodan，Shodan作為第一個網絡空間搜索引擎確實值得尊重，尤其我們是國內第一家做網絡空間測繪的公司，在很多開拓性的嘗試后更能體會其中的不易。新事物能夠被市面接受的時間周期其實很?，直到近年來資產測繪才逐步被重視起來。目前從各方面反饋看，在網絡空間測繪搜索引擎上ZoomEye已經被國際各大用戶認可，也逐步穩固了行業翹楚的地位。”

　　黑哥表示，聚焦到ZoomEye產品本身，知道創宇的特色及優勢還是很突出的：

　　第一，ZoomEye是國內最早也是全球誕生的第二個搜索引擎，意味著技術積累、數據積累。而數據積累有不可追逐的優勢，這些歷史數據在完善追蹤目標動態變化及立體畫像等方面有至關重要的作用。

　　第二，ZoomEye是全球唯一個全面支持IPv4/IPv6/域名/暗網測繪的，且是國內第一個支持IPv6測繪，通過自主研發的引擎，知道創宇到目前已經整理了近30億IPv6地址庫。

　　第三，知道創宇具備多維度的數據關聯的能力，同時支持多個IP物理地址庫(ipip、埃文)及多國家高精度地址庫、獨有的知道創宇安全大腦的惡意IP域名地址庫、DNS相關的數據庫、Whois數據庫等等，這些都對完善目標立體畫像非常有意義，比如可以通過數據關聯得到IP的行業標簽數據(就是知道這個IP是屬于哪個行業相關)。

　　第四，漏洞是網絡安全攻防的基石，目前對漏洞影響面的測繪仍然是網空測繪的主要應用場景。通過知道創宇404實驗室的安全研究能力，加上?間最大的通用漏洞數據庫seebug，能快速輸出漏洞檢測方案，并結合ZoomEye實現全球漏洞影響面評估探測。

　　第五，知道創宇全面支持主動測繪及被動測繪，幫助客戶完善內部或者專有網絡的測繪，并提供多種產品形態及全面解決方案以應對不同客戶各種需求及場景。

　　第六，知道創宇提出了很多先進的測繪理念并實踐，如黑哥提出的“動態測繪”，時刻關注數據的動態變化及趨勢。前面提到的心臟流血漏洞，就是利用動態測繪的理念分析得出的各種有趣的結論。再比如2019年委內瑞拉大停電事件，ZoomEye是全球唯一及時響應、通過動態測繪理念完成該國的網絡關鍵基礎設施及重要信息系統測繪的工具。此外還有“交叉測繪”的思想，基于它可以完成IPv4 vs IPv6、暗網vs IP/域名的交叉比;通過“行為測繪”理念來實現重要基礎設施的識別定位等等。

　　第七，知道創宇歷經10余年探測引擎的積累，打造出獨立自研的網絡空間搜索引擎，通過“一鍵部署”能快速部署在普通的VPS主機上，并通過獨有分布式算法實現穩定快速有效的探測，目前已在全球16個國家地區部署了1000+的節點。

　　黑哥表示，未來知道創宇全面開放API接口，鼓勵社區通過融合ZoomEye能力打造更多更好的安全項目。

　　　　“掛圖作戰”與“動態測繪”不謀而合

　　　　Q:近期，相關領導在多個場合提到了“掛圖作戰“，這個是網絡空間資產測繪的典型應用場景么？

　　黑哥表示，“掛圖作戰”是通過直觀的圖形化形式，將計劃的實施方案、工作流程和執行進度等內容呈現出來，用于指導計劃具體實施過程，是一種類似作戰的快速響應行動方式。相關領導提出的“掛圖作戰”就是網絡空間測繪的一個非常重要且典型的應用場景，知道創宇在網空測繪領域的理解跟這個理念是非常貼合的。

　　早在2015年，知道創宇就提出網絡安全要“看得清、防得住，攻得克”的9字真言，其中“看得清”就是對網絡空間地圖最形象的詮釋。2016年4月19日，習近平總書記講話也提出網絡安全要“摸清家底，認清?險”的指示，這與網絡測繪“畫全畫準”的要求不謀而合。

　　　　黑哥表示，關于“掛圖作戰“的論文中提到地理地圖學的“人-地-網”紐帶建立，正好對應了他提出在網絡空間中的“3W”概念，也就是網絡空間測繪圍繞的“who?”-“what?”-“where?”。

　　黑哥強調：“掛圖作戰”還有一個重要的點就是戰場的“瞬息萬變”。因此，我們關注空間分布的同時也需要關注時間變化的維度，尤其是在攻防領域“時間差”是關鍵，誰能更好的把握時間差，就能獲取主動權，這也跟黑哥提出的“動態測繪”不謀而合。

　　　　小到企業大到政府、國家，需要網絡資產測繪

　　　　Q:網絡資產測繪還有哪些典型民用應用場景和案例？

　　黑哥認為，網絡空間資產測繪是網絡安全建設中基礎設施類的工作，跟網絡空間資產掛鉤的地方就需要網絡空間測繪，所以在很多場景上都是有需求的。

　　目前，比較典型應用場景就是企業網絡安全職能部?對企業資產識別管理，尤其是當下各種公有云/私有云的應用，很多網絡資產被淪為暗資產，甚至到被入侵曝光后才被發現。此外，現在流行的各種攻防演練也是從資產排查入手的，資產發現的多，發現的快，是對抗的關鍵。在歷年國家舉辦的攻防演練過程中，知道創宇通過ZoomEye能夠梳理并實時監控參演單位的暗資產，得到客戶的廣泛認可。

　　比較常?的場景比如行業監管等部?，有對轄區的網絡資產進行安全監管、?險排查及監督整改的需求，智慧城市的網絡安全建設就離不開網絡空間測繪。目前，知道創宇對智慧城市相關的項目已經開始進行布局和切入。小到一個企業、大到一個行政管理部?、再到國家層面，網絡安全、網絡空間測繪都是有非常大的價值的。

　　黑哥說，“漏洞攻防是目前主要的應用場景，但是我認為這只是網絡空間測繪的一個點，實際上我們還有很多其他應用場景。包括在APT、僵尸網絡、攻擊框架等方向上的主動測繪應用、在網絡數據泄露上的探測應用，甚至還有脫離傳統網絡安全上的應用。

　　比如，我們嘗試分析VPN、郵件系統的數據變化來反應疫情的影響。還有個例子，我們去年通過ZoomEye多年的歷史數據分析發現IPv4地址還有大量的地址沒有被啟用，由此說明，IPv4不是絕對枯竭，而是這些資源都被掌握在少數的國家及組織手里，我想這也說明了為什么我國致力發展普及IPv6的原因之一。”

　　　　未來網安新三件套中，資產測繪必須有姓名！

　　　　Q:網絡空間資產測繪這個方向未來的發展和市場空間？

　　黑哥說，“我們在這個領域已經持續投入耕耘了10來年了，在這期間也有不少同行的加入然后又退出這個領域，直到近年來市場稍有起色，有越來越多的同行加入進來。談到未來我們背靠著10余年的技術數據和人才的積累，還是充滿信心的。我們在10年前就意識到了網絡空間資產測繪在網絡安全中基礎建設的地位，而且我們堅信隨著國家相關網絡安全政策制度的推動，網絡空間資產測繪在市場上有著極其廣泛的需求。

　　在未來有各種不同的需求及場景出現，會誕生更多的產品或者服務形式去迎合這種變化。如果說漏掃、防火墻、流量分析是網絡安全老三件套的話，那么，我覺得網絡安全未來三件套里可能會有網絡空間測繪產品一席之地。”

　　　　找準定位，明確需求

　　　　Q：黑哥，最后給我們的客戶朋友們建議一下，怎么選購網絡空間資產測繪產品吧。

　　黑哥聽到這個問題直爽地笑了，直言：“這個問題我就不用建議了吧，選擇ZoomEye系列產品就可以了！”

　　其實對于客戶而言，首先要考慮自身的需求及預算，俗話說:“只選最對的，不選最貴的”。黑哥也為我們舉例，比如：外網測繪和內網測繪在技術及產品實現上的側重點是不一樣的，這個問題一般客戶可能是不太明白的，外網測繪一般要求測繪目標非常多，所以可能需要在速度及效率上有更多考量;但是在企業內網可能測繪的目標是相對有限的，要考慮更全、更準的資產識別，甚至可以啟用多種測繪手段比如主動測繪與被動測繪結合等。

　　同時，產品擴展性問題也易被忽視，網絡資產測繪是企業安全管理工作基礎中的基礎，所以資產梳理清楚后需要配合其他產品或者能力進行擴展匹配，這就要求資產測繪產品提供API等開放接口，方便其他安全設備或者能力的融合。

　　此外，客戶重點關注是漏洞應急處理能力。而目前在企業安全管理中資產梳理后對漏洞的應急探測就是首當其沖要解決的問題。

　　　　關于網絡資產測繪的話題，黑哥與我們深入淺出地聊了很多，每一個觀點的背后都包含著黑哥與知道創宇的能力積累與安全創新。此次專訪讓我們對網絡資產測繪的未來懷揣更多期待。未來，網絡安全建設更需要安全企業緊盯時代發展需求，搶抓新一代信息技術先機，更好彰顯網絡安全企業價值。