信息化觀察網(wǎng)

本文來自微信公眾號“安全419”，作者/藏青。

5月30日下午，由華云安發(fā)起的2023網(wǎng)絡(luò)安全運營技術(shù)峰會（SecOps 2023）在北京舉行。本屆峰會以“持續(xù)驗證看見安全”為主題，聚焦數(shù)字時代下網(wǎng)絡(luò)安全運營技術(shù)演進方向與最佳應(yīng)用，借助創(chuàng)新技術(shù)來“看見”復(fù)雜難測的數(shù)字資產(chǎn)，動態(tài)感知外部威脅，進而審視自身弱點，驗證安全防御的有效性，以期全面提升安全防御能力。十余位行業(yè)權(quán)威專家學(xué)者、甲方安全專家共同圍繞網(wǎng)絡(luò)安全運營最前沿的技術(shù)與應(yīng)用，分享了自身的觀察與最佳實踐。

安全419注意到，隨著各行業(yè)數(shù)字化轉(zhuǎn)型的加速，企業(yè)用戶的業(yè)務(wù)模式、IT基礎(chǔ)設(shè)施都發(fā)生了巨大的轉(zhuǎn)變。在這樣的趨勢下，安全廠商們也正在努力尋找一個新的支點來撬動用戶的痛點需求，而幫助用戶打造標(biāo)準(zhǔn)化的安全度量體系，似乎正在成為一個新的方向。

業(yè)內(nèi)眾多安全廠商們都在基于自身的能力積累，從自身維度和視角，通過XDR、網(wǎng)絡(luò)靶場、BAS入侵與攻擊模擬等不同的路徑去嘗試幫助用戶更清晰地透視當(dāng)前自身的安全現(xiàn)狀，使用度量的結(jié)果了解真實的投資回報，持續(xù)量化安全的價值并推動安全水位的提升。

在題為“持續(xù)驗證、看見安全”的主旨演講中，華云安創(chuàng)始人兼CEO沈傳寶除了分享華云安一年多以來對攻擊面管理技術(shù)演進的新理解和新實踐外，也重點分享了華云安在安全驗證和安全度量方面的探索，論述了安全有效性驗證與攻擊面管理的必然聯(lián)系，并詮釋了自身對整體安全行業(yè)發(fā)展趨勢的思考和洞察。

數(shù)字化時代持續(xù)驗證方能看見安全

沈傳寶談到，2022年華云安在全國范圍內(nèi)參加了百余場攻防演練活動，梳理了30萬以上的外部互聯(lián)網(wǎng)資產(chǎn)，發(fā)現(xiàn)當(dāng)中有相當(dāng)大比例的資產(chǎn)不在客戶的視野范圍內(nèi)。從攻防演練的結(jié)果來看，在漏洞風(fēng)險、數(shù)據(jù)安全、供應(yīng)鏈安全和勒索軟件環(huán)伺下，當(dāng)前全網(wǎng)網(wǎng)絡(luò)安全態(tài)勢仍不容樂觀。

隨著數(shù)字化轉(zhuǎn)型進程的不斷深入，大量數(shù)字化的業(yè)務(wù)暴露在互聯(lián)網(wǎng)上，隨之而來的暴露面在增加，攻擊面在增加，安全風(fēng)險也在增加。因此華云安認(rèn)為，在數(shù)字化時代，網(wǎng)絡(luò)安全必須被看見，被看見才能夠保證安全。

沈傳寶解釋到，“看見安全”主要包含兩層含義：

●首先是安全保護的目標(biāo)需要被看見。“我們保護了什么？我們安全的目的是什么？如果我們連我們保護的是什么都搞不清楚的話，是很難保護我們的安全系統(tǒng)的。”

沈傳寶認(rèn)為，過去網(wǎng)絡(luò)安全行業(yè)保護的目標(biāo)絕大多數(shù)是IT、網(wǎng)站、Web應(yīng)用。而在數(shù)字化時代，隨著數(shù)字化轉(zhuǎn)型的加速，IT基礎(chǔ)架構(gòu)發(fā)生了重大變遷，云、容器、工業(yè)控制傳感器成為全新的底層基礎(chǔ)設(shè)施，需要保護的目標(biāo)已經(jīng)從IT和網(wǎng)絡(luò)進一步拓展到數(shù)字化的資產(chǎn)，包括API、小程序、攝像頭、傳感器、身份信息、數(shù)據(jù)泄露信息、用戶憑證等等，都是亟須加以保護的目標(biāo)。因此，面對前所未有的風(fēng)險，安全保護的目標(biāo)必須要被看得見。

●其次是安全防御的效果需要被看見。網(wǎng)絡(luò)安全保障的目標(biāo)是“不出事”，到底是沒出事，還是出了事而不知道？

沈傳寶認(rèn)為，想要回答這一問題，企業(yè)就應(yīng)當(dāng)以安全驗證的方式持續(xù)驗證安全的措施、手段和技術(shù)是否真的有效。持續(xù)驗證有三個目標(biāo)：第一驗證攻擊面，驗證網(wǎng)絡(luò)資產(chǎn)可見性、安全漏洞、配置缺陷、不當(dāng)權(quán)限等；第二驗證安全防御的有效性，驗證評估現(xiàn)有安全控制措施是否可以檢測和阻止安全攻擊；第三驗證安全一致性，持續(xù)驗證和評估安全工具配置、檢測分析預(yù)期的一致性。

這也正是SecOps2023華云安提出的主題：持續(xù)驗證，看見安全。華云安認(rèn)為，面對更復(fù)雜的安全威脅，應(yīng)以“看見”之力洞悉威脅暴露面，感知風(fēng)險，持續(xù)“驗證”安全防御有效性，于攻防之中重塑安全運營的價值。

攻擊面管理已成為安全驗證的最佳應(yīng)用場景

沈傳寶強調(diào)，站在攻擊者視角，未來一定是實戰(zhàn)化和智能化的時代，安全驗證注定是未來的重要方向。

Gartner將網(wǎng)絡(luò)安全驗證定義為：網(wǎng)絡(luò)安全驗證是技術(shù)、流程和工具的融合，用于驗證潛在攻擊者如何實際利用已識別的威脅暴露面，來測試安全防御系統(tǒng)和安全機制的反應(yīng)。他表示，實際上從安全驗證發(fā)展的脈絡(luò)來看，從早期漏洞掃描技術(shù)，逐步發(fā)展到智能滲透技術(shù)，到最近比較熱門的BAS入侵與攻擊模擬技術(shù)，再到網(wǎng)絡(luò)安全驗證技術(shù)的整個過程，是一脈相承、逐步演進的結(jié)果。

智能滲透在原來漏洞掃描的基礎(chǔ)上，用自動化和智能化的技術(shù)，來測試和驗證目標(biāo)的安全性。BAS入侵與攻擊模擬形成了體系化的方法論，站在攻擊者視角來驗證網(wǎng)絡(luò)安全防御機制、安全設(shè)備以及有效性。在安全驗證的角度來看，不僅僅要做攻擊者視角的安全模擬，還要驗證系統(tǒng)安全防御的有效性，持續(xù)提升整體安全能力。Gartner也在2023年網(wǎng)絡(luò)安全發(fā)展趨勢的報告中預(yù)測，到2026年將會有40%的大型組織采用網(wǎng)絡(luò)安全驗證技術(shù)，用來對整個網(wǎng)絡(luò)體系進行統(tǒng)一的安全評估。

“站在全球安全技術(shù)發(fā)展的視角，BAS入侵與攻擊模擬最早在2017年左右在業(yè)內(nèi)被提出，但隨后幾年中熱度慢慢降溫，其根本原因就是沒有找到很好的落地場景。但是當(dāng)攻擊面管理技術(shù)誕生后，特別是攻擊面管理逐步延伸到持續(xù)的暴露面管理的層面后，安全驗證便成為了一個明確的目標(biāo)。”

他表示，早期的BAS入侵與攻擊模擬是站在攻擊者視角來模擬測試網(wǎng)絡(luò)安全體系的單一技術(shù)，而華云安將BAS入侵與攻擊模擬與攻擊面管理技術(shù)進行聯(lián)動后，便形成了一套完整的方法論：以安全驗證的技術(shù)和手段來驗證安全有效性和安全的價值，這將是一項面向未來的技術(shù)發(fā)展方向。

華云安認(rèn)為安全驗證應(yīng)該分為5個層面：

第一，安全攻擊面驗證，驗證攻擊面的真實性，攻擊面評估包括資產(chǎn)可見性、錯誤配置、補丁修復(fù)等，從攻擊者角度評估可利用的威脅。

第二，安全有效性驗證，評估當(dāng)前已采購安全設(shè)備的有效性，自動化地評估現(xiàn)有安全控制措施是否可以檢測和阻止來自攻擊者的行為。

第三，安全一致性驗證，驗證預(yù)期目標(biāo)與實現(xiàn)目標(biāo)之間的一致性，分析能力、感知能力和響應(yīng)能力的一致性，持續(xù)地驗證和評估安全工具配置分析、檢測效率以及對抗性的威脅模擬，發(fā)現(xiàn)問題并改進。

第四，事件響應(yīng)效率驗證，對事件響應(yīng)機制的及時性和有效性進行評估，衡量檢測、調(diào)查和響應(yīng)的時間。以攻擊者的視角來看待，一旦發(fā)生攻擊者事件之后，響應(yīng)速度、響應(yīng)能力是否能夠達到目標(biāo)。

第五，安全成熟度持續(xù)改進。詳細(xì)的驗證評估結(jié)果呈現(xiàn)系統(tǒng)的優(yōu)勢和差距，持續(xù)地改進安全管理體系，幫助運營方提升改進安全能力。

沈傳寶提出，最終安全驗證的目標(biāo)，一定是為企業(yè)提供一套完整的、可量化的，評估企業(yè)安全風(fēng)險整體態(tài)勢的安全體系。以及在驗證結(jié)果相悖的狀態(tài)下，指導(dǎo)用戶如何更好地服務(wù)于業(yè)務(wù)和安全的需求。

華云安持續(xù)影響攻擊面管理技術(shù)發(fā)展

沈傳寶表示，過去國內(nèi)網(wǎng)絡(luò)安全市場各條技術(shù)賽道，通常是在海外安全市場得到初步價值驗證后，國內(nèi)安全廠商才會逐步跟進實踐并打磨相關(guān)技術(shù)產(chǎn)品。而攻擊面管理作為一個全新的技術(shù)領(lǐng)域，盡管國外安全市場涉足時間雖然會比國內(nèi)稍早，但真正的爆發(fā)基本上是在2022年，可以說國內(nèi)外安全企業(yè)的攻擊面管理基本站在同一起跑線上。

自去年5月份以來，攻擊面管理在業(yè)內(nèi)發(fā)展速度十分迅猛，目前已有超過20家安全廠商進入這一技術(shù)賽道，共同推動了攻擊面管理賽道的繁榮。

在沈傳寶看來，作為一項更偏場景、應(yīng)用和需求的技術(shù)，攻擊面管理解決的問題是在不同場景下先于攻擊者一步找到暴露面。而中國網(wǎng)絡(luò)安全應(yīng)用場景遠比海外更加豐富，包括互聯(lián)網(wǎng)應(yīng)用、電子商務(wù)、游戲等等場景都遠超國外；從國家關(guān)鍵信息基礎(chǔ)設(shè)施的維度上，在全球范圍內(nèi)中國關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)字化水平已站在世界前列，能源、電力、通信、交通等等各個行業(yè)中都存在大量的應(yīng)用場景，給予了中國攻擊面管理技術(shù)成長的優(yōu)質(zhì)土壤。

作為國內(nèi)攻擊面管理領(lǐng)域的領(lǐng)跑者，華云安已經(jīng)基于用戶的場景化需求打造了攻擊面管理整體產(chǎn)品解決方案，包括定位于內(nèi)部資產(chǎn)攻擊面管理的靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理（Ai.Vul），定位于外部資產(chǎn)攻擊面管理的靈知·互聯(lián)網(wǎng)監(jiān)測預(yù)警中心（Ai.Radar），定位于入侵和攻擊模擬的靈刃·智能滲透與攻擊模擬（Ai.Bot）：

1

內(nèi)部資產(chǎn)攻擊面管理，主要提供內(nèi)部資產(chǎn)的可見性，解決漏洞的問題。通過API與現(xiàn)有工具集成來管理所有資產(chǎn)，查詢整合的數(shù)據(jù)，確定漏洞的范圍和安全控制方面的差距。

2

外部攻擊面管理，通過外部視角來發(fā)現(xiàn)面向互聯(lián)網(wǎng)的企業(yè)資產(chǎn)、系統(tǒng)和相關(guān)漏洞，如服務(wù)器、憑證、公共云服務(wù)配置錯誤和可能被利用的第三方軟件代碼漏洞等。

3

入侵與攻擊模擬，入侵與攻擊模擬技術(shù)，通過測試系統(tǒng)檢測和阻止模擬攻擊的能力來驗證系統(tǒng)的安全狀況。使安全服務(wù)商或企業(yè)能夠更好地了解業(yè)務(wù)系統(tǒng)等安全態(tài)勢。

4

滲透測試即服務(wù)，本質(zhì)上是通過滲透測試的方法遠程對系統(tǒng)進行安全測試。PTaaS簡化了測試流程和管理，更加輕量級、實時且持續(xù)。

5

紅隊服務(wù)，攻防演練和紅隊服務(wù)，采用人工服務(wù)的方式，以攻擊視角進行安全測試。隨著技術(shù)的演進，自動化滲透測試工具增強了現(xiàn)有的滲透測試和紅隊能力。

自2022年以來，華云安在國際、國內(nèi)權(quán)威機構(gòu)發(fā)布的攻擊面管理相關(guān)報告中展現(xiàn)出產(chǎn)品實力、品牌實力均處于行業(yè)一線水平。在一定程度上，華云安對攻擊面管理技術(shù)的思考、方法論和技術(shù)實踐，已經(jīng)在持續(xù)影響著國際上對攻擊面管理的認(rèn)知和發(fā)展。在這樣的發(fā)展趨勢下，中國攻擊面管理廠商或?qū)⒂型氏茸呦蛞?guī)?；涞?，走向全球安全市場的前列。