1、 北京数字世界咨询有限公司 2023.11数字安全能力指南持续评估定义安全运营Continuous Evaluation defines Security Operation 北京数字世界咨询有限公司 2023.11数字安全能力指南持续评估定义安全运营Continuous Evaluation defines Security Operation数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础,
2、来自于数世咨询 2020 年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委主笔分析师 刘宸宇 首席分析师 李少鹏 分析团队:数世智库 数字安全
3、能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。目录前言 1关键发现 3概念描述 5 什么是持续评估定义安全运营 5与安全运营的关系 6市场现状 8市场概况 8能力企业 9能力基因 15行业需求 16关键能力 18安全评估验证用例的积累 18对海量攻击的提炼与用例转化 19持续评估的自动化程度 20未来展望21目录附录持续评估定义安全运营行业案例 22某大型金融机构用户案例(该案例由 360 数字安全提供)22某大型集团用户案例(该案例由矢安科技提供)27某银行有
4、效性验证案例(该案例由知其安提供)31 持续评估定义安全运营1前言随着数字世界的临近,数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。因此,对安全能力的评估与验证成为国内安全从业者特别是安全运营人员越来越多讨论的话题。这一现象背后,首先有政策的因素,例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中;其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平,用户自身的安全评估验证需求已经自然而然发展出来;第三,这也与国际局势的变化直接相关,国家级 APT 威胁使得“安全”二字提升到了“
5、网络战”的高度,攻击之前自我评估,威胁之侧持续评估,成为了实战化需求下安全运营的必修课。在这样的背景下,近几年国内出现了多家专门满足这一需求的初创安全企业,不少传统综合安全大厂也内部蕴育出了相关的产线能力,业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。然而,话题热度之后更加应当看清的是,目前国内的安全建设水平仍然有明显的不均衡特点:一是区域不均衡,北上广深成渝西安以及 GDP 排名较靠前的省份城市,安全建设水平相对较高;二是行业不均衡,金融、运营商、电力能源等关基行业已经走在了前面,但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度;三是即便同行业内,其头部、腰部及以下
6、机构用户,安全能力也存在着明显的不均衡。由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来,因此这一新赛道的供需双方,目前还只集中在“不均衡”发展的“头部”群体中。那么,腰部及以下的机构用户就不需要评估与验证能力吗?2答案是显然的,当然需要。只不过,因为这类用户的“安全家底”本身就比较薄,因此不必像“头部”一样做得那么重,只需要标准化或最小化的评估验证能力即可。因此,无论用户规模大小,无论用户处在头部腰部甚至以下,评估与验证都不是为了给用户“找麻烦”,而是要在传统的安全能力建设之外(绝不限于设备采购、产品部署、驻场服务),使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全
7、运营”的下限,并且持续提升这个“下限”,也就是说,将评估与验证能力与安全运营同步建设,同步提升!用持续的评估,重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。鉴于此,数世咨询撰写本报告,希望能抛砖引玉,对这一领域的产业现状做出初步调研与阐述。报告勘误与交流沟通请联系主笔分析师:刘宸宇 持续评估定义安全运营3 关键发现 数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。入侵攻击模拟与安全有效性验证评估的都是安全运营的下限,提升的是 MTTD/MTTR 的整体效能。持续评估能力帮助机构用
8、户发现已部署的安全产品和配置、以及构建的安全纵深防御体系的有效点、失效点与空白点。持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。持续评估定义安全运营这一细分领域 2022 年的市场规模已过亿元。预计 2023 年将达到 3 亿元。持续评估定义安全运营,行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。持续评估定义安全运营的三大关键能力:安全评估验证用例的积累、持续评估的自动化程度、对海量攻击的提炼与
9、用例转化。持续评估用例的更新,应支持订阅式推送与开放式更新等多种方式,满足用户对最新威胁的验证与自定义用例验证等需求。4 短期内,持续评估定义安全运营的采购方将以关基行业中的头部客户为主。中期来看,持续评估定义安全运营将带有显著的行业特征。未来,持续评估与验证能力将成为安全运营的试金石。让安全运营实现从“小作坊”到“工业化”的进阶。从“有没有”到“行不行”,再到“好不好”,持续评估将成为安全运营的试金石。数世咨询 持续评估定义安全运营5概念描述什么是持续评估定义安全运营 本 报 告 中 的“持 续 评 估 定 义 安 全 运 营”(Continuous Evaluation defines S
10、ecurity Operation)是指:是指基于实战化最佳实践用例,对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作,并提供合理化改进建议,进而提升安全运营整体效能的解决方案。“持续评估定义安全运营”的核心价值在于,通过持续评估帮助机构用户发现已部署安全产品、以及构建的安全纵深防御体系的有效点、失效点与空白点,以持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,以量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。与“持续评估定义安全运营”相关的一些概念:入侵攻击模拟(Breach Attack Simulation-BAS)BAS 以模
11、拟仿真的体系化安全攻击手段,评估验证整个安全运营体系发现威胁的能力,发现的是安全运营的短板,弥补的是安全运营的弱点,提升的是安全运营的下限;安全有效性验证(Cybersecurity Validation-CV)安全有效性验证用到了 BAS 技术,但不仅限于 BAS,在攻击模拟之外,CV 还会对网络、终端等 IT 环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证,因此 CV 重点还会关注安全的一致性,例如通过自动化审计方式对安全设备的策略进行验证;与 BAS 一样,CV 提升的也是安全运营的下限;6 持续自动化红队(Continuous Automated Red Teaming C
12、ART)CART 提供的是持续发现潜在攻击路径、对抗 APT 攻击、提升安全意识等更高阶安全运营需求的能力,提升的是安全运营的上限;CART 与上述两项是互补关系,稍有交叉,都无法替代对方。与安全运营的关系正如前言中所述,持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。如下图所示:图例:持续评估与安全运营的关系 安全体系建设初期,安全团队人很少,安全手段以传统工具/设备为主,此时持续评估的参与度并不高,需求也不强烈。(例如“老三样+渗透测试服 持续评估定义安全运营7务”,对应图中“渗透测试”箭头);安全体系建设中期,安全团队人数增加,引
13、入了管理制度,并开始建设安全运营平台,此时就需要验证与度量作为量化考核的手段了,在参加一些重保、攻防演练活动前,也有必要提前通过验证与度量先行自我检查(对应图中“攻防演练”箭头);进入安全体系建设成熟期后,大批量的安全工具/设备需要纳管、维护,实战化、常态化安全运营成为安全团队的日常主要工作,为了优化威胁检测与响应流程,提升 MTTD/MTTR 时效,持续的评估工作(以 BAS 为例)开始深度参与,不断发现现有安全运营体系的短板与失效点,持续提升整体安全运营水平(对应图中“入侵攻击模拟”箭头);长期来看,理想状态下,安全运营的状态应该如图中红色箭头所示,是一条 45向右上延伸出去的箭头,此时的
14、安全体系建设与持续的评估验证是同步推进的,即安全体系建设、常态安全运营、持续评估验证三位一体实现了同步发展、同步提升。也可以说,通过持续的评估验证,重新定义了安全运营。8 市场现状市场概况据数世咨询不完全统计,持续评估定义安全运营这一细分领域 2022 年的市场规模已过亿元,同比增长率约为 440%。通过调研我们发现,大多数本赛道的安全企业 2021 年仍然处在产品开发或用户 PoC 试用阶段,尚未有商业化成单,进入2022年后,绝大多数参与调研的企业都签约了不同数量的商业客户,整个市场规模也因此有了数倍的增长。“持续评估定义安全运营”这一新兴技术领域,目前在国内仍处于“市场教育”的相对初级阶
15、段,但随着国内安全运营体系的整体完善,水平整体提升,数世咨询认为评估与验证在接下来的几年内会继续保持高速增长。图例:持续评估定义安全运营市场规模按照数世咨询中国数字安全产业年度报告 2023中的统计数据,2022年国内数字安全产业规模为 981.7 亿元,预计 2023 年将达到 1030 亿元。以此数据为基础,参考金融、政府监管、能源电力、运营商等行业安全运营投入、持续评估所占比例,数世咨询预计 2023 年持续评估定义安全运营的市场规模可达到 3 亿元,2025 年预计将增长至 10 亿元规模。持续评估定义安全运营9能力企业参与本次调研的有 360 数字安全、安洵信息、灰度安全、绿盟科技、
16、奇安信、赛宁网安、矢安科技、腾讯安全、丈八网安、知其安等安全企业(按公司简称首字母排序)。按照横轴-市场执行力、竖轴-应用创新力为依据,上述企业综合排列如能力点阵图所示:图例:能力点阵图 持续评估定义安全运营对于近几年新出现的创新细分领域(例如本报告中的“持续评估定义安全运营”),我们发现仅靠点阵图中应用创新与市场执行这两个维度,难以全面体现创新企业的不同技术基因、产品特点、行业积累、能力优势等特点。因此,为了更客观体现新赛道中各能力企业的特点,便于最终用户选取更适合自己需求的安全企业作为潜在合作对象,数世咨询将点阵图横坐标“市场执行力”进一步拆解为市场营收、品牌影响力、行业广度、行业深度等四
17、个维度,将“应用创新力“进一步拆解为产品工程化、业务场景化、理论与基础研究、技术融合度四个维度,上述八个维度以蜘蛛图(雷达图)形式进行展现。10点阵图中各企业的蜘蛛图(雷达图)如下所示(按公司简称首字母排序):图例:数字安全能力雷达图-持续评估定义安全运营 360 图例:数字安全能力雷达图-持续评估定义安全运营 安洵信息 持续评估定义安全运营11图例:数字安全能力雷达图-持续评估定义安全运营 灰度安全 图例:数字安全能力雷达图-持续评估定义安全运营 绿盟科技 12图例:数字安全能力雷达图-持续评估定义安全运营 奇安信 图例:数字安全能力雷达图-持续评估定义安全运营 赛宁网安 持续评估定义安全运
18、营13 图例:数字安全能力雷达图-持续评估定义安全运营 矢安科技 图例:数字安全能力雷达图-持续评估定义安全运营 腾讯安全14 图例:数字安全能力雷达图-持续评估定义安全运营 丈八网安 图例:数字安全能力雷达图-持续评估定义安全运营 知其安 持续评估定义安全运营15能力基因目前国内上述各能力企业的基因有 BAS+EASM、仿真靶场、行业最佳实践等三类。这三者各有侧重,并不冲突,有的能力厂商同时兼具 2-3 项,在实际交付时,会根据不同水平的机构用户需求,结合成不同的解决方案,用户也可根据自身实际需求进行选择。BAS+EASMBAS 技术从 2017 年提出开始,先后经历了多 agent 漏扫、
19、靶机攻击、黑盒多向量攻击等阶段,也引入了威胁情报、攻击面管理等新的技术能力,目前业内较多厂商采用的是 BAS+EASM 这一组合。其特点是能够以外部攻击者视角对机构用户的安全运营体系发起纵深攻击,进而对杀伤链上的信息搜集、跳板终端、网络节点、主机应用等环节以及沿途的安全设备与产品进行有效性评估。仿真靶场“仿真靶场”大多由网络靶场、数字靶场赛道的企业发展而来,其优势在于对机构用户现行安全运营体系中网络架构、终端系统等运行环境的高度仿真。结合多年多项赛事中所积累的攻防技战法转化而来的验证剧本,该路线对安全运营体系中,特别是安全运营团队的人员能力有明显的验证效果,可以有效发现运营团队的响应短板,提升
20、整个安全运营团队的响应时效。基于行业最佳实践的有效性验证在金融等行业有多年深耕经验积累的安全创业团队,凭借其核心成员在一线安全运营场景中的行业最佳实践,积累了大量从实网演习、重保演练、实战攻防中提炼总结出的验证用例,这些用例在同行业同场景中有非常高的验证“命中率”,加以自动化的验证平台,可以有效发现同行业机构用户的失效点,提升其安全运营整体有效性,为同行业机构用户提供持续的有效性验证能力。16行业需求按照机构用户所处行业划分,“持续评估定义安全运营”行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。完整行业需求占比情况如下图所示:图例:行业需求占比 持续评估定义安全运营综合调研后,
21、数世咨询梳理出各行业对持续评估验证的需求主要集中在:发现安全运营体系中 IT 环境漂移、安全产品自身稳定性、应对新威胁的能力以及行业监管技术抓手等场景下的安全有效性问题。IT 环境漂移导致安全产品及策略失效。各类 IT 系统的升级、变更导致的IT 环境漂移,可能会导致已部署的安全产品及策略失效。安全团队无法单凭人力对此进行有效监控及时掌握,安全运营效能很可能大大偏离预期。安全产品自身缺乏持续稳定性。由于存储上限、人为失误等原因,安全产品的设备、软件、规则等措施的可用性与连续性可能发生中断,且无法在第一时间发现和暴露,就极易导致安全防护失效。应对新威胁需要自动化的安全评估验证能力。对于新的攻击手
22、段、攻击工具、0day 漏洞,若只靠人工评估验证,时效性、准确性、以及对多场景的验 持续评估定义安全运营17证都面临明显局限。在新威胁真正发起攻击前,需要以“风险驱动”的视角,以自动化能力进行评估验证。行业监管/总部集团缺少评估验证的技术抓手。分、子机构的“上有政策,下有对策”,往往导致其出现安全事件被通报了,上级行业监管/总部集团才事后得知,非常被动。因此,无论是从自身防护水平提升的角度,还是先行自查的角度,亦或是量化考评的角度,行业/总部都需要一个技术抓手持续评估验证分、子机构的安全能力现状。18关键能力为应对上述行业需求,该领域中的各安全厂商根据自身团队技术基因与行业积累,分别发展出各自
23、不同的关键能力,经过汇总提炼后,数世咨询认为“持续评估定义安全运营”需要以下关键能力:安全评估验证用例的积累 对海量攻击的提炼与用例转化 持续评估的自动化程度安全评估验证用例的积累不同安全运营水平的机构用户需要不同的安全评估验证能力。机构用户的安全运营水平越高,持续评估验证所需要的知识库、攻击链覆盖度就越高。对厂商来说,考虑到产品开发成本、交付效果的一致性等因素,厂商大多都参考了 MITRE 的 ATT&CK 框架等知识库,从常见的攻击战术、技术和程序(TTPs),到更高级别的 APT 高级威胁,实现完整的持续评估验证能力覆盖。因此,以 ATT&CK 等知识库为参考的用例/模型/剧本的数量,就
24、成为了持续评估验证的核心能力点之一。当然,ATT&CK 是国际上通用的框架知识库,结合国内的实际需求与场景如实网攻防演练、行业监管合规、集团通报检查笔者也建议,基于行业最佳实践“真题”来组织安全评估验证的用例。正如前文“概念描述”中技术路线所描述的,对于金融、监管、能源电力、运营商等整体安全运营水平较高的行业,基于行业最佳实践的持续评估验证用例积累是评估该领域厂商的 持续评估定义安全运营19另一个核心能力点。值得一提的是,机构用户在选购时,除了考察厂商是否具备足够数量的用例覆盖这些攻击技战法外,还应当注意用例与实战化贴合的程度,用例对防护体系的覆盖度。即每个用例都应当来源于实战,能够应用于实战
25、,满足实战化评估验证需求。同时,评估用例不能“偏科”只集中在少数攻防场景下,而是要覆盖整个防护体系。如果有个别厂商一味强调自身用例的数量优势,用户要注意甄别,其是否存在将已有用例简单变形后的“滥竽充数”行为。对海量攻击的提炼与用例转化在积累用例的基础上,持续评估定义安全运营需要的第二个关键能力是对海量攻击的提炼与用例转化能力。攻防持续对抗带来的“道高一尺,魔高一丈”,让攻击者的工具、手段、技战法始终在不断升级变化。但绝大部分变化都不是跳跃式,而是有迹可循的,因此对安全企业来说,除了基于行业最佳实践,以统计学角度建立知识库,还应当基于海量攻击知识库,以安全大脑、知识图谱等方式,从攻防角度不断追踪
26、、提炼潜在威胁的 TTP,并将其转化为可用于评估验证的用例。知识库用例的更新可由安全企业以订阅方式,按期更新至用户侧的评估平台。对于有实力自建红蓝队的机构用户,评估平台也可提供开放性的更新界面,即支持用户通过自建用例或是组合利用知识库中现有的用例单元,自由组合为新的用例场景。面临潜在 APT 攻击威胁、甚至国家级网络攻防对抗的某些特殊行业用户,可重点考察安全企业的该项能力。当然,无论是基于行业最佳实践的用例,还是基于攻防知识库的用例,这两者并不冲突,既适用于不同的需求场景,也会有重叠交叉,机构用户可根据实际需要与预算情况综合考虑。在转化为用例的时候,应注意高度仿真的同时要保证用例的无害化。顾名
27、20思义,对实战化攻击的模拟,特别是诸如勒索软件、蠕虫木马、擦除器等不可逆的攻击方式,不能影响用户的真实业务与 IT 环境。此外,在机构用户环境中部署的评估验证平台与 agent 本身应当具备足够的安全性,例如以靶场/靶机形式部署的客户端,本身为了模拟漏洞利用攻击,可能故意构造存在漏洞的仿真环境,由此会带来额外的攻击暴露面。这一点也需要格外注意。持续评估的自动化程度持续评估的理想状态是能够为安全建设同步带来评估验证能力,这就需要评估验证具备足够的自动化程度。评估验证动作持续化。根据机构用户所处行业、业务时间特点,通过定期、周期性任务,持续对安全运营体系进行评估验证。评估验证不应受业务系统升级、
28、IT 环境偏移等外在影响。生成评估验证报告后,根据先后结果的变化对比以时间线等维度,为用户提出改进建议。仿真攻击决策智能化。基于 BAS 技术路线执行评估验证的攻击动作时,验证 agent 能够基于所处网络拓扑、终端系统等资产指纹,自主判断并灵活采用攻击过程中的技战法,以黑盒“多向量“方式模拟真实的攻击行为,达到实战化的评估验证效果。评估用例更新工程化。针对最新爆出的 0.5day 漏洞、实网攻防演练中的新技战法,以及新出现的 APT 组织 TTPs 等情况,厂商要能够在 24 小时内形成与之对应的评估验证用例,及时更新并推送至评估验证平台。这一过程要尽量以工程化方式实现,减少人工因素导致的不
29、一致性。评估验证自动化闭环。在上述“三化”基础上,评估验证的闭环也要具备良好的自动化程度。例如评估结果与日志告警的对比判断应当自动化实现,同时自动化过程本身各环节要具备高准确度,避免因平台自动化读取告警日志错误等原因导致的“假阳性”。持续评估定义安全运营21未来展望短期内,持续评估定义安全运营的采购方将以关基行业中的头部客户为主。从市场规模与行业需求部分的数据统计来看,目前头部用户的需求集中在三到四个关键信息基础设施相关行业,采购方也是行业中安全运营体系较为成熟的头部客户。短期内,腰部以下客户以及其他行业客户,由于安全运营体系建设尚处在跟随阶段,因此对持续评估验证相关能力的采购也会相对滞后。此
30、外,由于评估验证所需的用例,需要满足行业合规、业务特征、IT 环境等多角度的仿真要求,因此中期来看,持续评估定义安全运营将带有显著的行业特征。从供给侧角度来看,该领域具备优秀交付能力的安全企业,其创始团队都不同程度带有相关的行业背景,也是一个例证。由此在不同安全厂商间,会逐渐形成较为显著的行业性壁垒,中期来看,这一现状并不会有太大改变。未来,持续评估与验证能力将成为安全运营的试金石。随着安全运营体系建设的驱动力由事件驱动、威胁驱动向风险驱动转变,攻击面暴露面的收敛已经成为安全运营体系的必做功课,接下来整个安全运营体系还需要从风险高度,先于攻击者发现自身的失效点。持续评估与验证能力正是这样一块试
31、金石,未来它将成为安全运营体系的标配,让安全运营实现从“小作坊”到“工业化”的进阶。22附录 持续评估定义安全运营行业案例某大型金融机构用户案例该案例由 360 数字安全提供场景介绍经过数年的安全建设,某国有大型金融机构的安全成熟度已经达到行业领先,但安全量化成效却难以正面回答,安全成熟度跃升遇到瓶颈。安全设备纵深防御存在策略配置松动、更新不及时、功能局限、能力不足等问题,引发了形成未知的防守真空点,而单靠人力排查无法及时发现并消除安全隐患。如何快速、便捷、全面地评估验证整网安全防御效能,成为该金融机构安全运营提升的关键。客户需求 难以持续评估安全防御效能在日常运营中,架构调整、安全策略变更、
32、新型攻击手段、新型漏洞风险均有可能引发新的防御体系短板。受限于不可能无限投入人力,导致对防御能力评估手段有限,难以持续性地高频评估自查,存在防守真空期,难以适应快速变化的安全形势。缺乏可量化的能力提升依据在对未来建设规划时,安全运营者往往缺乏有力的数据来支撑,仅凭借行业经验来规划建设方向极有可能导致资源投入与安全能力提升不达预期。因此需度量当前薄弱点以及亟需能力提升方向,有的放矢。持续评估定义安全运营23 需要实战下的高质量安全评价“真题”通过开展红蓝对抗、攻防演习、渗透测试等活动能够挖掘到问题,但对人力资源消耗巨大且强依赖于个人认知水平,无法持续、系统性度量安全防御是否与时俱进。急迫需要丰富
33、全面的实战“真题”来快速形成能力覆盖并进行“模考”以应对真实的“大考”。解决方案 针对安全防御有效性难以评估的核心诉求,360 BAS 系统提出了新的“刷题”解法,帮助该金融机构更从容地应对各种“安全考试”。利用历年“黄冈真题”做模考,快速摸清自身真实防御水平,归纳自身哪里做得好、哪里有盲区,形成合理的安全能力提升规划,实现安全防御体系的工程化改进。整体建设内容示意如下:方案功能示意 全品类纵深防御体系有效性验证360 BAS 系统集成的 17 种主流数据接入方式、兼容 200+设备,2500+日志解析规则,帮助客户实现 NGFW、IDS、WAF、NDR、EPP、EDR、RSAP 等类型安全设
34、备快速接入。提供 8 大类数据映射匹配算法,灵活兼容该大型金融机构现网中诸如隔离网、NAT 转换、代理池等特殊网络场景。无需多方适配,快速上24线抗攻击能力评估。充分开放,沉淀个性化评估知识开放评估用例自定义入口,该大型金融机构自主形成用例并复现,实现安全评估知识的持续沉淀;以图形化方式编排场景,站在攻击者视角形成自动判断逻辑评估纵深防御体系,更真实地还原高级威入侵场景。可视化度量安全防御效能通过多维度评估结果分析展示视图(包括评估态势、知识图谱映射、历史评估结果分析、模拟攻击流程分析、安全评估报告等),直观量化呈现潜在弱点,让能力提升、工作成果一目了然,便于向上汇报。360 云端攻防视野,输
35、送高质量模拟“真题”从 360 的 17 年攻防实战中提炼高质量模拟用例,输送了 10000+原生用例库,涵盖重保演练、APT 高级评估、黑客工具、高危漏洞、勒索挖矿专项评估等 400+典型场景,并形成金融行业专项用例集。该客户在总行部署 360 BAS 系统,将安全评估验证能力辐射至整个安全防御体系,涵盖总行的互联网边界、第三方外联区边界、内网、服务器区、办公区以及各分支单位等网络位置。持续评估定义安全运营25 方案部署示意基于这套方案,将安全评估验证能力完美应用到了“平时”和“战时”。以总行的 A、B 两个数据中心以及对 39 个国内外分行的 50+类型安全设备为目标,从边界安全、内网安全
36、、邮件安全、终端安全、员工安全意识等角度常态化开展评估。客户价值 风险前移,预先防范平时选定 171 个评估用例作为每天必看的边界检测能力基线,单一用例覆盖 600+目标和 40 台边界设备,7*24 小时全天候自动化执行,一经上线就识别到 22 个互联网网站无任何防护、边界防护率和检测率 75%左右。及时发现安全弱点并进行能力补齐后做到所有目标防御 100%覆盖,设备检测率和防护率皆达 90%以上,并以此作为能力基线,螺旋式提升运营能力。主动防御,促进运营安全团队利用360 BAS系统引入外部体系化、实战化的攻防技战术,战前:26复测今年红蓝演练中重点关注的 13 个漏洞和技战术,多次整改后
37、综合防护率达到 100%,重点执行 40+高危主机防护用例使得端点上重点场景防御能力提高了 15%,利用钓鱼邮件评估评测员工安全意识,定位约 5%安全意识薄弱的员工并加强教育;战中:每日使用总计超过 170 个从 360 云端同步的 0day、1day 新增用例进行验证,及时调整安全策略和分析模型,促进达到 2023 年演练 0 失守;战后:将演练过程中最新发现的技战术、漏洞等知识自主转换成新的评估用例,知识积累的同时进入下一轮评价周期。提升运营效率,切实促进主动防御。量化效能,有序规划通过每日的评测分析报告对防御效能精准度量,一是看见各安全设备的真实防御水平,促使安全防御能力不断提升,让领导
38、看到、看懂安全建设和持续运营工作的成果;二是督促安全团队的策略运营工作,以“有效性评估”作为运营工作的闭环,增强运营工作规范性以及效果;三是通过持续量化分析安全设施的风险抵御能力,指导未来安全规划提升方向,是有的放矢的数据支撑。自 2019 年 360 参与 MITRE ATT&CK 国际评测并在国内首次创立 BAS 产品,迄今已为众多先进企业和关基单位提供平战结合的纵深防御体系安全有效性验证和持续迭代改进,通过与本地安全大脑有机整合,全面提升了客户安全运营专业化和工业化水平。持续评估定义安全运营27某大型集团用户案例该案例由矢安科技提供项目背景安全建设完善不等于安全效果符合预期。从机构报告上
39、来看:根据 Cymulate 2020 年发布报告数据显示,仅 51%的组织认为他们的安全控制手段能按照他们预设的方式发挥它应有的作用和价值。换句话说,另有 49%的组织并未完全发挥产品的安全价值,企业无法判断攻击手法不断更新情况下的验证防护能力失效情况,因而无法进行有效调整、无法保证防护效果符合预期。从实际效果上来看:企业和组织正在逐步建设网络安全防护体系,如IPS、IDS、NTA、XDR 等。虽然安全防护体系搭建已逐渐趋于完善,但在面临真实国家 HVV、真实 APT 威胁场景下依旧具备应对防护国家 HVV 攻击队、APT威胁的日益复杂和精巧的攻击技术的能力。相信参与过国家 HVV 或曾面临
40、过APT 攻击的企业和组织对此深有体会。从评估手段上来看:即便客户的安全部门知道企业的应用在不断变化、安全行业的攻击手法在持续更新,但企业和组织传统验证方法无法满足需求,缺少一个自动的、全面的、一致的、周期性的安全建设防护能力验收手段。需求痛点某大型企业集团的 BAS 项目,通过前期与用户的实际沟通交流结合项目实施落地的场景,分析其需求痛点后具体如下。自动化验证:缺少周期性的集团整体防护能力自动化评估验证手段;分子公司验证:缺少筛选集团所有分子公司中安全风险监控弱、处置响应弱的28手段;新型攻击验证:缺少新攻击手法更新时验证防护能力是否有效、如何有效调整的手段,响应处置耗时较长;全集团统一验证
41、:缺少全集团 0day 风险下,快速、一致的安全防护设备检测/阻拦能力验证的技术手段;防护基线提升:缺少强攻防属性安全设备检测能力的全面性验证手段,存在漏报情况较多、内部攻防防护效果一般的问题;安全运营效果:缺少持续验证各类安全设备有效性手段、导致 SOC 平台进行降噪、关联分析、编排联动场景准确度不高、存在大规模使用风险。方案特点矢安科技攻鉴 BAS 方案具备以下特点:体系全面:以矢安科技攻鉴系统建设覆盖边界、网络、应用、数据、人员、终端各层防护有效性验证能力,通过常态化对集团子公司防护能力进行评估验证,促进集团安全持续改进。API 调度:集团安全运营中心以 API 接口调度攻鉴的能力,对分
42、子公司安全状况进行统一展示,并实现安全风险流程化闭环管理。可视量化:对照行业安全能力指标数据化,对监管单位的安全能力进行排名,并对安全运营效率量化,整体大幅度有效提升了集团安全能力。轻量私有化部署:轻量级、易部署的私有化部署方式,支持多租户/多用户池管理,企业自主掌控所有数据和权限,也可实现内外网隔离,更好地满足大型企业的数据安全性以及隐私保护的需求;持续评估定义安全运营29无害化技术:使用无害化、无损失攻击验证核心技术,对业务不入侵、无影响。同时,模拟漏洞利用环境不引入靶场环境,避免了对企业可能造成的安全风险。灵活订阅:矢安科技支持针对不同的场景提供不同频率的订阅、支持基于不同 BAS 场景
43、下配套的周期报告服务;本项目涉及的场景有:钓鱼演练、威胁情报、邮件网关验证、WAF 验证、威胁防护、终端验证、数据安全验证等。联动方案:矢安科技攻鉴 BAS 支持和矢安科技觅影 EASM 进行联动,实现更贴合用户实际暴露场景的防护能力验证。例如,通过 EASM 发现企业 web 应用有哪些没有 WAF 防护、哪些 web 应用存在的服务和组件、哪些 web 应用已经存在 POC 扫描下已知的漏洞,将这些信息给到矢安科技攻鉴 BAS 可提供针对实际业务的防护验证、而非基于安全设备防护广度(包括不存在的 web 组件)的验证。客户价值基于项目前期需求、结合实际应用、以及集团用户内部沟通等场景,此项
44、目的实施具备以下客户价值:子公司纵深防护提升:通过集团总部解决因单点防护效果差导致整个纵深防护效果差的情况,集团总部针对各个子公司的防护设备进行体系且完整的验证整改提升的闭环后,各个分子公司的单点防护设备攻击手段覆盖率从过去低于 30%逐步提升到 80%+、各个分子公司的纵深防护能力(监控、研判、处置等)大幅度提升。超一半子公司实现主动防护:能力成熟度方面,通过不断优化安全能力,50%以上子公司,已经从过去“被动”安全转换到“主动”安全(采用集团统一纬度的评价体系,确定 50%以上分子公司符合主动安全能力),大幅度提升集团整体安全能力。30设备运维投入产出比:引入攻鉴技术对新采购安全设备实战效
45、果进行评估并作为筛选依据,降低了重复性安全建设、保证开箱即用的安全设备实战效果,实现更高的投入产出比、实现降本增效;安全防护基线提升:自动化、常态化安全评估验证大大降低人工成本,缩减了相应资金投入,防护能力的提升使得攻防演习中攻击队难度直线上升、提高了实战演练服务的产出价值(攻击队发现更深层次的安全隐患)。赋能业务部门创收:攻鉴的内部成功应用,大幅度提升了集团安全监控能力,同时集团以安全验证为技术核心,对其业务部门赋能增值服务模式,实现新的创收。0day 全集团快速验证:周期性的集团整体防护能力自动化评估验证手段,增加了全集团 0day 场景下,快速、一致的安全防护设备检测/阻拦能力验证的补充
46、。持续评估定义安全运营31某银行有效性验证案例该案例由知其安提供背景介绍当前我国金融行业业务已经高度信息化、自动化、流程化,为用户提供的所有服务和日常运营基本都依赖信息系统开展。而作为强监管行业,银行正常展业需要具备一定的信息化治理能力与信息科技风险管理能力。同样,作为信息化程度高,涉及业务与数据敏感,银行业也面临着严峻的内外部威胁。银行业网络安全工作起步较早,等级保护与监管部门的各类措施落实,已奠定了基于纵深防御体系的安全建设基础。通过持续的安全运营,定期开展渗透测试与攻防对抗模拟演练,银行业普遍已具备了较全面的技术、流程与人员整合的综合防护体系。痛点及需求在实际开展攻防演练或日常运营工作中
47、,总是存在因各类问题引发的业务资产未覆盖、设备常年失效而未知等较低级的安全防护失效点,导致整个防护体系的失守。公司已建立了完整的运维巡检的工作流程,也通过运维平台会实时监控设备运行状态。但在对过往安全失效情况进行追踪溯源后发现,大量因IT 或业务变更、人员操作不当、防护架构或设备存在缺陷等原因无法用现有能力或技术手段解决。而此类问题被纰漏多次后,安全防护的真实能力被受到质疑,且运营团队也面临较大压力。1、公司对已部署安全设备日常巡检通常是关注性能与设备运行状态,但仍会出现防护设备失效的情况。此外,众多安全设备的策略配置与使用过程中,难以保持安全能力持续生效,缺少手段保证“应检尽检、应查尽查、应
48、拦尽拦”。2、根据“以攻促防”的工作理念,公司定期会开展内部与外部的红蓝对抗演练,对产品也会持续开展渗透测试。另外,也会每年开展内控自查、风险32评估自查等动作对安全防护能力作验证,但这些手段都耗费资源较大,且不太适用与持续性的日常运营管理。3、在开展安全运营持续优化的工作时难以形成度量评价,安全防护整个状态与能力处于不可见的状态,运营日常工作缺少指导。领导层也多次提到对于安全度量的诉求,在治理与决策中安全无法提供可供参考的量化数据。落地方案根据客户的具体痛点与业务场景,分析当前的网络布防情况与运营体系进行了确认调研,并基于离朱有效性验证平台的能力设计了完整的验证方案。将基于实战模拟的攻击验证
49、用例结合各个不同的验证场景,对验证逻辑与架构进行部署搭建,通过全自动的闭环验证任务逻辑下,形成各种维度的数据产出支撑各个应用场景的实现。安全有效性验证落地方案应用场景 1:全网安全设备常态化监控巡检对外网的所有防护设备每小时执行 2 个验证用例(筛选设备能力可正常告警的用例),根据各个设备能否按设计预期进行阻断或告警,确认设备是否正常运行。将验证批次与验证结果进行统计分析后,可呈现基于防护能力验证的 持续评估定义安全运营33 设备失效告警联动 安全巡检任务状态看板应用场景 2:定期开展安全防护能力的能力评估根据不同的防护设备,每个月执行全量的安全能力验证用例,从独立的安全设备防护能力验证其有效
50、性,维持设备运行在预期的安全能力范围,避免因设备故障或性能问题、各类变更因素的影响、人为运营与操作失误等导致的防护能力降低。同时,结合验证结果与攻击模拟报文或负载原始报文,开展对验证情况的复核或问题的排查。业务连续性指标。通过数据接口将指标数据对接运维平台后可形成对安全防护设备更完整的监控。安全能力验证报告34应用场景 3:对互联网攻击面的持续性覆盖度验证通过公网验证机每月对所有的公网域名执行少量的验证用例,通过边界阻断的情况确认网站是否处于正常的安全保护下,对互联网资产建立攻击面管理能力,避免违规操作、运营不当、架构变更等导致的互联网业务未受任何保护就暴露在公网的情况出现。应用场景 4:基于