每周社群总会有很多的话题和方向，准备不定期简单记录分享一些。

ASM为什么火

ASM火起来了，但是火得莫名奇妙，大家都不知道其中的原因，我的观点是因为政策、合规和行业发展。

美国政府是世界上最大的商品和服务买家，对于安全也是。美国政府的优先级是云，所有的政府机构IT架构全面拥抱云，白宫的指示明确指出：“在进行任何新投资之前需要先评估云计算的安全、可靠性”，厂商要和美国政府做云计算生意，伴随的是相应的合规，而FedRAMP（联邦风险和授权管理计划）正是美国政府专门针对云合规的安全计划 ：）

去年关于ASM有两个值得注意的事，一是IBM宣布计划收购领先的攻击面管理(ASM) 厂商Randori，另外一个是Tenable与微软云的战略合作。一家是新兴ASM厂商，一家是老牌ASM厂商，巨头的战略都是为了云安全：）

其中值得注意的是，Tenable是唯一一家获得FedRAMP ATO（Authorization to Operate）授权的ASM厂商 ，而Tenable的核心的扫描技术一直与合规无缝绑定。

附上一个小例子，美国税务机构使用Nessus进行合规扫描：）

回到话题本身，云安全成了所有云供应商和大客户生意的一道坎，你说ASM会不会火：）

安全可证明

这个话题源于安全行业风投分析师的2篇文章：

《The rise of security engineering and how it is changing the cybersecurity of tomorrow》- https://ventureinsecurity.net/p/the-rise-of-security-engineering

《Future of cyber defense and move from promise-based to evidence-based security》- https://ventureinsecurity.net/p/future-of-cyber-defense-and-move

分析师的观点认为随着安全预算的增加，企业开始要求证明安全的钱花得值，企业会发现安全的支出与保护之间没有直接关联，花费巨额安全支出的组织机构仍然会遭到黑客的成功入侵。于是企业开始要求安全厂商不仅仅是只有承诺，还应该提供保证安全的证据。

大家的焦点都放到了分析师给出的符合Evidenced-based Security(基于证据的安全）方向的厂商，这些热门方向包括了：

• 欺骗防御（软硬件、云方案）

• 端点管控远程部署（主要针对Windows端点的软件包部署）

• 数字取证和事件响应（热点，包含最近流行的迅猛龙项目）

• SOAR（一系列自动化编排及安全工作流解决方案）

• BAS（热点，攻击模拟验证，投资人的热点，符合安全可证明的概念）

• 威胁检测规则社区（热点，面向甲方安全团队，将威胁检测规则作为一种透明、共享和可交易的产品，并形成威胁分析师的社群）

• XDR能力集成平台 (各种DR开源和闭源集成方案，偏定制化)

• 大网、互联网资产威胁情报（包含灰色噪点这样的热点大网威胁情报公司）

• ASM（涵盖资产测绘、漏洞扫描、云安全扫描等）

• 统一身份认证和基础设置身份认证解决方案

• 传统的日志数据管理及解决方案

• 基础设施安全DevSecOps

• 威胁知情管理（热点，主要是针对安全产品数据进行治理，给出解决方案，针对XDR、SEIM等平台的安全数据和安全告警进行优化和关联分析，配套威胁知识管理）

...

回到话题本身，2023年安全行业的新风向会是安全可证明么，不管行业乐不乐意，但至少资本起了兴趣 ：）