利用安全验证提升组织网络安全韧性

导读

本文主要介绍了在当今互联网时代，网络安全问题变得越来越突出，各种恶意攻击层出不穷，因此进行安全验证对于网络安全显得尤为重要。文章将从以下几个方面进行深入探讨：

1）安全验证的定义和作用；

2）企业安全建设中的困难与思考；

3）安全验证的紧迫性与必要性分析。

● ● ●

复杂多变的国际局势加剧了国家间的数字冲突。党的二十大报告明确提出：“以新安全格局保障新发展格局”。而筑牢网络安全防线是打造新安全格局的重要一环，更是构建新发展格局不可或缺的保障。在政策和市场的双重驱动下，在网络安全产业蓬勃发展的背后，则是网络安全防护能力的全面提升。在今年的世界经济论坛(WEF)的《全球风险报告》中，网络安全再次被确定为对世界的主要短期和中期威胁。Marsh欧洲大陆风险管理负责人Carolina Klint强调网络安全是一个特别严重的商业威胁：“近年来攻击的加剧意味着网络威胁现在的增长速度超过了我们有效预防和管理它们的能力。”

为了应对千变万幻的网络攻击，企业采取了千防万护的安全手段，在产品/服务/制度流程等方面建立了应对方案。然而，每年还是有知名企业因为重大安全事件遭受重大损失。借鉴于军事领域红军与蓝军的对抗演习来提升实战能力（验证攻击也同样验证防守）的数据量化方式。进而演化而来的安全验证技术，经过多年实施及发展，已然成为一项比较科学、接近实战且具备全面性的安全防御能力量化的方法。

什么是安全验证？

安全验证（Security Validation）领域在全球Cyber Security市场是一个全新的方向，它是入侵与攻击模拟（BAS-Breach & Attack Simulation）的进一步发展与扩充，入侵和攻击模拟（BAS）工具旨在确定安全防御手段是否能够检测并响应攻击。BAS通过模拟攻击场景来测试安全性能，并提供安全防御手段执行情况的分析。

Gartner将BAS技术定义为“允许企业使用软件代理、虚拟机和其他手段，持续、一致地模拟针对企业基础设施的整个攻击周期（包括内部威胁、横向移动和数据外泄）。”2021年11月，Gartner公布的2021年前八大安全与风险趋势（图一），BAS位列第7位，Garnter认为这将是一个新兴的安全领域细分市场，将为验证企业的安全防御手段、测试他们防御外部威胁的能力，完善他们的安全防御体系赋能。

在Gartner最新发布的2023年9大顶级网络安全趋势中，“网络安全验证”成为了用于验证潜在攻击者如何利用已识别的威胁暴露的技术、流程和工具结合在一起的强有力手段。网络安全验证所需的工具在自动化可重复和可预测的评估方面取得了重大进展，使攻击技术、安全控制和流程能够定期进行基准测试。趋势预测到2026年，超过40%的组织，包括三分之二的中型企业，将依靠整合平台进行网络安全验证评估。

企业安全建设现状与难题

企业面对全球化的网络挑战以及更多威胁，必须增强自身弹性，不仅要关注自己的内部资产，还要关注他们供应链中的漏洞。因而，企业不得不使用越来越多的安全产品，建立更加完善的安全规章制度，搭建完备的安全运营攻防及渗透等团队、制定安全事件响应流程等等，而且每年还要花重金来打造、升级、完善安全防御体系。即便如此，企业信息安全事件还是层出不穷，给企业造成的损失依然居高不下，并有继续快速增长的趋势。

深究之下，越来越多的难题呈现在了企业面前：

1.客户的安全建设投资和人员投入不能代表实际的防护效果，现今安全防护是否有效基本上都是基于假设：

假设安全产品的功能和厂商宣传一样

假设安全产品正确部署并基于最佳实践进行配置

假设安全运营人员用正确的流程处理了安全事件

假设安全运营人员对IT环境变化有正确的理解、更新和实施

2.CISO和运维人员很难回答如下问题：

1) 我们现在的安全防护能力怎么样，怎么来验证你说的防护能力？无量化数据佐证。

2) 最近某个黑客组织/勒索软件集团好像非常活跃，如果用他们最近的攻击手法对我们进行攻击，我们能够发现/阻止吗？攻击没来之前很难100%确定。

3) 最近A公司发生的攻击事件，我们能够抵御么？攻击没来之前很难100%确定。

4) 我们可以在什么地方缩减预算，什么地方增加预算，依据是什么？无数据（基于攻击者视角）显示什么地方是防御弱点。

5) 怎么来证明安全防御比之前更有效、更健壮？无防御攻击的数据进行历史对比。

3.以往渗透测试评估会面临如下问题：

1) 人员水平参差不齐

2) 周期短无法持续（内部自有渗透人员除外）

3) 能展示的攻击手法局限于人员水平和时间限制

4) 无法有效记录攻击队操作日志，有可能对真实系统和网络造成破坏

5) 更多以针对目标系统或应用发掘漏洞为主，并不验证安全防御体系是否能防住

4.以往攻防演练会面临如下问题：

1) 攻方人员水平参差不齐

2) 周期短无法持续（最多一季度一次，或每年护网前一次）

3) 能展示的攻击手法局限于人员水平和时间限制

4) 防守方的安全运维方式与日常有极大的不同

5) 攻方不使用破坏性动作和具破坏性的恶意软件，因此不能真实验证防守方的工具

安全验证的必要性

针对上述问题的灵魂拷问，面对当前的安全形势，不论企业的安全建设现在达到什么的高度与覆盖度，都应该以攻击者视角来审视自己的安全防御体系了，不能再以过去防守者的视角和经验进行安全建设了。而“安全验证”产品则正是基于解决以上问题的必要性而出现，它使用真实攻击手法进行模拟来持续验证企业安全防御体系防护效果的新型安全产品，可以让企业通过实战做到知彼也更知已，最终提高安全防御体系的整体防护能力。

安全验证的紧迫性

当然，企业在长期安全建设过程中，势必会摸索出一条适合自己的道路与方法，并且这种方法可能长期让企业安全维持在一定的水位。但风险日新月异，威胁始终在变，如果对自家安全防御能力没有十分清晰量化的认知，则代表过往的安全不排除有幸运的成分。

师夷之长技以制夷，因此企业有必要持续对其整体安全防御成熟度进行技术验证，以攻击者视角在安全运营过程中，对企业各个安全维度所有潜在风险进行细致考察，以及应用必要的技术验证措施，识别防护手段的有效性，分析现有态势，让企业更为科学有效地评估自身实战能力，进而进行优化与补强，构建可持续的安全运营体系。

● ● ●

公安部第三研究所信息网络安全公安部重点实验室勇担网络安全的重大使命，多年来一直注重打造面向未来为核心的网络安全能力体系的建立，以全面提升企业实战防护实力，目前推出了以衡量组织网络安全韧性为出发点的网络安全实战能力评价工作，为健全网络安全治理体系提供有力支撑，推动网安产业高质量发展，护航数字经济健康发展。