导 读
复杂多变的国际局势加剧了国家间的数字冲突。党的二十大报告明确提出:“以新安全格局保障新发展格局”。而筑牢网络安全防线是打造新安全格局的重要一环,更是构建新发展格局不可或缺的保障。在政策和市场的双重驱动下,在网络安全产业蓬勃发展的背后,则是网络安全防护能力的全面提升。在今年的世界经济论坛(WEF)的《全球风险报告》中,网络安全再次被确定为对世界的主要短期和中期威胁。Marsh欧洲大陆风险管理负责人Carolina Klint强调网络安全是一个特别严重的商业威胁:“近年来攻击的加剧意味着网络威胁现在的增长速度超过了我们有效预防和管理它们的能力。”
为了应对千变万幻的网络攻击,企业采取了千防万护的安全手段,在产品/服务/制度流程等方面建立了应对方案。然而,每年还是有知名企业因为重大安全事件遭受重大损失。借鉴于军事领域红军与蓝军的对抗演习来提升实战能力(验证攻击也同样验证防守)的数据量化方式。进而演化而来的安全验证技术,经过多年实施及发展,已然成为一项比较科学、接近实战且具备全面性的安全防御能力量化的方法。
什么是安全验证?
安全验证(Security Validation)领域在全球Cyber Security市场是一个全新的方向,它是入侵与攻击模拟(BAS-Breach & Attack Simulation)的进一步发展与扩充,入侵和攻击模拟(BAS)工具旨在确定安全防御手段是否能够检测并响应攻击。BAS通过模拟攻击场景来测试安全性能,并提供安全防御手段执行情况的分析。
Gartner将BAS技术定义为“允许企业使用软件代理、虚拟机和其他手段,持续、一致地模拟针对企业基础设施的整个攻击周期(包括内部威胁、横向移动和数据外泄)。”2021年11月,Gartner公布的2021年前八大安全与风险趋势(图一),BAS位列第7位,Garnter认为这将是一个新兴的安全领域细分市场,将为验证企业的安全防御手段、测试他们防御外部威胁的能力,完善他们的安全防御体系赋能。
在Gartner最新发布的2023年9大顶级网络安全趋势中,“网络安全验证”成为了用于验证潜在攻击者如何利用已识别的威胁暴露的技术、流程和工具结合在一起的强有力手段。网络安全验证所需的工具在自动化可重复和可预测的评估方面取得了重大进展,使攻击技术、安全控制和流程能够定期进行基准测试。趋势预测到2026年,超过40%的组织,包括三分之二的中型企业,将依靠整合平台进行网络安全验证评估。
企业安全建设现状与难题
深究之下,越来越多的难题呈现在了企业面前:
1.客户的安全建设投资和人员投入不能代表实际的防护效果,现今安全防护是否有效基本上都是基于假设:
假设安全产品的功能和厂商宣传一样
假设安全产品正确部署并基于最佳实践进行配置
假设安全运营人员用正确的流程处理了安全事件
假设安全运营人员对IT环境变化有正确的理解、更新和实施
2.CISO和运维人员很难回答如下问题:
1) 我们现在的安全防护能力怎么样,怎么来验证你说的防护能力?无量化数据佐证。
2) 最近某个黑客组织/勒索软件集团好像非常活跃,如果用他们最近的攻击手法对我们进行攻击,我们能够发现/阻止吗?攻击没来之前很难100%确定。
3) 最近A公司发生的攻击事件,我们能够抵御么?攻击没来之前很难100%确定。
4) 我们可以在什么地方缩减预算,什么地方增加预算,依据是什么?无数据(基于攻击者视角)显示什么地方是防御弱点。
5) 怎么来证明安全防御比之前更有效、更健壮?无防御攻击的数据进行历史对比。
3.以往渗透测试评估会面临如下问题:
1) 人员水平参差不齐
2) 周期短无法持续(内部自有渗透人员除外)
3) 能展示的攻击手法局限于人员水平和时间限制
4) 无法有效记录攻击队操作日志,有可能对真实系统和网络造成破坏
5) 更多以针对目标系统或应用发掘漏洞为主,并不验证安全防御体系是否能防住
4.以往攻防演练会面临如下问题:
1) 攻方人员水平参差不齐
2) 周期短无法持续(最多一季度一次,或每年护网前一次)
3) 能展示的攻击手法局限于人员水平和时间限制
4) 防守方的安全运维方式与日常有极大的不同
5) 攻方不使用破坏性动作和具破坏性的恶意软件,因此不能真实验证防守方的工具
安全验证的必要性
针对上述问题的灵魂拷问,面对当前的安全形势,不论企业的安全建设现在达到什么的高度与覆盖度,都应该以攻击者视角来审视自己的安全防御体系了,不能再以过去防守者的视角和经验进行安全建设了。而“安全验证”产品则正是基于解决以上问题的必要性而出现,它使用真实攻击手法进行模拟来持续验证企业安全防御体系防护效果的新型安全产品,可以让企业通过实战做到知彼也更知已,最终提高安全防御体系的整体防护能力。
安全验证的紧迫性
公安部第三研究所信息网络安全公安部重点实验室勇担网络安全的重大使命,多年来一直注重打造面向未来为核心的网络安全能力体系的建立,以全面提升企业实战防护实力,目前推出了以衡量组织网络安全韧性为出发点的网络安全实战能力评价工作,为健全网络安全治理体系提供有力支撑,推动网安产业高质量发展,护航数字经济健康发展。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...