此篇文章发布距今已超过725天,您需要注意文章的内容或图片是否可用!
邮发代号 2-786
征订热线:010-82341063
近日,永信至诚发布了面向安全测试评估领域的“数字风洞”产品体系。按照永信至诚董事长蔡晶晶的话说,“数字风洞”是网络靶场的发展形态之一。谈起网络靶场,业界首先就会想到测试平台,但对于“数字风洞”,在永信至诚看来,这并不是新造一个概念,一方面是数字时代对人、系统、数据的测试评估需求的强烈呼唤;另一方面,“数字风洞”面向的是更广、更多、更复杂的应用场景。蔡晶晶认为,数字时代下,网络空间需要“数字风洞”来对数字世界进行安全测试评估。无论是智慧城市、重要行业,还是政企单位,人员、系统、数据这些核心要素,都贯穿于其网络安全规划、运营和处置的整个生命周期。这些都将是基于“数字风洞”进行测试评估的对象。这些要素就像一个三阶的魔方,构成了复杂多变的网络安全场景。对这些形形色色的不同场景,永信至诚依托于过去八年多在网络靶场领域的技术积累,以及服务于上千家政企用户网络安全建设的实战经验,再结合面对的测试评估对象,总结形成了一套“3x3x3”的立体化模型。同时,现在的网络安全防护体系已不再仅仅以合规为目的,堆叠了再多的产品,也需要专业的服务才能让产品真正发挥作用。为此,蔡晶晶提出,为了让“3x3x3”模型真正有效,需要再融入“产品乘服务”的理念,将产品价值发挥到极致,最终形成一个“3x3x3x(产品x服务)”的算法,这是永信至诚总结了多年经验和实践,得到的一个“安全感公式”。这个公式体现在测试评估领域,就是“数字风洞”的价值所在:在各类场景中,通过安全测试评估帮助用户获得真正的安全价值,拥有安全感。在永信至诚高级副总裁李炜看来,数字化时代,安全测试评估已经成为企业安全工作必不可少的环节。例如,美国在DoD5000、DoD8500.1、DoDi8510.01中,均提出了网络空间安全符合性测试要求。国际的ISO22000、270001,国内的GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,都对不同层次的安全体系提出了不同的测试标准和要求。李炜表示,“数字风洞”作为网络靶场测试评估的重要形态,帮助用户对技术、产品、系统等查漏补缺,防患于未然,助力各行业在网络安全工作中实现合规的保障、风险的预控、标准的践行和投入的回报。那么,“数字风洞”在测试评估领域有哪些创新实践?能给用户带来哪些实际价值?对此,李炜介绍了几种常见的典型应用场景。第一是城市级别的用户,例如数字政府。我国于今年4月颁布了《关于加强数字政府建设的指导意见》,标志着我国数字政府建设进入了加速期。其中,构建数字政府全方位安全保障体系,强化数字政府安全管理责任是推进数字政府建设工作的重要抓手。数字政府包含了大量关系到国计民生的业务系统,各个系统之间数据交换频繁。当一个新单位的业务系统上线,必须在“数字风洞”里先进行测试,看清是否有未发现的漏洞等风险隐患。其次,这个系统能不能承受住实际业务环境的压力,也需要在模拟的真实网络环境中进行测试。再次,新的业务系统和其他已经上线的系统能否正常联动?联动的过程中会不会产生新的业务风险?这些也需要在一个仿真的环境中进行验证。以上是数字政府网络安全系统的规划阶段,“数字风洞”此时是一个深度检测测试平台,通过测试验证保证新的系统能够安全投入实际运营环境,避免“带病上岗”,给业务造成影响。到了运营和处置阶段,“数字风洞”则是一个仿真的演练靶场,通过对真实系统中的数据、人、业务进行攻防演练测试和评估,发现系统实际运营中潜在的风险,并做相应的处置和优化。此外,在实际运营中,系统经常要接受来自内外部的风险评估,而基于网络靶场的“数字风洞”可以让风险评估更加有效。以往的风险评估,有的环节必须通过技术检测才能找出问题,但受制于不同人的能力和经验,无论是漏洞扫描还是渗透测试,技术检测的结果往往并不统一。此时,“数字风洞”变身为一个风险评估平台,其关键作用是实现了技术检测各个环节的标准化,尽可能将人员的主观因素所带来的不确定性降低到最低,输出符合标准要求的高质量安全评估结果。第二个应用场景是大型行业。大型行业子分支机构众多,信息系统庞大复杂,业务更新频繁。按照行业要求,众多上线的新业务新系统,必须通过入网安评。尽管行业用户的IT建设大多非常先进,但安全投入不足的问题也是行业常态,在云原生、开发运营一体化(DevOps)已经广泛应用的今天,行业的网络安全部门每天可能都要面对大量需要上线的系统更新,仅靠自己的人力或者外部服务来进行安全检测评估,往往成了一个“不可能任务”。此时,“数字风洞”就化身为一个标准高效的安全检测平台,根据用户实际情况配置检测标准和具体对应指标,对每天上线的新业务新系统,进行标准化、自动化的入网安评,在几分钟之内就能对数百个系统进行半自动化的检测,其效率远非人力可比。系统上线后,安全体系对各类新型攻击譬如勒索病毒能否有效防范?这对用户其实是一个心里犯嘀咕的问题。到底能不能防住,通过应急演练就能看清。但应急演练不可能在真实的生产网络中进行,一旦失控后果不堪设想。“数字风洞”此时又是一个应急演练平台,根据真实的生产网络,模拟出一个包括系统运行流程、软件版本配置,甚至漏洞都一样的仿真环境,让用户验证系统的安全措施是否有效,例如技术手段和应急流程的效果如何,根据所发现的问题,帮助用户优化相应的安全机制、流程、策略,让这些风险不会在实际的网络环境中发生,做到防患于未然。同时,在实际工作中,安全往往难以量化。不出问题,安全部门经常被忽视,出了问题,安全部门又成了最大的“背锅侠”。安全能力、结果和成效如何评价?对这个行业广泛存在的痛点,“数字风洞”变成了综合评估平台,自动和其他系统的数据对接,将具体的工作结果通过量化的指标和算法,对安全工作的成效自动化地进行综合评估,包括人员的能力和贡献,算出一个评判数据,让安全的价值可以被评价,可以被“看见”。第三,“数字风洞”的测试评估对象不仅只有人、系统、数据,还可针对网络安全“任务”进行测试评估。这个任务可能是协同指挥、防御、检测、溯源反制等,一般有着明确的时间节点和任务要求,例如,业内熟知的重保关保,就是典型的网络安全任务。对任务该如何进行测试评估?真实的演练代价巨大,“数字风洞”的测试可以更好地实现任务效果的评估。这里的要点在于评估模型的各个指标都可以自定义,从而建立一个完全满足用户需求的、专门的任务评估平台,就像“彩排”一样,通过全周期全要素的检测,评估任务的可行性和存在的问题。到了真正执行任务时,各单位对自己所做的工作、对可能出现的问题了然于心,真正做到万无一失。第四个场景,则回到了永信至诚最擅长的赛事。赛事和测试评估有啥关系?李炜认为,赛事不仅是测人,而是面向人、系统、数据,面向规划、运营、处置不同周期的一种公开的测试评估活动。赛事让测试评估从封闭走向开放,让测试评估更加鲜活,不断衍生出新的应用场景。永信至诚打造的赛事不仅有CTF夺旗赛,还有模拟真实网络对抗的AWD攻防赛、针对人才能力评估的网鼎杯、面向信创的安全众测大赛、数据安全大赛、前沿的RHG机器人自动攻防大赛、仿真大型城市靶场攻防演习大赛、行业级运营场景演练等众多类型。很多赛事的测试评估目标,例如攻防类赛事,不能在实际的网络中进行,必须在相对可控的环境当中进行检验。这些不同类型的赛事,背后都是网络靶场和数字风洞的产品体系在支撑,反过来,永信至诚通过赛事的融合创新,不断探索出网络靶场新的亮点和应用模式。在上述的应用场景中,无论是测试平台、训练平台、仿真验证平台、研究平台、竞赛平台、实训平台等,最后的原点都是回到测试和评估。网络安全行业对测试评估的价值认知在提升,数字时代对测试评估的需求在提升,所以有了“数字风洞”这一网络靶场形态的落地。李炜强调,“数字风洞”产品体系的发布,最根本的推动力来自永信至诚的实践认知和用户的教育。用户需要一个模块化的测试评估平台、需要一个标准化的测试评估流程、需要可精细化定义的测试评估任务、需要多种多样的测试评估工具插件,这样一个集大成于一体的测试评估平台,就是“数字风洞”。永信至诚多年来网络靶场的技术、场景积累推动了“数字风洞”的诞生,“3x3x3x(产品x服务)”的立体化模型给了“数字风洞”大展拳脚的千千万万个空间。李炜表示,“数字风洞”不仅能测安全,也能测性能,所以,“数字风洞”未来不仅是网络安全体系的基础设施,甚至是整个数字化体系的基础设施。作为面向全场景、全要素、全生命周期的安全测试评估解决方案,化身万千的“数字风洞”,将给网络空间持续带来安全感。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网
还没有评论,来说两句吧...