5月30日下午,由华云安发起的2023网络安全运营技术峰会(SecOps 2023)在北京举行。本届峰会以“持续验证 看见安全”为主题,聚焦数字时代下网络安全运营技术演进方向与最佳应用,借助创新技术来“看见”复杂难测的数字资产,动态感知外部威胁,进而审视自身弱点,验证安全防御的有效性,以期全面提升安全防御能力。十余位行业权威专家学者、甲方安全专家共同围绕网络安全运营最前沿的技术与应用,分享了自身的观察与最佳实践。
安全419注意到,随着各行业数字化转型的加速,企业用户的业务模式、IT基础设施都发生了巨大的转变。在这样的趋势下,安全厂商们也正在努力寻找一个新的支点来撬动用户的痛点需求,而帮助用户打造标准化的安全度量体系,似乎正在成为一个新的方向。
业内众多安全厂商们都在基于自身的能力积累,从自身维度和视角,通过XDR、网络靶场、BAS入侵与攻击模拟等不同的路径去尝试帮助用户更清晰地透视当前自身的安全现状,使用度量的结果了解真实的投资回报,持续量化安全的价值并推动安全水位的提升。
在题为“持续验证、看见安全”的主旨演讲中,华云安创始人兼CEO沈传宝除了分享华云安一年多以来对攻击面管理技术演进的新理解和新实践外,也重点分享了华云安在安全验证和安全度量方面的探索,论述了安全有效性验证与攻击面管理的必然联系,并诠释了自身对整体安全行业发展趋势的思考和洞察。
数字化时代 持续验证方能看见安全
沈传宝谈到,2022年华云安在全国范围内参加了百余场攻防演练活动,梳理了30万以上的外部互联网资产,发现当中有相当大比例的资产不在客户的视野范围内。从攻防演练的结果来看,在漏洞风险、数据安全、供应链安全和勒索软件环伺下,当前全网网络安全态势仍不容乐观。
随着数字化转型进程的不断深入,大量数字化的业务暴露在互联网上,随之而来的暴露面在增加,攻击面在增加,安全风险也在增加。因此华云安认为,在数字化时代,网络安全必须被看见,被看见才能够保证安全。
沈传宝解释到,“看见安全”主要包含两层含义:
首先是安全保护的目标需要被看见。“我们保护了什么?我们安全的目的是什么?如果我们连我们保护的是什么都搞不清楚的话,是很难保护我们的安全系统的。”
沈传宝认为,过去网络安全行业保护的目标绝大多数是IT、网站、Web应用。而在数字化时代,随着数字化转型的加速,IT基础架构发生了重大变迁,云、容器、工业控制传感器成为全新的底层基础设施,需要保护的目标已经从IT和网络进一步拓展到数字化的资产,包括API、小程序、摄像头、传感器、身份信息、数据泄露信息、用户凭证等等,都是亟须加以保护的目标。因此,面对前所未有的风险,安全保护的目标必须要被看得见。
其次是安全防御的效果需要被看见。网络安全保障的目标是“不出事”,到底是没出事,还是出了事而不知道?
沈传宝认为,想要回答这一问题,企业就应当以安全验证的方式持续验证安全的措施、手段和技术是否真的有效。持续验证有三个目标:第一验证攻击面,验证网络资产可见性、安全漏洞、配置缺陷、不当权限等;第二验证安全防御的有效性,验证评估现有安全控制措施是否可以检测和阻止安全攻击;第三验证安全一致性,持续验证和评估安全工具配置、检测分析预期的一致性。
这也正是SecOps2023华云安提出的主题:持续验证,看见安全。华云安认为,面对更复杂的安全威胁,应以“看见”之力洞悉威胁暴露面,感知风险,持续“验证”安全防御有效性,于攻防之中重塑安全运营的价值。
攻击面管理 已成为安全验证的最佳应用场景
沈传宝强调,站在攻击者视角,未来一定是实战化和智能化的时代,安全验证注定是未来的重要方向。
Gartner将网络安全验证定义为:网络安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已识别的威胁暴露面,来测试安全防御系统和安全机制的反应。他表示,实际上从安全验证发展的脉络来看,从早期漏洞扫描技术,逐步发展到智能渗透技术,到最近比较热门的BAS入侵与攻击模拟技术,再到网络安全验证技术的整个过程,是一脉相承、逐步演进的结果。
智能渗透在原来漏洞扫描的基础上,用自动化和智能化的技术,来测试和验证目标的安全性。BAS入侵与攻击模拟形成了体系化的方法论,站在攻击者视角来验证网络安全防御机制、安全设备以及有效性。在安全验证的角度来看,不仅仅要做攻击者视角的安全模拟,还要验证系统安全防御的有效性,持续提升整体安全能力。Gartner也在2023年网络安全发展趋势的报告中预测,到2026年将会有40%的大型组织采用网络安全验证技术,用来对整个网络体系进行统一的安全评估。
“站在全球安全技术发展的视角,BAS入侵与攻击模拟最早在2017年左右在业内被提出,但随后几年中热度慢慢降温,其根本原因就是没有找到很好的落地场景。但是当攻击面管理技术诞生后,特别是攻击面管理逐步延伸到持续的暴露面管理的层面后,安全验证便成为了一个明确的目标。”
他表示,早期的BAS入侵与攻击模拟是站在攻击者视角来模拟测试网络安全体系的单一技术,而华云安将BAS入侵与攻击模拟与攻击面管理技术进行联动后,便形成了一套完整的方法论:以安全验证的技术和手段来验证安全有效性和安全的价值,这将是一项面向未来的技术发展方向。
华云安认为安全验证应该分为5个层面:
第一,安全攻击面验证,验证攻击面的真实性,攻击面评估包括资产可见性、错误配置、补丁修复等,从攻击者角度评估可利用的威胁。
第二,安全有效性验证,评估当前已采购安全设备的有效性,自动化地评估现有安全控制措施是否可以检测和阻止来自攻击者的行为,
第三,安全一致性验证,验证预期目标与实现目标之间的一致性,分析能力、感知能力和响应能力的一致性,持续地验证和评估安全工具配置分析、检测效率以及对抗性的威胁模拟,发现问题并改进。
第四,事件响应效率验证,对事件响应机制的及时性和有效性进行评估,衡量检测、调查和响应的时间。以攻击者的视角来看待,一旦发生攻击者事件之后,响应速度、响应能力是否能够达到目标。
第五,安全成熟度持续改进。详细的验证评估结果呈现系统的优势和差距,持续地改进安全管理体系,帮助运营方提升改进安全能力。
沈传宝提出,最终安全验证的目标,一定是为企业提供一套完整的、可量化的,评估企业安全风险整体态势的安全体系。以及在验证结果相悖的状态下,指导用户如何更好地服务于业务和安全的需求。
华云安持续影响攻击面管理技术发展
沈传宝表示,过去国内网络安全市场各条技术赛道,通常是在海外安全市场得到初步价值验证后,国内安全厂商才会逐步跟进实践并打磨相关技术产品。而攻击面管理作为一个全新的技术领域,尽管国外安全市场涉足时间虽然会比国内稍早,但真正的爆发基本上是在2022年,可以说国内外安全企业的攻击面管理基本站在同一起跑线上。
自去年5月份以来,攻击面管理在业内发展速度十分迅猛,目前已有超过20家安全厂商进入这一技术赛道,共同推动了攻击面管理赛道的繁荣。
在沈传宝看来,作为一项更偏场景、应用和需求的技术,攻击面管理解决的问题是在不同场景下先于攻击者一步找到暴露面。而中国网络安全应用场景远比海外更加丰富,包括互联网应用、电子商务、游戏等等场景都远超国外;从国家关键信息基础设施的维度上,在全球范围内中国关键信息基础设施的数字化水平已站在世界前列,能源、电力、通信、交通等等各个行业中都存在大量的应用场景,给予了中国攻击面管理技术成长的优质土壤。
作为国内攻击面管理领域的领跑者,华云安已经基于用户的场景化需求打造了攻击面管理整体产品解决方案,包括定位于内部资产攻击面管理的灵洞·网络资产攻击面管理(Ai.Vul),定位于外部资产攻击面管理的灵知·互联网监测预警中心(Ai.Radar),定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟(Ai.Bot):
• 内部资产攻击面管理,主要提供内部资产的可见性,解决漏洞的问题。通过 API 与现有工具集成来管理所有资产,查询整合的数据,确定漏洞的范围和安全控制方面的差距。
• 外部攻击面管理,通过外部视角来发现面向互联网的企业资产、系统和相关漏洞,如服务器、凭证、公共云服务配置错误和可能被利用的第三方软件代码漏洞等。
• 入侵与攻击模拟,入侵与攻击模拟技术,通过测试系统检测和阻止模拟攻击的能力来验证系统的安全状况。使安全服务商或企业能够更好地了解业务系统等安全态势。
• 渗透测试即服务,本质上是通过渗透测试的方法远程对系统进行安全测试。PTaaS 简化了测试流程和管理,更加轻量级、实时且持续。
• 红队服务,攻防演练和红队服务,采用人工服务的方式,以攻击视角进行安全测试。随着技术的演进,自动化渗透测试工具增强了现有的渗透测试和红队能力。
自2022年以来,华云安在国际、国内权威机构发布的攻击面管理相关报告中展现出产品实力、品牌实力均处于行业一线水平。在一定程度上,华云安对攻击面管理技术的思考、方法论和技术实践,已经在持续影响着国际上对攻击面管理的认知和发展。在这样的发展趋势下,中国攻击面管理厂商或将有望率先走向规模化落地,走向全球安全市场的前列。