Gartner发布的2023年9大主要网络安全趋势时,将安全验证纳入到了主要趋势之一,Gartner认为,到2026年,将有超过40%的组织将依靠整合平台来运行安全验证评估。调研机构提出的新技术新理念时常推动网安产业发展,以攻击面管理技术为例,经过一年以上的技术沉淀,其已经成为助推产业发展的主流技术之一。
Gartner对网络安全验证(Cybersecurity Validation)的定义是:网络安全验证汇集了多项技术、流程和工具,旨在对潜在攻击者利用已知威胁暴露面的方式进行验证。支持网络安全验证的工具已取得重大进步,已实现可重复以及可预测评估环节的自动化,支持对于攻击技术、安全控制和流程的常规基准化分析。
安全方法论向新 安全验证加速升级
从企业的网络风险管理维度,研究机构不断优化迭代方法论,以加强不断变化的外因影响下的安全策略,如2023年Gartner更加关注可持续、平衡的网络安全计划,提出需要重新平衡实践,其中人员、流程和技术三者缺一不可,从而创建响应式生态系统,提升企业的安全弹性。
在SecOps 2023,华云安创始人兼CEO沈传宝以技术实践、实战攻防双重角度分析了进入数字时代以来企业面临的网络安全痛点,并指出当大量数字化业务暴露在外,企业的暴露面、攻击面、安全风险大量增加。因此,在数字化时代,网络安全必须被看见。
显然,数字时代企业传统的防护手段正在失效,需要重新调整安全策略,调研机构就认为具有持续性的网络安全计划需要解决技术安全能力在整个组织数字生态系统中更大的可见性和响应能力,在技术上也需要重组安全功能,以不损失安全为前提实现敏捷性。
Gartner给安全领导者的建议则是以攻击者思维排查网络风险,并确定优先级,在适当的情况下调整供应商产品组合,采用新的安全运营模型和架构方法,优化网络安全能力、一致性和有效性。其中,网络安全验证就是未来重要趋势之一。
沈传宝在SecOps 2023提出安全需要被看见包含两大层面,其一是防护目标需要被看见,其二是安全价值需要被看见。对应而言,如何看见目标看见价值,则可以用“安全验证”的方法来实现。安全验证不仅是未来技术创新发展的必然方向之一,且将向实战化和智能化方向不断发展。
从安全验证技术演变看华云安如何落地实践
2021年Gartner在安全趋势中提出入侵和攻击模拟(BAS),在Gartner定义安全验证时也表示,BAS即可视为一项验证工具囊括在安全验证这一整体趋势下。但实际上Gartner更加看重整合平台来交付的安全验证能力,这表明,安全验证不仅仅是BAS。
结合近年来华云安的技术发展,Gartner对于安全验证的预判也逐步得到验证:安全验证不仅仅是入侵与攻击模拟,其要求供应商应具备更加全面的能力,从而交付安全验证全面的安全量化状态,并解决好数字化转型当中的诸多场景化安全问题。
追溯理解安全验证技术发展,也给了我们很好的技术未来的应用指引。安全验证理论架构发展源于漏洞扫描到智能渗透,再到攻击模拟,而最终,安全验证将会以平台化多维能力持续发展。
SecOps 2023,华云安也发布了完整的平台化安全验证能力,其方案基于自身资产攻击面管理(CAASM)、外部攻击面管理(EASM)、入侵与攻击模拟(BAS)等产品为核心的,同时囊括华云安系统的安全服务体系,其中包括渗透测试即服务(PTaaS)以及红队服务(Red Team),以及其他原子化能力组成的整合型安全平台,从而为客户交付全面的安全验证能力。
可以看到,从调研机构对安全验证技术的早期定义,再到市场实践阶段每一种技术的具体落地应用,再到未来的大一统技术架构,华云安正通过自身的积累,加速理解技术方法论的落地实践。
安全验证技术能够做什么?这个问题华云安从攻击者视角出发,给出通过安全验证将提升的以下五大方面安全运营能力,其分别是安全攻击面、安全有效性、安全一致性、事件响应效率、安全成熟度改进。
具体理解为看见目标,看见风险,并通过有效性验证自动化评估现有安全措施是否有效,发现问题并解决问题,通过持续验证获得本身响应和成熟度上的全面提升。
以实战安全需求 更好地服务于业务
“Cybersecurity Validation 是指 Gartner 公司提出的一种安全验证服务,旨在帮助企业评估其安全控制措施的有效性和合规性。该服务包括安全控制评估、合规性检查、安全事件响应和安全咨询等方面。”以上是ChatGPT对安全验证技术的定义。
如果把不出事定义为网络安全保障的最高的目标,企业需要知道的是自己到底出没出事,不能用“不知道”来代表不出事,安全验证就是企业当前可选的创新型的兼顾合规,又面向实战的安全方法,从而评估解决有效性和合规性问题。
从企业一侧,通常实战一侧的数据要更具发言权,从华云安攻击面管理技术落地实践和实战攻防两端的数据来看,企业在数据安全、供应链安全等核心挑战上,欠缺全面的协调处置能力。
华云安的安全验证覆盖了完整的智能渗透、攻击模拟,战法扮演的安全验证能力,产品服务化方案将为客户带来深度挖掘完整攻击面的能力,提供整个网络杀伤链的可见性能力,并提供更加贴近数字化应用场景的安全验证策略,通过持续验证,企业也将获得全面监控和优化安全上的总体状态,帮助企业管理网络安全态势,从而平衡安全与业务之间不断变化的关系。
数字化时代的特点是技术迭代快,业务上线快,安全验证将满足数字化时代特点,平台化发展提供的原子化能力,一方面实现敏捷交付,同时也将是面向未来应用的重要基础。综合而言,平台化安全能力原子化发展的安全验证将成为未来企业建设网络安全的主要抓手,也是企业安全团队日常安全运营的重要部分,从而服务于业务,保障企业网络安全稳定运行。