数世咨询:《原子化安全能力平台白皮书》发布
²报告编号:DWC_WB_2023003
²主笔分析师:靳慧超·首席战略分析师
²分析团队:数世智库·数字安全战略研究院
²报告审核:李少鹏·首席分析师
将安全能力以原子化的形式提供,每一个安全能力原子只完成一个最小化且有意义的安全控制或者操作,通过对商业系统应用的逻辑与流程匹配,根据不同场景、用户群体或特殊要求,共享安全数据并且持续、动态编排安全能力,组合成为匹配业务逻辑和管理流程的安全功能,真正实现符合业务特性的安全能力。
云原生原子化安全能力平台,是现阶段实现安全能力原子化的最佳方式,通过云原生可以在充分利用云计算算力的同时满足行业用户在数字化转型过程中面临的安全能力敏捷、弹性、按需供给的需求,适配商业系统私有化、云化、多云部署的复杂环境。
作为我国数字安全领域的第三方调研与咨询机构,数世咨询愿承担历史使命,同产业界一起,以最佳实践和创新应用引领产业发展,携手解答数字时代和业务实践提出的中国数字安全问题,为协助国家推动构建人类命运共同体贡献产业力量。
关键发现
● 云计算的进化方式就是服务能力的不断原子化。从虚拟机到容器、从微服务到Serverless,计算和应用基础单元都在变得更加简单,最终实现了FaaS的服务能力。
● 原生安全意味着安全与IT基础设施和业务应用之间是无缝对接的,除了IT基础设施提供必要的原生安全能力外,专业化、个性化的安全能力也要求与业务应用运行在相同的环境中、使用相同的底层技术。只有在原子层级相融,功能层级才能原生化,才能保证安全与业务的真正融合,才能实现安全与业务的同步规划和同步建设。
● 安全能力原子化的核心思想是离散式制造、统一式交付、集中化管理、智能化应用,而原子化安全是安全能力原子化的一种实现方式。
● 原子化安全的终极目标是“简单、灵活、开放、智慧”,最终达到持续、动态的安全状态。
● 根据原子化安全的核心思想以及商业市场的最佳实践,威胁检测与响应领域是现阶段,最适合并且可行性最高的实现原子化安全的方向。
1 数字安全趋势分析
安全技术的演变是随着社会、经济和科技的发展而不断进行的,不同时代的安全技术反映了当时社会文明程度、经济体量和科技实力的状况。
结合我国国情,我们可以从不同时代的不同产业状况中,感受到国家对于网络空间安全的战略转变以及产业发展的核心路径,并尝试推测未来的发展趋势。
早在世界大战时期,通信信号的加解密就成为国家安全的核心攻坚技术。网络安全天然具备密码技术与国家安全的双重属性,发展的核心变量为政治导向与经济趋势。就现代社会而言,具数世咨询观察,中国网络空间安全时代的变迁大致经历了以下几个阶段:
从时代的变迁中可以得知,在人类赖以生存的物理世界之上,我国在数字产业化、产业数字化方面的壮举和成果切实推动了虚拟世界的实质性进展。而进一步数实融合的战略方向,必然使得物理世界与虚拟世界的界限更加模糊,从而进入数字世界。
数世咨询认为,数字世界的安全,即数字安全,内涵是以网络安全为基础手段,以数据安全为核心价值,来保障数字世界的稳定运行和活动秩序。
数字安全的特性决定了其必然要与人类生产和生活方式融合,在这种技术和安全相互交互的环境下,只有安全能力原子化才能对数字世界提供有效的安全保障。
因为数字安全与网络安全最明显的区别在于两点。一是前者以保障数据流动的安全为核心,而后者则是以保障网信系统的安全为核心。二是前者更多的与业务运营进行融合,后者则主要是与信息环境的贴合。
数字安全不仅要贴合于信息系统和业务应用,抵御针对网络和数据的安全威胁,更重要的是不断深入的扎根在业务逻辑和管理流程当中。因为数字经济的蓬勃发展带动了数字化业务的激增,而个性化和专业化是提升数字化业务服务体验的核心。在千人千面的应用场景要求下,同一个网络环境或者数据元素可能同时具备多种不同的安全需求,这就要求数字安全必须能够适应这种业务特性的变化。
与传统安全思路不同的是,数字安全风险不仅存在于网络架构和攻防对抗方面,更多的是在业务应用的过程中发现的,安全作为一项服务的同时也在逐渐成为一个核心业务。数字安全要真正实现“统筹发展与安全”的目标。
2 原子化安全分析
2.1 安全能力原子化来源
安全能力原子化是符合人类社会和经济发展规律的必然趋势。综合来看,安全能力原子化的来源有两方面重要因素。
一方面是因为互联网技术的发展改变了人类的生产与生活方式,但这种改变的决定性因素并不是互联网技术本身,而是人类对于多场景、多体验的需求。需求驱动了创新,创新带动了发展,发展催生了更多的需求。
从1995年开始,中国诞生“Z世代”,是互联网的原住民,他们追求个性化、尊重专业化、看重体验性。2021年全球正式进入数字时代,“Z世代”也逐渐成为了社会的中坚力量,这种百花齐放的不同应用需求与数字世界的发展完美契合。
上文已经提到,数字安全必须能够匹配个性化、专业化的数字化业务,满足多场景、多用户群体的不同安全需求。要想适应这种业务特性的变化,安全能力就需要具备更小的颗粒度,正所谓“只有极度简单,才能终极复杂”。
我们已经得到一种共识,就是网络安全没有银弹。网络攻防不存在杀手锏,道高一尺、魔高一丈。数字安全更不可能一招鲜吃遍天,不同业务场景、客户群体、行业特性,需要不同的安全能力进行精确防护。
另一方面是因为数字世界中安全威胁的发展与变化促使了安全防护的提质升级,传统的安全防护思路与产品正在经受着新型安全威胁的折磨,面临史无前例的巨大挑战。IT架构的变化、通讯协议的更替、终端设备的升级以及人类工作与生活方式、思维的转变,所有的事实都推动了传统安全向原生安全的进化。
原生安全意味着安全与IT基础设施和业务应用之间是无缝对接的,除了IT基础设施提供必要的原生安全能力外,专业化、个性化的安全能力也要求与业务应用运行在相同的环境中、使用相同的底层技术。只有在原子层级相融,功能层级才能原生化,才能保证安全与业务的真正融合,才能实现安全与业务的同步规划和同步建设。
数世咨询认为,基于科技和人类发展的既定事实与趋势,数字安全需要转变根本思路,不能像过去的安全控制一样站在效率的对立面,而要顺着业务逻辑和管理流程,原生于信息系统和业务应用之中,而只有安全能力原子化才能实现安全能力原生化。
2.2 原子化安全概念
数世咨询认为,安全能力原子化的核心思想是离散式制造、统一式交付、集中化管理、智能化应用的,而原子化安全是实现安全能力原子化的一种方式。
安全产业是信息技术的伴生产业,信息技术的不断发展促使并要求安全技术的动态变化,新的IT架构、通讯方式、应用特性都存在新的安全问题,这就在根本上导致了安全产业的碎片化。在零散和碎片化中,没有任何一家厂商可以覆盖全部的安全能力,也没有任何一家厂商可以在不断的发展中维持高质量的持续创新。所以,顶级安全能力的提供,一定是最专业的厂商做最专业的一部分。
虽然安全能力的供应商是零散化的,但行业用户侧的安全防护却需要体系化。这就要求各种安全能力在完成自己功能的同时,还要与多源安全数据和能力进行协同,与行业用户的信息系统和业务应用融合。
在安全能力离散式制造完成后,通过一个统一的平台以体系化的形式交付给客户。客户在使用过程中,依靠自动化和智能化的方式,根据业务需要和场景特性来动态编排安全能力使之完全匹配不同的流程需求。
而保证各种安全能力高效协同的关键、保证平台与行业用户IT环境融合的关键,就是原子化安全的实现。原子化安全实现之后,安全不再是信息网络中的伴生属性,而成为了数字世界的基本属性。
2.2.1 原子化安全思想
数世咨询认为,原子化安全的终极目标是“简单、灵活、开放、智慧”,最终达到持续、动态的安全状态。
2.2.2 网络安全三元论
数世咨询在2020年首次提出网络安全三元论,在2022年进行更新迭代。网络安全三元论的核心逻辑为:
图1 网络安全三元论
原子化安全与网络安全三元论是一脉相承的。云原生模式和技术为原子化安全的基础环境,云原生有力支撑了现阶段原子化安全的实现。安全开发语言是原子化安全的基础设施,开发语言实现了安全能力的原子化(目前最小化安全能力原子为函数),解决了安全应用底层割裂的问题。业务应用为原子化安全的发展保障,多场景、个性化的数字化需求使得原子化安全具有现实意义。
2.3 原子化安全与云原生
科技发展已经证明,云计算的进化方式就是服务能力不断的细粒度化,也就是原子化。物理主机根据性能可以划分出一定数量的虚拟机;容器技术从操作系统层面实现了虚拟化,打破了容器数量的限制;微服务将完整的应用拆分成多个不同的功能服务,通过API的方式将不同语言、不同作用的微服务进行链接;Serverless将细粒度的微服务应用再次拆分,以基础函数的形式(FaaS)向用户提供服务。
从容器技术的诞生开始,云计算进入了云原生时代。云原生是原子化安全的承载环境,其支撑了原子化安全的实现,原子化安全又进一步增强了云原生的应用价值。所以云原生是现阶段原子化安全的完美载体,两者之间是相辅相成的关系。
具体到云原生安全,有两个方向。一是保护云原生环境、架构、系统、应用等自身的安全,这样的安全能力不一定是通过云原生实现的,但防护目标是云原生本身。一是使用云原生的模式和技术去输出安全能力,具备弹性、敏捷、轻量、可编排等特性,而这种能力不一定直接作用于云原生本身。
本报告讨论的是输出安全能力的云原生安全,对于现阶段的云原生原子化安全来说,核心关注点有如下几个方面。
2.3.1 微服务与XaaS
目前来看,虽然原子化安全的最小能力单元为函数,FaaS服务也已经有了一些应用。但是对于数字安全来说,在行业用户自身还不具备一定能力水平的安全团队的现状下,最小化原子安全能力并不是最佳选择。
能解决当下问题的、最小且有意义的原子化安全能力为微服务,而且这样的微服务至少要为行业用户提供一个完整的安全攻防逻辑实现或达到一个完整的安全防护功能效果。让行业用户在不借助其他应用或能力的前提下,可以单独使用这一个微服务完成一项安全能力部署。
与微服务类似,XaaS(一切皆服务)是另一种提供原子化安全能力的方式,但在我国的商业市场,XaaS的应用限制性相比微服务更大。因为我国现阶段采购需求最大的数字安全刚需行业用户为政府和国资企业,但其对公有云的模式还有一些规则和政策上的限制与顾虑,所以现阶段XaaS只能作为微服务的补充。
2.3.2 原子化安全能力对接与编排
编排调度需要将各种原子化安全能力,通过原子化接口(可以是API或K8s等云原生技术)按照预定的或者动态的逻辑、流程、剧本,进行形式化的表示,嵌入到业务流程或者安全运营中。
单项原子化安全能力可以完成一个完整的安全攻防逻辑实现或达到一个完整的安全防护功能效果,但完成系统化工作或需要协同其他原子化安全能力时,就需要编排调度的能力来进行整体逻辑的梳理和协调。
原子化安全的出现就是为了适应多场景、多用户群体的不同安全需求,编排调度能力就是完成这一项任务的核心。根据场景化和特性化的需求,将相关的不同原子化安全能力对接与编排,形成一个新的安全功能集合,以符合业务与管理流程的逻辑来解决这些安全需求。
2.3.3 AI人工智能
数字化业务的井喷使得企业网络流量激增,单靠人工来过滤、筛选安全信息是不可能完成的任务。而且信息系统和业务应用的安全状态或指标是实时变化的,要想实时的动态调整安全原子以适应安全状态或指标的变化,就必须要实现自动化,这样就少不了人工智能的深度应用。
原子化安全对人工智能应用水平的要求较高,需要具备一定的深度学习能力或知识图谱类逻辑推演能力。这就要求厂商需要具备优化的人工智能引擎和网络攻防经验的转化,精确、有效的学习数据和逻辑模型是关键,这也是安全厂商的核心壁垒所在。
2.3.4 安全数据开放
安全风险的预测、威胁的破坏性研判以及安全响应的方案制定都依赖安全数据的完备与精确。数据驱动业务,安全也不例外,安全数据质量的高低决定了原子化安全的动态性与有效性。
安全数据不止包括传统的威胁情报,还需要涉及新型的攻击手法、不可靠终端与环境以及间谍活动信息,还有行业用户信息系统和业务应用的资产、运行数据等等。
安全数据开放有两层含义。一是厂商自己创造或采集的安全数据与自己的安全原子打通共享,安全数据会呈现多样化并且不断丰富。一是产业生态中的安全数据向所有厂商的安全原子开放,安全数据通过互相的共享与分析,会爆发出更大的价值。
3 相关技术分析
上文中我们已经提到,原子化安全并不是凭空捏造的设想,它是符合人类社会和经济发展规律的必然趋势。纵观全球数字安全发展,其实已经很明显的显示出,面向未来的数字安全新思想和新方法,都在朝着细颗粒度进化,发展快速、弹性、精确的安全能力。
3.1 零信任
我们现在所讨论的零信任一般来说有两种来源。
一是John Kindervag所描述的零信任策略(ZT),核心是不信任所有的链接和输入,需要建立一种动态的信任模型来进行识别和授权,目的是通过改变信任模型减少内部人员滥用的诱惑,提高网络犯罪在得逞之前被发现的几率。
一是《NIST SP 800.207》所描述的零信任架构(ZTA),核心是信任从来不应该被隐式授予,而必须进行持续地评估。要消除对数据和服务的非授权访问,以及使访问控制的执行尽可能精细化。
图2 NIST零信任架构
归根结底,零信任其实就是身份验证与授权的原子化。使用原子化的安全控制手段来达到降低不确定性的目的,通过身份验证、合法授权和缩小隐含信任区域,同时最小化认证机制中的时间延迟来实现。同时访问规则被限制为最小权限,并且颗粒度要尽可能的小。
3.2 安全访问服务边缘
Gartner提出的SASE技术有四个主要特征,分别为身份驱动、云原生架构、支持所有边缘以及全球分布。SASE 架构的目标是要能够更容易地实现安全的云环境,不再将安全边界用硬件隔离在网络边缘,而是将边缘分布在企业需要它的任何地方,从应用势态、用户访问与数据交互的角度管理安全。
图3 SASE框架
从SASE的核心思想来看,其实就是安全计算能力的原子化。为了企业可以随时并且随处维持安全能力,通过安全PoP点的方式在近终端提供安全工具、技术、最佳实践等服务。将传统的集中性安全资源池拆分成一个个原子化安全能力和原子化接入PoP点,将安全计算能力细粒度化的同时也将访问流量最小化,将不同的安全能力灵活或者弹性的施加到靠近接入终端的PoP,来为企业员工不同的办公需求提供对应的安全能力。
3.3 网络安全网格架构
Gartner提出的网络安全网格架构(CSMA),以一种紧密集成、可扩展、高度灵活的方式,通过提供支持服务层来让安全工具之间有效协作。关键点是能够让任何用户和设备可以无边界感的安全访问或使用数字化资产。
图4 CSMA参考架构
从CSMA的核心思想来看,其实就是网络边界与安全能力的原子化。把传统的网络边界拆分成了原子化边界,每一个用户、终端都可以是网络边界。把传统的竖井化、孤岛化的安全能力拆分成原子化的形式提供,通过一张相互联通、相互协作的网络有机联系在一起,按需提供服务。
4 云原生原子化安全能力平台
从上文我们可以得知,原子化安全已经在全球范围内得到了认可和实践。根据数世咨询发布的《2022年度中国数字安全能力图谱》来看,在我国通过云原生的模式和技术来实现原子化安全的实践路径,目前在威胁检测与响应的安全方向上最为契合。如下图所示,该方向为体系框架分类-威胁检测和响应。
图5 中国数字安全能力图谱2022
根据原子化安全的思想,北京华云安信息技术有限公司(以下简称“华云安”)基于云原生模式和技术,打造了一个面向未来的、专注于攻击者视角的,集安全威胁与暴露面管理、检测和响应技术的新一代安全防御体系。其核心思想是通过一个安全平台,提供各种原子化的安全能力,为客户提供集主动防御能力、情报协同能力、溯源反制能力为一体的云原生原子化安全能力平台。
平台通过微服务的方式提供各种原子化安全能力,结合自动化编排和智能编排技术,将不断迭代的原子化安全能力交付给客户。基于微服务的原子化安全能力设计,充分考虑了弹性、冗余和高性能需求,原子化安全能力敏捷且易用。
图6 华云安云原生安全平台架构
平台技术架构有三大特性:
4.1 基于知识图谱的安全风险库(Ai.KG)
基于知识图谱的网络安全风险库(Ai.KG),是华云安具有自主专利技术的网络安全风险对象、属性和关系表示模型。通过全球部署的数据采集节点处理海量网络安全相关数据,融合处理网络空间、社会空间和地理空间数据,构建了威胁、资产、漏洞、载荷、战法、社工等数据的实体和关系,形成了一套庞大的网络安全攻防对抗知识工程。
风险库(Ai.KG)通过结合人工智能和行为模式匹配技术,不断地发现恶意活动,跟踪客户网络环境中的每个威胁。将强大的知识图谱和人工智能技术应用于网络安全,结合全球部署的节点数据采集能力、第三方威胁情报,帮助客户发现安全威胁,实现威胁管理可视化。
4.2 基于场景的人工智能引擎(Ai.Mind)
平台的核心是基于场景的人工智能对抗引擎(Ai.Mind)和面向云原生安全能力微服务、敏捷开发交付的DevSecOps和底层基础设施的容器化,能力原子化。
场景化人工智能引擎(Ai.Mind)是一系列应用于网络安全对抗防御的人工智能应用场景库。通过安全风险库(Ai.KG)提供的丰富的数据和情报信息,结合强大的漏洞挖掘、攻防对抗专家经验,使得将人工智能与攻防对抗相结合。
在防守者视角和场景中,基于海量威胁和攻击数据进行学习和训练,通过识别环境中的模式并应用复杂的分析,人工智能对抗引擎使我们能够自动标记异常模式并实时检测网络问题和网络攻击,对风险进行有效识别;在攻击者视角和场景中,结合强大的漏洞挖掘、攻防对抗专家经验,使得将人工智能与攻防对抗相结合,实现集目标分析、路径决策、智能调度于一体的场景化AI模型。
安全风险库(Ai.KG)作为人工智能技术应用的底座,将显著增强攻防对抗中的机器学习能力,知识图谱技术使能知识推理,让可解释人工智能成为了可能,推动网络安全人工智能技术从计算智能、感知智能向认知智能演进。基于知识图谱的风险库,有助于将人工智能引擎进一步演化出认知智能。
4.3 华云安原子化安全能力
云原生原子化安全能力平台通过安全能力微服务化、DevSecOps敏捷开发、研发交付自动化、底层基础设施容器化等,全面实现平台云原生化。通过安全应用抽象中台化打破数据孤岛,提升服务复用性。通过DevOps敏捷开发,构建全新的持续交付的产品研发体系,打造行业领先的安全能力平台,完成安全平台的云原生架构落地。
构建高可靠的云原生容器平台,支撑云原生的项目改造。通过K8s实现基础资源和调度管理,提供多集群管理、多租户管理、应用管理、镜像管理、CI/CD、中间件等服务。
构建原子化的安全能力,面向安全威胁检测、安全威胁分析、安全威胁情报、安全威胁响应等四大方向,构建原子化的安全能力,并通过多样化的安全服务调度引擎、安全能力自动化编排引擎等,实现安全能力的产品化输出。
构建开发端到端交付体系,实现DevOps体系从需求、开发、测试、运维各个环节协同。实现系统交付流程从规范化到自动化,实现流程自动化,减少人工干预,提升系统开发交付效率。
华云安当前业务聚焦在威胁与暴露面管理,包括攻击面管理、安全验证和自动化防御等几个方面。构建的云原生原子化安全应用能力包括:检测发现能力、分析研判能力、情报预警能力和响应处置能力等四大方面。
4.3.1 检测发现能力
● 资产测绘能力
原子化能力 | 原子化服务 | 功能描述 |
IT资产测绘 | ai-ipscan-service | IT资产测绘是指对网络中的所有IT资产进行全面的测绘和管理。其中包括IP、WEB等。IT资产测绘重点是测绘IP地址,测绘IP地址是指对企业内部所有的网络设备、服务器、工作站等进行统一的IP地址扫描和管理,发现各种IT资产设备,测绘对象包括内网、互联网等IP可达的全部网络。 |
应用服务识别 | ai-finger-service | 应用服务识别是指对企业的应用服务进行识别和分类,通过应用服务识别,企业可以了解每个应用服务的功能、使用情况和存在的安全问题等,从而采取相应的措施优化和改进应用服务,常见的应用服务包括WEB服务、数据库服务、DNS服务、文件服务等。 |
数字资产采集 | ai-collect-service | 数字资产采集是指通过各种手段收集组织或个人的数字资产信息,如域名、IP地址、子域名、网络拓扑、漏洞信息等。常见的数字资产采集方法包括:搜索引擎搜索、WHOIS查询、端口扫描、DNS枚举、子域名爆破、WEB爬虫采集等。 |
IoT资产测绘
| ai- survey-service | IoT资产测绘是指对企业的IOT设备进行信息收集,以确定这些设备的安全状态和潜在的安全漏洞。IOT资产测绘工作可以帮助企业了解自己的IOT设备数量、位置、型号、软件版本、IP地址、MAC地址、操作系统、开放端口等。 |
被动资产测绘 | ai-flow-service | 被动资产测绘技术是通过网络流量收集并识别和测量网络中存活资产的技术。收集的资产信息包括网络拓扑、设备地址、协议和服务等。被动资产测绘技术通常会使用一些工具和技术来识别和分析网络中存在的资产数据,可以更好地发现网络中难以通过主动探测发现的资产,进而发现可能存在的漏洞和安全风险。 |
● 漏洞检测能力
原子化能力 | 原子化服务 | 功能描述 |
特征扫描 | ai-featurescan-service | 特征扫描是指通过匹配已知漏洞的特征来识别产品或组件中漏洞的技术。基于特征漏洞扫描是一项非常重要的安全能力,可以帮助企业发现和修复系统中的漏洞,提高系统和应用程序的安全性 |
PoC漏洞检测 | ai-poc-service | PoC检测是指通过可执行的检测规则或脚本去检测漏洞是否真实存在的技术。该能力通过对目标指纹信息进行准确的分析识别,并构建基于原理可执行的验证脚本进行漏洞验证,可进一步提高漏洞评估准确度和可利用性。 |
Web漏洞检测 | ai-webscan-service | Web漏洞扫描是指通过对Web应用程序的扫描,检查其中的漏洞和安全问题的能力。这些漏洞和安全问题可能会导致攻击者能够访问、篡改、删除或者窃取敏感信息,或者直接控制Web应用程序。Web漏洞扫描能力可以分为主动扫描和被动扫描两种方式。 |
镜像漏洞检测 | ai-dockerscan-service | 镜像漏洞检测是指对镜像文件进行扫描,以发现其中可能存在的安全漏洞。这种漏洞通常是由于镜像中包含的软件组件存在已知的安全漏洞或者配置不当而导致的。 |
软件成分分析 | ai-scascan-service | 软件成分分析是指对软件的各个组件进行分析和评估,确定软件组件的引用和依赖关系,并确定其中可能存在的安全漏洞或者其他问题。这种分析通常包括对软件源代码、第三方库文件和依赖项进行检查。 |
基线核查 | ai-baseline-service | 基线核查是指对系统或应用程序的安全基线、安全配置进行核查,以确保其符合一定的安全合规标准。基线核查通常包括对操作系统、应用程序、服务和配置文件等进行检查,以发现其中可能存在的安全漏洞或者不安全配置。 |
攻击模拟 | ai-bas-service | 攻击模拟是在漏洞检测的基础上模拟攻击者可能的攻击场景,以攻击者的视角进行模拟攻击及利用,以发现更深层的隐含风险。通过模拟攻击,将人员、流程、配置、弱点、业务多因素进行组合,发现攻击点并绘制可能攻击路径。攻击模拟通过模拟攻击者的攻击方式自动化执行渗透测试及攻击剧本,并通过Kill Chain或ATT&CK模型,将复杂的渗透测试过程进行可视化呈现,帮助安全管理人员找到系统中深层次攻击面问题。 |
● 高级威胁检测能力
原子化能力 | 原子化服务 | 功能描述 |
流量采集 | ai-flowc-service | 流量采集是指能够采集网络中的通信数据流量,并对其进行分析和处理。通过流量采集,可以了解网络中的数据流向、通信协议、数据包大小、节点资产等信息,从而识别网络中的问题和风险。 |
日志采集 | ai-logc-service | 日志采集能力是指能够采集网络设备、服务器、应用程序等的日志信息,并对其进行分析和处理。通过日志采集,可以了解系统的运行情况、错误信息、安全事件等,从而识别系统中的问题和风险。 |
流量特征识别 | ai-flowai-service | 流量特征识别是指能够识别网络流量中的特征信息,如通信协议、数据包大小、协议版本等。通过流量特征识别,可以了解网络中的通信情况、识别网络中的异常流量和攻击流量,并生成相应的威胁事件。 |
流量威胁检测 | ai-flowapt-service | 流量威胁检测是指利用人工智能技术对网络流量进行检测和处理,以识别网络中的威胁和攻击。通过基于AI的威胁流量检测,可以提高网络的安全性,及时发现和处理网络中的安全事件。 |
漏洞利用检测 | ai-flowvul-service | 漏洞利用检测是指能够构建漏洞利用模型,并对网络中的漏洞利用行为进行检测。通过漏洞利用模型构建和行为检测,及时发现和处理系统中的漏洞利用行为,并采取相应的措施进行漏洞处置。 |
● 风险评估能力
原子化能力 | 原子化服务 | 功能描述 |
网络安全风险评估 | ai-netrisk-service | 网络安全风险评估是指企业或组织对网络安全进行系统性的评估,以发现网络中的潜在风险和漏洞,并提出相应的解决方案和预防措施。 |
云安全风险评估 | ai-cloudrisk-service | 云安全风险评估是指企业或组织对公有云环境或私有云环境进行系统性的评估,以发现云环境中的潜在风险和漏洞,并提出相应的解决方案和预防措施。云安全风险评估可以帮助企业或组织更好地保护其云计算安全,确保云计算服务的可靠性和安全性。 |
数据安全风险评估 | ai-datarisk-service | 数据安全风险评估是指企业或组织对数据安全进行系统性的评估,以发现数据中的潜在风险和泄露问题,并提出相应的解决方案和预防措施。数据安全风险评估可以帮助企业或组织更好地保护其数据安全,防止数据泄露、丢失等问题的发生。 |
4.3.2 分析研判能力
● 漏洞挖掘能力
原子化能力 | 原子化服务 | 功能描述 |
Fuzz技术 | ai-fuzzing-service | Fuzz指的是模糊测试,是一种自动化测试技术,通过输入异常或随机的数据来检测应用程序中的漏洞。在程序中,输入数据通常会被解析、处理、存储等,因此输入数据的异常或随机性可能会导致程序崩溃、内存泄漏、拒绝服务、信息泄露等,通过该方法可以自动挖掘目标可能存在的漏洞。 |
代码审计 | ai-codecube-service | 代码审计是一种通过工具手动或自动分析代码的方法,通过对代码的逐行分析、理解和模拟,发现潜在的漏洞。通过了解被测试程序的业务逻辑、代码结构、调用关系等,根据安全规范和最佳实践,对代码进行审计。通过分析代码,能够发现输入验证不严格、SQL注入、XSS攻击等常见的一些漏洞。 |
● 优先级评估能力
原子化能力 | 原子化服务 | 功能描述 |
资产优先级评估 | ai-assetvpt-service | 资产优先级评估是一种对组织中的各种信息资产进行评估的方法,以确定哪些资产对组织的运营和业务影响最大。这些资产可以是硬件设备、软件、数据、人员等,评估的依据可以包括资产的价值、重要性、可替代性等。 |
漏洞优先级评估
| ai-vulvpt-service | 漏洞优先级评估是一种评估组织中已经存在的漏洞的方法,以确定哪些漏洞对组织的安全威胁最大。评估的依据可以包括漏洞的危害程度、容易被攻击的程度、是否已经被利用等。 |
威胁事件评估
| ai-eventvpt-service | 威胁事件评估是一种评估与组织相关的威胁事件的方法,以确定哪些威胁事件对组织的安全威胁最大。评估的依据可以包括威胁事件的来源、类型、危害程度、可能性等。 |
● 攻击面数据分析能力
原子化能力 | 原子化服务 | 功能描述 |
资产关联分析 | ai-assetca-service | 资产关联分析是识别和分析组织的资产,包括服务器、网络设备、数据库等。通过对资产进行分类、标记和分组,从而更好地理解资产的功能、安全性和关联性。这种分析可以帮助组织识别安全漏洞、风险与资产间的关联关系、影响范围等,提升资产风险评估的准确性。 |
漏洞关联分析 | ai-vulca-service | 漏洞关联分析是指通过分析漏洞数据库和组织的资产,确定哪些资产受到哪些漏洞的影响,以及这些漏洞的严重性和风险。这种分析可以帮助组织制定有效的漏洞修复计划,并减少漏洞利用的风险。 |
泄露数据关联分析 | ai-leakdataca-service | 泄露数据关联分析是指通过对组织内外部泄露数据的分析,确定哪些数据已经被泄露,以及泄露数据的类型、来源和影响。这种分析可以帮助组织了解其数据泄露的风险和影响,并采取适当的措施保护敏感数据。 |
日志关联分析能力 | ai-logca-service | 日志关联分析能力是指组织在进行攻击面数据分析时,能够有效地收集、存储和分析各种类型的日志数据。这种分析可以帮助组织识别异常活动和攻击,并提高安全响应的效率。 |
情报关联分析能力 | ai-itca-service | 情报关联分析能力是指组织在进行攻击面数据分析时,能够有效地收集、分析和利用各种类型的情报数据。这种分析可以帮助组织了解当前威胁情报和攻击趋势,并采取相应的防御措施。 |
● 安全数据支撑能力
原子化能力 | 原子化服务 | 功能描述 |
漏洞库 | ai-vuldb-service | 漏洞库是安全数据支撑能力的重要组成部分。漏洞库记录着各种软件、系统、网站等的漏洞信息,包括漏洞的名称、描述、危害程度、影响范围、解决方案等。通过漏洞库,安全人员可以及时了解到最新的漏洞信息,从而采取相应的安全防范措施。 |
组件库 | ai-cpedb-service | 组件库是指各种软件、系统、网站等的组件信息,包括组件的名称、版本、功能、安全性等。通过组件库,安全人员可以快速定位到需要检测或修复的组件,提高安全性。 |
PoC库 | ai-pocdb-service | PoC库是指记录各种漏洞的PoC(Proof of Concept,漏洞利用代码)信息,包括PoC的名称、版本、使用方法等。通过PoC库,安全人员可以快速了解某个漏洞的具体利用方法,从而进行相应的测试和防范。 |
EXP库 | ai-expdb-service | EXP库是指记录各种漏洞的EXP(Exploit,漏洞利用工具)信息,包括EXP的名称、版本、使用方法等。通过EXP库,安全人员可以快速了解某个漏洞的具体利用工具,从而进行相应的测试和防范。 |
指纹库 | ai-fingerdb-service | 指纹库是指记录各种软件、系统、网站等的指纹信息,包括指纹的名称、版本、特征等。通过指纹库,安全人员可以快速了解某个软件、系统、网站等的详细信息,从而进行相应的安全测试和防范。 |
攻击技术库 | ai-attckdb-service | 攻击技术库是指记录各种攻击技术的信息,包括攻击技术的名称、原理、方法等。通过攻击技术库,安全人员可以快速了解各种攻击技术的具体原理和方法,从而进行相应的安全防范。 |
攻击战法库 | ai-tactics-service | 攻击战法库是指记录各种攻击战法的信息,包括攻击战法的名称、特点、使用方法、执行过程等。通过攻击战法库,安全人员可以快速了解各种攻击战法的执行过程。 |
4.3.3 情报预警能力
● 威胁情报服务能力
原子化能力 | 原子化服务 | 功能描述 |
IOC情报 | ai-iocit-service | IOC情报指的是针对特定攻击活动或威胁者的恶意行为所产生的指示性信息。这些信息主要包括恶意软件的哈希值、恶意域名、IP地址、URL等,具备IOC情报采集和利用能力有助于安全团队识别并防范类似攻击。 |
漏洞情报 | ai-vulit-service | 漏洞情报指的是针对各种软件和系统的安全漏洞所产生的相关信息。这些信息主要包括漏洞的类型、影响范围、修复方案等,具备漏洞情报采集和利用能力有助于安全团队及时修复漏洞,防范攻击。 |
APT情报 | ai-aptit-service | APT情报指的是针对高级持续性威胁(APT)所产生的相关情报。这些情报主要包括攻击者的攻击技术、攻击目标、攻击时间等,具备APT情报采集和利用能力有助于安全团队及时发现并防范APT攻击。 |
人员及组织情报 | ai-societyit-service | 人员及组织情报指的是针对攻击者及其所属组织的相关情报。这些情报主要包括攻击者的身份、组织结构、行动方式等,人员及组织情报有助于安全团队深入了解攻击者及其组织,从而更好地防范可能的攻击。 |
供应链情报 | ai-soait-service | 供应链情报指的是针对企业或组织供应链中的各个环节进行监测、分析和评估,以确定潜在的威胁和漏洞。供应链情报可以帮助企业或组织了解潜在的供应链风险,采取措施防止威胁。 |
● 外部攻击面监测能力
原子化能力 | 原子化服务 | 功能描述 |
数据泄露监测 | ai-dataleakmon-service | 数据泄露监测是指监测公司或组织敏感信息被黑客或其他外部攻击者窃取、泄露的情况。这些敏感信息可能包括客户数据、员工数据、财务数据、知识产权等。 |
外部攻击面预警 | ai-easmmon-service | 外部攻击面预警指通过监测、分析外部攻击面数据,并预测可能的网络攻击;提前发现和预警潜在的外部攻击面威胁。这种预警可以帮助企业或组织提前采取措施防止攻击,保护自己的网络和数据安全。 |
4.3.4 响应处置能力
● 安全运营能力
原子化能力 | 原子化服务 | 功能描述 |
事件流转 | ai-eventwf-service | 事件流转指在安全运营中,事件从发生到解决整个过程中的流程管理。包括事件的识别、报告、分类、处理、跟进、闭环等环节,确保事件的及时响应和解决。 |
工单流转 | ai-tickerwf-service | 工单流转指在安全运营中,安全工单的流转和管理。包括工单的创建、分配、处理、验证、关闭等环节,确保安全事件的及时解决和记录。 |
● 自动化安全响应能力
原子化能力 | 原子化服务 | 功能描述 |
自动化安全响应编排 | ai-soar-service | 自动化安全响应编排能力指的是系统能够自动化地对安全事件进行编排和协调响应,能根据安全事件的特征和规则自动化进行事件分类、优先级判断、指派责任人、执行响应操作等。这样可以大大提高安全事件的响应速度和准确性,确保安全事件得到及时处理,避免漏报或延误。 |
自动化安全响应执行 | ai-executor-service | 自动化安全响应执行能力则是指系统能够根据编排好的响应计划或执行剧本,自动化地执行相应的响应操作,包括隔离受感染的主机、清除恶意软件、修复漏洞等。这样可以确保安全事件得到有效的处置,避免扩散和影响。 |
● 端点响应能力
原子化能力 | 原子化服务 | 功能描述 |
主机Agent | ai-agent-service | 主机Agent指一种安装在主机上的软件,通过与主机安全引擎如运行时保护引擎,检测引擎交互获取监控主机的安全状况,如防病毒、防火墙等;并可以和平台交互,响应安全事件,提高系统的安全性能 |
运行时保护 | ai-runsevr-service | 运行时保护是指保护系统在运行时不受攻击的技术。运行时保护可以通过对系统的访问控制、防病毒、数据加密、异常调用拦截等技术来实现。 |
运行时检测 | ai-runscan-service | 运行时检测是指在系统运行时对系统的安全状况进行检测和监控。运行时检测可以通过对系统的漏洞扫描、入侵检测、异常检测等技术来实现。 |
● 应急反制能力
原子化能力 | 原子化服务 | 功能描述 |
溯源能力 | ai-traceing-service | 溯源能力是指在安全事件发生后,通过收集、分析相关信息,追溯攻击源头的能力。溯源能力可以帮助安全人员更快速有效地应对安全事件,提高系统的安全性能。 |
4.4 持续的威胁与暴露面管理体系(CTEM)
华云安云原生原子化安全能力平台聚焦于威胁与暴露面管理,基于对抗防御的思想,在华云安知识图谱的安全风险库(Ai.KG)及场景化人工智能引擎(Ai.Mind)的支撑下,进行持续的风险检测和威胁响应,帮助用户实现威胁管理、漏洞检测、溯源分析、端点防御等一体化安全运营管理能力,实现持续的威胁与暴露面管理(CTEM)。
未来,随着原子化安全能力越来越丰富,华云安云原生原子化安全平台通过检测、分析、情报和响应等环节,为用户提供集网络安全主动防御能力、情报协同能力、溯源反制能力于一体的新一代网络安全对抗防御解决方案。通过构建企业级威胁与暴露面管理平台、系统级检测响应探针,构建完整的从监管到行业、从企业到应用的跨行业的场景化的持续威胁与暴露面管理(CTEM)体系。
5 未来趋势分析
以数字化应用的发展现状和我国商业市场来看,云计算架构和云原生模式已经成为当下存储、算力和网络的基础。但是,以全球格局与战略判断,结合科技自立自强和软件供应链自主可控的中国决心,可以预测的是,网络体系与算力承载正在悄然酝酿着一场根本性的变革。
原子化安全现在可以通过云原生的模式和技术去实现,在不远的将来,可能会使用量子计算和多模态网络去实现。但不论以何种具体方式,原子化安全的思想、零信任的策略亦或是杀伤链的模型,都可以完美与之匹配。
就目前来看,原子化安全还没有达到完美形态,其依然具备充足的发展潜力并面临巨大挑战。
例如安全数据的多来源输入,虽然技术层面已经可以实现,但是国内大部分拥有安全数据生产和收集能力的厂商,尤其是大型互联网企业,因为商业利益和业务模式的问题,在短时间内并不会赋予其很好的开放性。
例如人工智能在安全的应用还处于初级阶段,想要实现动态根据业务状况调整原子化安全能力还需要人工智能与安全技术进行更深度的磨合。并且云原生模式和技术的应用还没有在大多数行业普及,深度学习的样本不够细致、不够充足,也不能期望现阶段的人工智能有更好的表现。
还有政府和国有企业是我国现阶段安全的最大用户,但其对公有云的模式还有许多顾虑与应用约束。许多原子化安全能力需要动态更新,在无法进行实时数据传输的场景中,怎样保证原子化安全能力的持续进化也是一个值得深入研究的问题。
根据数世咨询发布的《2022年中国数字安全百强报告》显示,安全产业市场规模已经接近千亿人民币。虽然近几年因为全球范围内的各种不确定因素导致经济发展略有下降,但数字安全产业具备的战略属性保证了产业的发展趋势。
随着产业规模的不断扩大和安全思想的不断进化,人工智能、云原生以及其他前沿科技将会越来越多的与安全融合,加之业务场景的复杂度与安全的需求量增加,安全产业生态也会朝着更加健康的方向发展,原子化安全也会变得更加简单、自由和智慧。
报告结语
数世咨询在产业创新方面,立志于“将全球领先的安全理念、技术中国化,将中国领先的安全理念、技术国际化”。根据科技发展的趋势和数字安全的中国环境,数世咨询预测,未来的数字安全将以原子化的形式与信息系统和业务应用深度结合,充分释放安全能力的同时给予行业用户极高的自由度。
原子化安全是一种输出安全能力的新思想,可以适用于各种体系框架和技术实现,云原生是目前最适合承载原子化安全的模式和技术之一。希望通过本报告,可以切实推动我国云原生安全研究和应用的进步、促进云原生安全的商业市场发展,更好的实现安全驱动业务的目标,解决安全与业务的匹配、安全与商业系统环境匹配的问题,同时也为网络空间安全产业带来新的参考思路。
数世咨询的核心理念为,数字时代、安全共生。希望通过本报告,能够切实解决行业用户在企业发展过程中出现的关于数字安全的问题,实现数世咨询的第三方参考价值,帮助企业用户在数字浪潮之中屹立潮头。
点击下载《原子化安全能力平台白皮书》:
安全能力原子化研究报告.pdf
参考阅读
2023CAS大会(持续应用安全)在京召开
数世咨询:2022数字安全上市企业航线图
《持续应用安全(CAS)白皮书》全文发布
软件供应链安全研讨会全纪实
热门文章
调研报告
-
数世咨询:《中国数字安全百强报告(2023)》正式发布
-
报告发布|数世咨询能力指南 - NDR
-
数世咨询:《2023年数字安全大事记》发布(上)
-
数世咨询《现代WAF市场指南》发布
-
报告发布 | 数世咨询能力指南 - 持续评估定义安全运营(附PDF下载)
