报告发布 | 数世咨询能力指南 - 持续评估定义安全运营(附PDF下载)

安全能力图谱
5月前

前言


着数字世界的临近,数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。因此,对安全能力的评估与验证成为国内安全从业者——特别是安全运营人员——越来越多讨论的话题。


这一现象背后,首先有政策的因素,例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中;其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平,用户自身的安全评估验证需求已经自然而然发展出来;第三,这也与国际局势的变化直接相关,国家级APT威胁使得“安全”二字提升到了“网络战”的高度,攻击之前自我评估,威胁之持续评估,成为了实战化需求下安全运营的必修课。

在这样的背景下,近几年国内出现了多家专门满足这一需求的初创安全企业,不少传统综合安全大厂也内部蕴育出了相关的产线能力,业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。

然而,话题热度之后更加应当看清的是,目前国内的安全建设水平仍然有明显的不均衡特点:一是区域不均衡,北上广深成渝西安以及GDP排名较靠前的省份城市,安全建设水平相对较高;二是行业不均衡,金融、运营商、电力能源等关基行业已经走在了前面,但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度;三是即便同行业内,其头部、腰部及以下机构用户,安全能力也存在着明显的不均衡。

由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来,因此这一新赛道的供需双方,目前还只集中在“不均衡”发展的“头部”群体中。那么,腰部及以下的机构用户就不需要评估与验证能力吗?

答案是显然的,当然需要。只不过,因为这类用户的“安全家底”本身就比较薄,因此不必像“头部”一样做得那么重,只需要标准化或最小化的评估验证能力即可。

因此,无论用户规模大小,无论用户处在头部腰部甚至以下,评估与验证都不是为了给用户“找麻烦”,而是要在传统的安全能力建设之外(绝不限于设备采购、产品部署、驻场服务),使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全运营”的下限,并且持续提升这个“下限”,也就是说,将评估与验证能力与安全运营同步建设,同步提升!

用持续的评估,重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。

鉴于此,数世咨询撰写本报告,希望能抛砖引玉,对这一领域的产业现状做出初步调研与阐述。报告勘误与交流沟通请联系主笔分析师:刘宸宇liuchenyu@dwcon.cn


关键发现


  • 数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。

  • 入侵攻击模拟与安全有效性验证评估的都是安全运营的下限,提升的是MTTD/MTTR的整体效能。

  • 持续评估能力帮助机构用户发现已部署的安全产品和配置、以及构建的安全纵深防御体系的有效点、失效点与空白点。

  • 持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。

  • 持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。

  • 持续评估定义安全运营这一细分领域2022年的市场规模已过亿元。预计2023年将达到3亿元。

  • 持续评估定义安全运营,行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。

  • 持续评估定义安全运营的三大关键能力:安全评估验证用例的积累、持续评估的自动化程度、对海量攻击的提炼与用例转化。

  • 持续评估用例的更新,应支持订阅式推送与开放式更新等多种方式,满足用户对最新威胁的验证与自定义用例验证等需求。

  • 短期内,持续评估定义安全运营的采购方将以关基行业中的头部客户为主。

  • 中期来看,持续评估定义安全运营将带有显著的行业特征。

  • 未来,持续评估与验证能力将成为安全运营的试金石。让安全运营实现从“小作坊”到“工业化”的进阶。



从“有没有”到“行不行”,再到“好不好”,持续评估将成为安全运营的试金石。
——数世咨询


概念描述

什么是持续评估定义安全运营


本报告中的“持续评估定义安全运营” (Continuous Evaluation Defines Security Operation)是指:是指基于实战化最佳实践用例,对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作,并提供合理化改进建议,进而提升安全运营整体效能的解决方案。
 “持续评估定义安全运营”的核心价值在于,通过持续评估帮助机构用户发现已部署安全产品、以及构建的安全纵深防御体系的有效点、失效点与空白点,以持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,以量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。
与“持续评估定义安全运营”相关的一些概念:


l  入侵攻击模拟(Breach Attack Simulation - BAS)

BAS以模拟仿真的体系化安全攻击手段,评估验证整个安全运营体系发现威胁的能力,发现的是安全运营的短板,弥补的是安全运营的弱点,提升的是安全运营的下限;

l  安全有效性验证(Cybersecurity Validation - CV)

安全有效性验证用到了BAS技术,但不仅限于BAS,在攻击模拟之外,CV还会对网络、终端等IT环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证,因此CV重点还会关注安全的一致性,例如通过自动化审计方式对安全设备的策略进行验证;与BAS一样,CV提升的也是安全运营的下限;

l  持续自动化红队(Continuous Automated Red Teaming – CART)

CART提供的是持续发现潜在攻击路径、对抗APT攻击、提升安全意识等更高阶安全运营需求的能力,提升的是安全运营的上限;CART与上述两项是互补关系,稍有交叉,都无法替代对方。

与安全运营的关系


正如前言中所述,持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。如下图所示:
01.jpg
图例:持续评估与安全运营的关系


安全体系建设初期,安全团队人很少,安全手段以传统工具/设备为主,此时持续评估的参与度并不高,需求也不强烈。(例如“老三样+渗透测试服务”,对应图中“渗透测试”箭头);
安全体系建设中期,安全团队人数增加,引入了管理制度,并开始建设安全运营平台,此时就需要验证与度量作为量化考核的手段了,在参加一些重保、攻防演练活动前,也有必要提前通过验证与度量先行自我检查(对应图中“攻防演练”箭头);
进入安全体系建设成熟期后,大批量的安全工具/设备需要纳管、维护,实战化、常态化安全运营成为安全团队的日常主要工作,为了优化威胁检测与响应流程,提升MTTD/MTTR时效,持续的评估工作(以BAS为例)开始深度参与,不断发现现有安全运营体系的短板与失效点,持续提升整体安全运营水平(对应图中“入侵攻击模拟”箭头);


长期来看,理想状态下,安全运营的状态应该如图中红色箭头所示,是一条45°向右上延伸出去的箭头,此时的安全体系建设与持续的评估验证是同步推进的,即安全体系建设、常态安全运营、持续评估验证三位一体实现了同步发展、同步提升。也可以说,通过持续的评估验证,重新定义了安全运营。

市场现状


市场概况


据数世咨询不完全统计,持续评估定义安全运营这一细分领域2022年的市场规模已过亿元,同比增长率约为440%。通过调研我们发现,大多数本赛道的安全企业2021年仍然处在产品开发或用户PoC试用阶段,尚未有商业化成单,进入2022年后,绝大多数参与调研的企业都签约了不同数量的商业客户,整个市场规模也因此有了数倍的增长。
“持续评估定义安全运营”这一新兴技术领域,目前在国内仍处于“市场教育”的相对初级阶段,但随着国内安全运营体系的整体完善,水平整体提升,数世咨询认为评估与验证在接下来的几年内会继续保持高速增长。
02.jpg

图例:持续评估定义安全运营市场规模

按照数世咨询《中国数字安全产业年度报告2023》中的统计数据,2022年国内数字安全产业规模为981.7亿元,预计2023年将达到1030亿元。以此数据为基础,参考金融、政府监管、能源电力、运营商等行业安全运营投入、持续评估所占比例,数世咨询预计2023年持续评估定义安全运营的市场规模可达到3亿元,2025年预计将增长至10亿元规模。

能力企业

参与本次调研的有360数字安全、安洵信息、灰度安全、绿盟科技、奇安信、赛宁网安、矢安科技、腾讯安全、丈八网安、知其安等安全企业(按公司简称首字母排序)。按照横轴-市场执行力、竖轴-应用创新力为依据,上述企业综合排列如能力点阵图所示:

配图更新-点阵图.jpg

对于近几年新出现的创新细分领域(例如本报告中的“持续评估定义安全运营”),我们发现仅靠点阵图中应用创新与市场执行这两个维度,难以全面体现创新企业的不同技术基因、产品特点、行业积累、能力优势等特点。

因此,为了更客观体现新赛道中各能力企业的特点,便于最终用户选取更适合自己需求的安全企业作为潜在合作对象,数世咨询将点阵图横坐标“市场执行力”进一步拆解为市场营收、品牌影响力、行业广度、行业深度等四个维度,将“应用创新力“进一步拆解为产品工程化、业务场景化、理论与基础研究、技术融合度四个维度,上述八个维度以蜘蛛图(雷达图)形式进行展现。

点阵图中各企业的蜘蛛图(雷达图)如下所示(按公司简称首字母排序):


能力基因


目前国内上述各能力企业的基因有BAS+EASM、仿真靶场、行业最佳实践等三类。这三者各有侧重,并不冲突,有的能力厂商同时兼具2-3项,在实际交付时,会根据不同水平的机构用户需求,结合成不同的解决方案,用户也可根据自身实际需求进行选择。

  • BAS+EASM


BAS技术从2017年提出开始,先后经历了多agent漏扫、靶机攻击、黑盒多向量攻击等阶段,也引入了威胁情报、攻击面管理等新的技术能力,目前业内较多厂商采用的是BAS+EASM这一组合。其特点是能够以外部攻击者视角对机构用户的安全运营体系发起纵深攻击,进而对杀伤链上的信息搜集、跳板终端、网络节点、主机应用等环节以及沿途的安全设备与产品进行有效性评估。


  • 仿真靶场


“仿真靶场”大多由网络靶场、数字靶场赛道的企业发展而来,其优势在于对机构用户现行安全运营体系中网络架构、终端系统等运行环境的高度仿真。结合多年多项赛事中所积累的攻防技战法转化而来的验证剧本,该路线对安全运营体系中,特别是安全运营团队的人员能力有明显的验证效果,可以有效发现运营团队的响应短板,提升整个安全运营团队的响应时效。


  • 基于行业最佳实践的有效性验证


在金融等行业有多年深耕经验积累的安全创业团队,凭借其核心成员在一线安全运营场景中的行业最佳实践,积累了大量从实网演习、重保演练、实战攻防中提炼总结出的验证用例,这些用例在同行业同场景中有非常高的验证“命中率”,加以自动化的验证平台,可以有效发现同行业机构用户的失效点,提升其安全运营整体有效性,为同行业机构用户提供持续的有效性验证能力。


行业需求


按照机构用户所处行业划分,“持续评估定义安全运营”行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。完整行业需求占比情况如下图所示:
14.jpg
图例:行业需求占比 – 持续评估定义安全运营


综合调研后,数世咨询梳理出各行业对持续评估验证的需求主要集中在:发现安全运营体系中IT环境漂移、安全产品自身稳定性、应对新威胁的能力以及行业监管技术抓手等场景下的安全有效性问题。

IT环境漂移导致安全产品及策略失效。各类IT系统的升级、变更导致的IT环境漂移,可能会导致已部署的安全产品及策略失效。安全团队无法单凭人力对此进行有效监控及时掌握,安全运营效能很可能大大偏离预期。

安全产品自身缺乏持续稳定性。由于存储上限、人为失误等原因,安全产品的设备、软件、规则等措施的可用性与连续性可能发生中断,且无法在第一时间发现和暴露,就极易导致安全防护失效。

应对新威胁需要自动化的安全评估验证能力。对于新的攻击手段、攻击工具、0day漏洞,若只靠人工评估验证,时效性、准确性、以及对多场景的验证都面临明显局限。在新威胁真正发起攻击前,需要以“风险驱动”的视角,以自动化能力进行评估验证。

行业监管/总部集团缺少评估验证的技术抓手。分、子机构的“上有政策,下有对策”,往往导致其出现安全事件被通报了,上级行业监管/总部集团才事后得知,非常被动。因此,无论是从自身防护水平提升的角度,还是先行自查的角度,亦或是量化考评的角度,行业/总部都需要一个技术抓手持续评估验证分、子机构的安全能力现状。


关键能力


为应对上述行业需求,该领域中的各安全厂商根据自身团队技术基因与行业积累,分别发展出各自不同的关键能力,经过汇总提炼后,数世咨询认为“持续评估定义安全运营”需要以下关键能力:


  • 安全评估验证用例的积累
  • 对海量攻击的提炼与用例转化
  • 持续评估的自动化程度



安全评估验证用例的积累


不同安全运营水平的机构用户需要不同的安全评估验证能力。机构用户的安全运营水平越高,持续评估验证所需要的知识库、攻击链覆盖度就越高。
对厂商来说,考虑到产品开发成本、交付效果的一致性等因素,厂商大多都参考了MITRE 的ATT&CK框架等知识库,从常见的攻击战术、技术和程序(TTPs),到更高级别的APT高级威胁,实现完整的持续评估验证能力覆盖。因此,以ATT&CK等知识库为参考的用例/模型/剧本的数量,就成为了持续评估验证的核心能力点之一。
当然,ATT&CK是国际上通用的框架知识库,结合国内的实际需求与场景——如实网攻防演练、行业监管合规、集团通报检查——笔者也建议,基于行业最佳实践“真题”来组织安全评估验证的用例。正如前文“概念描述”中技术路线所描述的,对于金融、监管、能源电力、运营商等整体安全运营水平较高的行业,基于行业最佳实践的持续评估验证用例积累是评估该领域厂商的另一个核心能力点。
值得一提的是,机构用户在选购时,除了考察厂商是否具备足够数量的用例覆盖这些攻击技战法外,还应当注意①用例与实战化贴合的程度,②用例对防护体系的覆盖度。即每个用例都应当来源于实战,能够应用于实战,满足实战化评估验证需求。同时,评估用例不能“偏科”只集中在少数攻防场景下,而是要覆盖整个防护体系。如果有个别厂商一味强调自身用例的数量优势,用户要注意甄别,其是否存在将已有用例简单变形后的“滥竽充数”行为。


对海量攻击的提炼与用例转化


在积累用例的基础上,持续评估定义安全运营需要的第二个关键能力是对海量攻击的提炼与用例转化能力。
攻防持续对抗带来的“道高一尺,魔高一丈”,让攻击者的工具、手段、技战法始终在不断升级变化。但绝大部分变化都不是跳跃式,而是有迹可循的,因此对安全企业来说,除了基于行业最佳实践,以统计学角度建立知识库,还应当基于海量攻击知识库,以安全大脑、知识图谱等方式,从攻防角度不断追踪、提炼潜在威胁的TTP,并将其转化为可用于评估验证的用例。
知识库用例的更新可由安全企业以订阅方式,按期更新至用户侧的评估平台。对于有实力自建红蓝队的机构用户,评估平台也可提供开放性的更新界面,即支持用户通过自建用例或是组合利用知识库中现有的用例单元,自由组合为新的用例场景。面临潜在APT攻击威胁、甚至国家级网络攻防对抗的某些特殊行业用户,可重点考察安全企业的该项能力。
当然,无论是基于行业最佳实践的用例,还是基于攻防知识库的用例,这两者并不冲突,既适用于不同的需求场景,也会有重叠交叉,机构用户可根据实际需要与预算情况综合考虑。
在转化为用例的时候,应注意高度仿真的同时要保证用例的无害化。顾名思义,对实战化攻击的模拟,特别是诸如勒索软件、蠕虫木马、擦除器等不可逆的攻击方式,不能影响用户的真实业务与IT环境。此外,在机构用户环境中部署的评估验证平台与agent本身应当具备足够的安全性,例如以靶场/靶机形式部署的客户端,本身为了模拟漏洞利用攻击,可能故意构造存在漏洞的仿真环境,由此会带来额外的攻击暴露面。这一点也需要格外注意。


持续评估的自动化程度


持续评估的理想状态是能够为安全建设同步带来评估验证能力,这就需要评估验证具备足够的自动化程度。
评估验证动作持续化。根据机构用户所处行业、业务时间特点,通过定期、周期性任务,持续对安全运营体系进行评估验证。评估验证不应受业务系统升级、IT环境偏移等外在影响。生成评估验证报告后,根据先后结果的变化对比以时间线等维度,为用户提出改进建议。
仿真攻击决策智能化。基于BAS技术路线执行评估验证的攻击动作时,验证agent能够基于所处网络拓扑、终端系统等资产指纹,自主判断并灵活采用攻击过程中的技战法,以黑盒“多向量“方式模拟真实的攻击行为,达到实战化的评估验证效果。
评估用例更新工程化。针对最新爆出的0.5day漏洞、实网攻防演练中的新技战法,以及新出现的APT组织TTPs等情况,厂商要能够在24小时内形成与之对应的评估验证用例,及时更新并推送至评估验证平台。这一过程要尽量以工程化方式实现,减少人工因素导致的不一致性。
评估验证自动化闭环。在上述“三化”基础上,评估验证的闭环也要具备良好的自动化程度。例如评估结果与日志告警的对比判断应当自动化实现,同时自动化过程本身各环节要具备高准确度,避免因平台自动化读取告警日志错误等原因导致的“假阳性”。


未来展望


短期内,持续评估定义安全运营的采购方将以关基行业中的头部客户为主。从市场规模与行业需求部分的数据统计来看,目前头部用户的的需求集中在三到四个关键信息基础设施相关行业,采购方也是行业中安全运营体系较为成熟的头部客户。短期内,腰部以下客户以及其他行业客户,由于安全运营体系建设尚处在跟随阶段,因此对持续评估验证相关能力的采购也会相对滞后。
此外,由于评估验证所需的用例,需要满足行业合规、业务特征、IT环境等多角度的仿真要求,因此中期来看,持续评估定义安全运营将带有显著的行业特征。从供给侧角度来看,该领域具备优秀交付能力的安全企业,其创始团队都不同程度带有相关的行业背景,也是一个例证。由此在不同安全厂商间,会逐渐形成较为显著的行业性壁垒,中期来看,这一现状并不会有太大改变。
未来,持续评估与验证能力将成为安全运营的试金石。随着安全运营体系建设的驱动力由事件驱动、威胁驱动向风险驱动转变,攻击面暴露面的收敛已经成为安全运营体系的必做功课,接下来整个安全运营体系还需要从风险高度,先于攻击者发现自身的失效点。持续评估与验证能力正是这样一块试金石,未来它将成为安全运营体系的标配,让安全运营实现从“小作坊”到“工业化”的进阶。



附录 持续评估定义安全运营行业案例

略……


附全文下载:

【数世咨询】能力指南 - 持续评估定义安全运营.pdf