安全有效性验证:企业安全护城河的深度检测

新闻
13天前

国家网络安全政策正经历重要变革,从简单的合规清单转向强调实际效力。在不断变化的威胁环境下,单纯的合规已不足以保障网络安全。关注实际效力意味着从被动合规转向主动实战,从定量要求转向质量保障。这一趋势强调综合性的安全策略、持续监测和评估,以应对日益复杂的网络威胁。


20240425-172658.jpg


同时,其随着各企业数字化发展,技术团队通常需要改变视角,将技术与业务深度融合,这也是所谓的“数业融合”的概念。而网络安全有效性验证是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已识别的威胁暴露,以及保护系统和流程如何反应。通过持续性的安全措施有效性评估与验证,蓝队和红队工具向高度定制化和灵活侵入性靠拢,以更有效地测试企业的防御能力,包括安全控制和监控工具的功效和配置。由此产生的见解可以更轻松地进行跨团队决策,包括动员决策者分配相关资源,以确保企业安全措施能够有效应对当前热点及潜在威胁,保护企业的资产和数据安全。


01 安全有效性验证技术起源

安全有效性验证技术的起源可以追溯到早期的信息安全实践中。计算机安全早期实践,在20世纪70年代和80年代,随着计算机网络的兴起,研究人员开始关注如何保护计算机系统免受未授权访问和破坏。最初的计算机安全实践主要集中在访问控制和身份验证机制上。


在90年代,随着互联网的普及,网络安全成为一个重要议题。漏洞评估成为评估系统安全性的关键手段。漏洞扫描工具如SATAN和COPS等被开发出来,用于自动检测系统中的安全漏洞。在90年代中期,渗透测试作为一种评估安全性的方法而广泛流行。它模仿黑客的行为,尝试突破系统的安全防御。渗透测试的目的是发现系统的弱点,并提供改进建议。随着法规和标准的出现,如ISO 27001和PCI DSS,企业需要证明其安全措施符合这些要求。安全审计成为验证企业是否符合这些标准的重要手段。


进入21世纪,随着技术的进步,自动化工具被开发出来,以持续监控和验证安全措施的有效性。安全信息和事件管理(SIEM)系统可以实时收集和分析安全数据,帮助组织持续验证其安全状态。而攻击模拟(BAS),首次出现在 2017 年 Gartner 安全运营技术曲线中,之后也在 2021、2022 年多次提到。


而在Gartner《2023年网络安全的主要趋势》中,安全验证(Cybersecurity Validation)也随着提出,预计到2026年,超过 40% 的组织(包括三分之二的中型企业)将依靠整合的安全平台来运行网络安全验证评估。


网络安全验证是技术、流程和工具的融合。用于验证潜在攻击者如何实际利用已识别的威胁暴露面,测试安全防御系统和机制将如何反应。

-Gartner


近几年,BAS技术作为一种新的安全有效性验证方法出现,它通过模拟实际的攻击场景来测试和评估企业的安全防御措施。


02 企业如何进行安全有效性?

安全有效性验证是一个全面的评估过程,主要目的是确保组织能够有效地识别、防御和应对潜在的网络威胁,从而保护其信息资产、业务运营和声誉。这个过程涉及到对现有的安全措施、策略、工具和人员响应能力的测试和验证。


Gartner提出,网络安全验证评估的范围应包括:

安全攻击面

攻击面评估包括资产可见性、错误配置、补丁卫生和从对手的角度来看的可利用的威胁。


安全有效性

自动化活动评估有多少现有的安全控制可以阻止和检测安全服务的性能。


安全一致性

持续的评估,如分析安全工具配置、检测有效性或敌对威胁模拟,揭示了安全差距,并提供了对必要的客户和供应商改进的见解。


事件响应效能

对安全服务和客户响应机制的及时性和有效性的真实评估,衡量检测、调查和响应所测试的攻击场景的时间。


安全成熟度改进

详细的结果说明了系统的优势和差距,可以快速转化为针对客户的推荐改进计划以及可能的安全服务提供商改进。


安全有效性验证对于企业确认防御措施的有效性、发现和修复漏洞、满足合规性要求、提高应急响应能力、降低风险、验证安全架构的适应性和持续改进都具有重要意义,网络安全的安全有效性验证成为组织维护安全环境、保护关键资产和维持业务连续性的重要手段。


03 当前安全有效性验证存在哪些问题?

在安全有效性验证的应用过程中,客户不同的用户角色所关心的角度不同,均会影响建设的重点。比如:

管理团队会关注采购了如此的安全的设备,如何量化其投入回报率,能否判定当前安全体系有所欠缺。


红队往往关注如何进行持续性高效测试,能快速赋能其新兴攻击手段和多种安全设备攻击策略。


蓝队更关注如何验证防御达到预期,能定位数据泄漏/勒索病毒/钓鱼等事件的根因,协助预防及响应处理。


20240418-2.jpg


覆盖完整的智能渗透、攻击模拟、战法推演的安全验证能力。


正如上文所提到的,在2023年正式实施GB/T 39204-2022《关键信息基础设施安全保护要求》中明确提到,要检验安全措施的有效性,要进行资产识别,要收敛外部暴露面。华云安认为,安全验证不仅是未来技术创新发展的必然方向之一,且呈现实战化和智能化的发展趋势。华云安认为,要实现持续的安全验证,需以攻击者视角构建完整的安全验证体系,分为“深度挖掘企业完整攻击面”、“整个网络杀伤链的可见性”、“基于场景的安全验证策略”、“全面监控和优化安全状态”四部曲:


深度挖掘企业完整攻击面:通过自动化验证性测试发现企业内部真实存在的攻击面;迭代攻击模型能够将多类型弱点进行关联,发现隐藏的漏洞,深度挖掘企业攻击面。


整个网络杀伤链的可见性:按照 KillChain 杀伤链模型对目标进行细粒度的模拟攻击测试,呈现完整的攻击链路和攻击方法,暴露弱点的同时不影响业务连续性。


基于场景的安全验证策略:不仅仅是对防火墙、WAF、EDR等单一控制措施进行有效性验证,还提供对勒索软件防御、APT检测、云安全合规等场景化的安全验证能力 。


全面监控和优化安全状态:通过持续验证,有效地量化和评估企业安全风险,管理企业网络安全态势,在面对威胁变化和业务驱动时,平衡安全与业务的关系。


20240418-3.jpg


企业可以通过自动化验证性测试发现企业内部真实存在的攻击面,利用迭代攻击模型更能够将多类型弱点进行关联,发现隐藏的漏洞,深度挖掘企业攻击面。更以KillChain 杀伤链模型为辅助,对目标进行细粒度的模拟攻击测试,呈现完整的攻击链路和攻击方法,暴露弱点的同时不影响业务连续性。安全验证体系不仅仅仅是对防火墙、WAF、EDR等单一控制措施进行有效性验证,更能提供对勒索软件防御、APT检测、云安全合规等场景化的安全验证能力 。通过企业持续性的安全验证,有效地量化和评估企业当前安全风险,管理企业网络安全态势,在面对威胁变化和业务驱动时,平衡安全与业务的关系。


20240418-4.jpg


在此基础上,华云安基于攻击者视角构建完整的安全验证产品与服务体系,包括包括三款安全产品:定位于内部资产攻击面管理的灵洞·网络资产攻击面管理(Ai.Vul),定位于外部资产攻击面管理的灵知·互联网监测预警中心(Ai.Radar),定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟(Ai.Bot);以及两个安全服务:渗透测试即服务(PTaaS)、红队服务(Red Team)。这些产品和服务,与华云安的其他原子化能力一起,组成了整合型的安全平台,能够为客户交付全面的安全验证能力。