华云安：安全验证不仅仅是ASM和BAS 而是技术、流程和工具的全面融合

“在数字化时代，网络安全必须被看见，被看见才能够保证安全。面对更复杂的安全威胁，应以看见之力洞悉威胁暴露面，感知风险，持续‘验证’安全防御有效性，于攻防之中重塑安全运营的价值。”对于安全验证，华云安创始人兼CEO沈传宝在网络安全运营技术峰会（SecOps2023）上提出：以安全验证的技术和手段来验证安全有效性和安全的价值，是一项面向未来的技术发展方向。

不仅仅是ASM和BAS  

安全验证是技术、流程和工具的融合

 2023年4月，全球权威IT研究与咨询机构Gartner在最新发布的2023年9大顶级网络安全趋势报告中，将安全验证作为一大主要技术趋势列入其中。Gartner认为：“到2026年，超过40%的组织将依靠整合平台来运行安全验证评估。”

在Gartner的定义中，网络安全验证是技术、流程和工具的融合，用于验证潜在攻击者如何实际利用已识别的威胁暴露面，来测试安全防御系统和安全机制的反应。网络安全验证工具将快速实现评估的可重复和可预测方面的自动化，实现攻击技术、安全控制和过程的一致和定期基准。

值得关注的是，2017年，BAS入侵和攻击模拟技术（Breach and Attack Simulation）一词首次出现在Gartner Hype Cycle安全运营报告中，被定位为一种正在崛起的技术。随后在其发布的《2021安全运营技术成熟度曲线》和2022年八大安全和风险管理趋势中也多次提及这一技术，Gartner预测，作为一项新兴技术，BAS将在未来2-5年内成为主流。

 

BAS技术的出现，为企业机构提供持续性的防御态势评估，弥补渗透测试等跨周期定点评估所提供的有限可视性。这一技术目前在业内已经得到了多家安全企业的实践和落地，成为安全有效性评估的重要手段之一。

 

2021年7月，Gartner首次提出来CAASM、EASM攻击面管理相关技术。Gartner认为，攻击面管理（ASM）旨在以攻击者视角，从内外部双视角发现企业组织的数字资产，包括但不限于应用、IP、端口、域名、数据、云服务等已知资产和未知资产，并基于资产清点开展风险、脆弱性和异常行为评估，结合内部业务和外部威胁情况开展风险优先排序，进而指导管理者制定缓解措施和处置计划，及时进行攻击面收敛，对威胁和风险进行有效管控。

 

在这一次的报告中，Gartner创新性地提出了网络安全验证的概念，并首次将BAS、EASM、CAASM、DRPS、自动化渗透测试与红蓝攻防服务一同作为网络安全验证的代表性技术选项。

 

可见，在全球网络安全视野下，对网络安全验证和安全度量的认知正在迅速发展和更迭，与攻击面管理技术的结合和扩展，正在成为安全验证全新的发展方向。在这些技术、流程和工具的整合下，网络安全验证正转向自动化和灵活化，以一种持续的、成本可控的方式来测试组织的防御水平。

从漏洞扫描到安全验证 安全验证技术逐步演进

 从安全验证发展的脉络来看，无论是相对早期的传统漏洞扫描技术、自动化渗透测试技术，还是BAS入侵与攻击模拟技术、红蓝对抗演练，实际上都是在从不同角度切入，围绕企业当前安全现状开展脆弱性评估，检验自身网络安全投入的有效性。因此，从漏洞扫描到网络安全验证技术的整个过程，实际上是一脉相承、逐步演进的结果。

在技术差异上，传统的漏洞扫描工具仅能发现已知漏洞，智能渗透则是在原来漏洞扫描的基础上，用自动化和智能化的技术，来测试和验证目标的安全性。BAS入侵与攻击模拟形成了体系化的方法论，站在攻击者视角来验证网络安全防御机制、安全设备以及有效性。在安全验证的角度来看，不仅仅要做攻击者视角的安全模拟，还要验证系统安全防御的有效性，才能持续提升整体安全能力。

Gartner提出，网络安全验证评估的范围应包括：

■安全攻击面：攻击面评估包括资产可见性、错误配置、补丁卫生和从对手的角度来看的可利用的威胁。

■安全有效性：自动化活动评估有多少现有的安全控制可以阻止和检测安全服务的性能。

■安全一致性：持续的评估，如分析安全工具配置、检测有效性或敌对威胁模拟，揭示了安全差距，并提供了对必要的客户和供应商改进的见解。

■事件响应效能：对安全服务和客户响应机制的及时性和有效性的真实评估，衡量检测、调查和响应所测试的攻击场景的时间。

■安全成熟度改进：详细的结果说明了系统的优势和差距，可以快速转化为针对客户的推荐改进计划以及可能的安全服务提供商改进。

这也正好与华云安一直强调的“攻击者视角”和“持续验证”思路相契合。在国内，华云安是最早将攻击面管理（ASM）和入侵和攻击模拟 （BAS）从新技术进行创新并付诸实践应用的企业之一。在将BAS入侵与攻击模拟与攻击面管理技术进行联动后，华云安便形成了一套完整的安全验证方法论：以安全验证的技术和手段来验证安全有效性和安全的价值。

华云安认为，最终安全验证的目标，一定是为企业提供一套完整的、可量化的，评估企业安全风险整体态势的安全体系。以及在验证结果相悖的状态下，指导用户如何更好地服务于业务和安全的需求。

华云安：以攻击者视角构建完整的安全验证体系

 作为国内攻击面管理领域的领先者，华云安基于攻击者视角构建完整的安全验证产品与服务体系，包括定位于内部资产攻击面管理的灵洞·网络资产攻击面管理（Ai.Vul），定位于外部资产攻击面管理的灵知·互联网监测预警中心（Ai.Radar），定位于入侵和攻击模拟的灵刃·智能渗透与攻击模拟（Ai.Bot）：

内部资产攻击面管理，主要提供内部资产的可见性，解决漏洞的问题。通过 API 与现有工具集成来管理所有资产，查询整合的数据，确定漏洞的范围和安全控制方面的差距。

外部攻击面管理，通过外部视角来发现面向互联网的企业资产、系统和相关漏洞，如服务器、凭证、公共云服务配置错误和可能被利用的第三方软件代码漏洞等。

入侵与攻击模拟，入侵与攻击模拟技术，通过测试系统检测和阻止模拟攻击的能力来验证系统的安全状况。使安全服务商或企业能够更好地了解业务系统等安全态势。

渗透测试即服务，本质上是通过渗透测试的方法远程对系统进行安全测试。PTaaS 简化了测试流程和管理，更加轻量级、实时且持续。

红队服务，攻防演练和红队服务，采用人工服务的方式，以攻击视角进行安全测试。随着技术的演进，自动化渗透测试工具增强了现有的渗透测试和红队能力。

华云安以攻击面视角来构建从检测到分析到响应的攻击面管理完整的闭环体系。此外，在安全验证上，华云安覆盖完整的智能渗透、攻击模拟、战法推演的安全验证能力。安全验证的目标是提供一套完整的、量化的，评估企业安全风险的整体态势，主要功能包括：

深度挖掘企业完整攻击面

通过自动化验证性测试发现企业内部真实存在的攻击面；迭代攻击模型能够将多类型弱点进行关联，发现隐藏的漏洞，深度挖掘企业攻击面。

 整个网络杀伤链的可见性

按照 KillChain 杀伤链模型对目标进行细粒度的模拟攻击测试，呈现完整的攻击链路和攻击方法，暴露弱点的同时不影响业务连续性。

基于场景的安全验证策略

不仅仅是对防火墙、WAF、EDR等单一控制措施进行有效性验证，还提供对勒索软件防御、APT检测、云安全合规等场景化的安全验证能力 。

全面监控和优化安全状态

通过持续验证，有效地量化和评估企业安全风险，管理企业网络安全态势，在面对威胁变化和业务驱动时，平衡安全与业务的关系。

华云安的安全验证全面覆盖了完整的智能渗透、攻击模拟，战法扮演的安全验证能力，未来将持续面向用户的需求场景为客户带来深度挖掘完整攻击面的能力，提供整个网络杀伤链的可见性能力，并提供更加贴近数字化应用场景的安全验证策略。为企业常态化安全运营提供支撑与保障。