2023年4月,全球权威IT研究与咨询机构Gartner在最新发布的2023年9大顶级网络安全趋势报告中,将安全验证作为一大主要技术趋势列入其中。Gartner认为:“到2026年,超过40%的组织将依靠整合平台来运行安全验证评估。”
Gartner提出,网络安全验证评估的范围应包括:
• 安全攻击面:攻击面评估包括资产可见性、错误配置、补丁卫生和从对手的角度来看的可利用的威胁。
• 安全有效性:自动化活动评估有多少现有的安全控制可以阻止和检测安全服务的性能。
• 安全一致性:持续的评估,如分析安全工具配置、检测有效性或敌对威胁模拟,揭示了安全差距,并提供了对必要的客户和供应商改进的见解。
• 事件响应效能:对安全服务和客户响应机制的及时性和有效性的真实评估,衡量检测、调查和响应所测试的攻击场景的时间。
• 安全成熟度改进:详细的结果说明了系统的优势和差距,可以快速转化为针对客户的推荐改进计划以及可能的安全服务提供商改进。
这也正好与华云安持续强调的“攻击者视角”和“持续验证”思路相契合。华云安基于攻击者视角构建完整的安全验证产品与服务体系,包括定位于网络资产攻击面管理的灵洞(Ai.Vul),定位于外部资产攻击面管理的灵知(Ai.Radar),定位于入侵和攻击模拟的灵刃(Ai.Bot),以及渗透测试即服务、红队服务。
2023年5月30日,由北京华云安信息技术有限公司发起的2023网络安全运营技术峰会(简称SecOps2023)上,华云安创始人兼CEO沈传宝提出攻击面管理是安全验证的最佳应用场景。发布了基于用户不同的场景的14种攻击面管理解决方案,共涉及监管、金融、能源、政府、运营商、车联网、企业七大行业。今天,我们先来浅谈华云安基于行业属性的攻击面管理安全验证方案。
数字政府建设的体系化安全解決方案
近年来,政府单位的信息系统都已接受过实战攻防的检验,投入海量资源建设的安全体系在面对实战时,效果不及预期。
华云安以“有效安全运营,助力科学决策”为核心,提供持续确认资产弱点,落实现有防御体系有效性,支撑政府单位的安全运营工作,为抵御威胁提供可靠依据的攻击面管理方案,其中包括:
攻击面收敛:对外暴露的资产越多,安全工作开展越困难,尤其是对于有省-市-县多级网络架构的单位更是如此。本方案帮助组织机构定期梳理网络边界,评估可能被攻击的路径,收敛暴露在外的攻击面。
全面风险评估:系统运营者不仅要对自己的资产情况了如指掌,对资产的安全状况也必须充分清晰。本方案帮助政府单位对数字网络资产进行周期性清点以及全面的风险评估。
防御有效性评估:纵深防御体系在网络防护中尤为重要。本方案帮助政府单位以自动化的攻击模拟测试来检验安全防护工作的有效性,进行防护体系的动态评价,完善纵深防御体系。
基于安全知识图谱的国家漏洞知识工程
网络空间安全已经上升为国家安全战路高度,网络安全漏洞资源成为世界各国争夺的网络安全焦点,对漏洞资源的管控成为安全战略的核心工作。秉着“以良好的生态运营体系提升漏洞资源管理质量“为目的,履行企业服务国家、服务社会、服务公众的社会职责,为监管部门更好地掌控网络安全漏洞信息资源提供技术支撑和能力保障。
多源漏洞数据采集:通过平台网络收集、共享接入、社会提交等方式对全球公开漏洞库、收费漏洞库、安全厂商、等渠道的漏洞信息、补丁文件、漏洞验证代码、漏洞利用代码、验证环境、资产信息等数据资源进行收集。
漏洞价值实战分析:形成包含21个实体对象,300+属性字段的国家漏洞知识工程数据标准规范,同时采用知识图谱构建国家网络安全漏洞知识,对多种漏洞数据资源进行实战型分析,实现漏洞数据价值的深度挖掘。
弹性云原生架构:提供多种漏洞分析与管控应用微服务,覆盖监管机构漏洞收录、数据处理、分析验证、预警通报和修复消控的工作能力,基于工程需求对漏洞不同阶段的数据存储、查询、分析和应用。
面向能源提供商的关基保护解決方案
当前能源企业普遍面临资产信息不全面、弱点无评价、防御无验证等安全难题,急需强化实战安全运营能力,提高抵御大规模网络攻击的水平。华云安以“防范复杂多变的网络威胁,保障关基系统安全运行为目的,以实战化、自动化的技术手段开展安全防御能力体系化验证,量化安全能力,助力实现网络安全零事故目标。
全面资产管理:使用自动化的资产发现融合技术对资产进行管理,多维度发现并监控企业数字资产、工控资产、电力物联网资产,消除影子资产风险,全方位感知企业完整资产数据。
实时攻击监测:实时收集能源系统中的IT/OT流量数据并进行解析,通过规则匹配、沙箱、威胁情报、大数据分析等技术实时监测网络中的攻击流量。
持续防御验证:结合网络攻击战法与情报,利用自动化模拟攻击技术、路径探测技术、结果评估技术相结合,对安全防御能力进行评价;以安全评价结果指导网络安全投资建设,完善网络安全防御体系。
面向金融机构的网络空间资产攻击面管理解决方案
金融行业数字化转型带来了更多云化、移动化的新产品与新体验,产品、业务快速迭代,业务量迅速增长,导致资产量级指数增加,随之而来的是更为复杂的攻击面管理难题。华云安以“资产为中心,全方位保护金融业务安全”为目的,从攻击者角度赋能帮助金融防御者发现自己的资产盲区,以实战化、自动化的攻击面管理技术手段开展安全防御能力体系,对业务安全风险实时验证,量化现有安全能力,助力实现网络安全零事故目标。
01 全面的资产发现与纳管:生态化API接口,多维采集组织数字资产信息,并通过外部攻击面管理的知识图谱模型对无主资产、僵尸资产、影子资产等不同类资产进行标记和可视化呈现,同时持续监测资产的存活、端口开放、弱点等历史信息变化情况。
02 资产视角的攻击面管理:以攻击者视角挖掘检测企业网络空间资产攻击面,提供持续监控的网络资产管理能力。通过强化资产视角的管理能力,不断提高资产可见性,减少安全风险。
03 持续精准的风险评价:通过持续性自动化安全攻击测试以及基于原理验证式PoC技术,对各类资产的攻击面进行全面精准评估。结合防御设备日志对防御有效性进行评估。
面向运营商的攻击面检测及协同联防解决方案
随着5G时代到来,传统通信网络与互联网进行了全面联动,互联网上出现的安全威胁被牵引到通信网络上,运营商遇到的安全风险正在逐渐增大。以“攻防视角构建自上而下的协同联防能力“为核心,统一集成运营商的海量数字资产,基于攻击者视角对资产数据进行分析研判,精确发现安全隐患,通过漏洞情报的全省协同检测、联防响应、快速处置能力,最终实现“演习成果固定化、深度防御常态化”。
省级平台构建
建设全省攻击面检测及协同联防管理能力,基于检测发现、分析评估、情报响应、响应处置一体化的攻击面管理模型实现精准、全面的安全检测方式,快速定性研判事件,提升安全运营水平。
分公司能力构建
分公司形成资产攻击面闭环管理能力,全面检测攻击面,并结合外部情报赋能,协同关联标记,提供事前预警、事中发现、事后处置功能,贯穿整个攻击面管理生命周期。
生态化安全能力
各市、区县分公司平台能够接入CMDB、资产测绘、漏洞扫描、EDR、自动化渗透工具、威胁分析溯源等数据,联动ITSM、态势感知等系统实现响应处置。
情报驱动的v2x智能网联车攻击面管理解決方案
汽车全面智能化,车机系统软件代码的急剧增长,汽车与外界连接逐渐增多,攻击面便随之增长,从云端平台到车端部件都存在较高的安全风险。华云安以“情报赋能车联网风险,实时攻击面预警“为核心,依托国家车联网漏洞库,以车型为单元对11类、90个汽车部件进行数宇化管理,24小时内完成从“车联网漏洞情报采集”至 “受影响汽车部件”的关联告警。
全车型资产台账管理:以车型为单元,对车型下具体汽车整车及零部件组成相关信息化资产进行管理,包括T-Box IVIOBD、CAN、 ECU、网关、域控制器等资产部件进行识别,构建资产台账。
高价值汽车漏洞情报推送:全面采集汽车安全会议论坛、汽车黑客、移动安全黑客博客相关漏洞,结合车联网研究团队定向挖掘、整车测试以及汽车行业漏洞库进行数据整合,为车企输出高价值汽车漏洞情报。
受影响汽车部件及时告警:结合汽车情报推送服务及本地化部署的智能汽车漏洞库,与攻击面管理中心内全系车型信息化部件台账信息,进行自动化匹配关联,通过图谱化的数据深度分析,提供受影响部件告警信息。
基于SECaaS模式的中小企业网络安全合规解決方案
全球范国内发生的勒索软件攻击事件显著增多,对于网络安全防护能力更弱的中小企业来说,面临的风险更是不能承受。针对中小企业安全弱合规背景,以“用最少投入满足合规要求,从实战效果出发降低企业安全风险”目的,采用攻击面管理体系方式,针对企业内外部资产进行检测,分析研判当前弱点情况,针对可被利用的资产进行梳理,验证当前攻击路径,针对性安全建设,以最小的投入完成最具实际防御效力的安全防护能力建设,降低被勒索攻击等安全事件造成经济损失的风险,满足等级保护合规要求。
网络资产攻击面管理:自研生态化API接口,集成资产管理平台、扫描设备的资产数据和外部攻击面管理平台数据,全方面获取企业内外部资产,及时发现影子资产和老化资产,以攻击者视角对安全风险进行检测评估,实现自动化的漏洞处置和检测过程,记录所有漏洞的变更、操作、最终的风险处置。
互联网威胁实时监测:实时监测企业暴露在互联网上的信息资产,形成具有即时性、可定位性、可追湖性的暴露面测绘,同时收集互联网泄露人员信息、供应链安全隐患等情报,实现企业全网威胁监测预警。
网络安全专家技术服务:技术专家配套提供等保咨询、安全培训、方案规划专项检测、渗透测试、应急响应、安全运营等多种服务,确保方案落地。