华云安·概念篇:从Gartner报告看安全运营技术发展趋势
全球新冠疫情深刻改变了人们的生活方式、工作学习习惯,加速行业和企业的数字化转型进程。在这一过程中,各个企业将数字技术融合到自身的运营流程、产品和解决方案中,相关创新技术对企业的业务模式、组织架构和企业文化产生了积极影响,但同时给企业带来了更多的安全威胁和风险,因此以风险管控为导向的安全运营技术已经成为企业关注的重点方向。
安全运营的发展,需要技术融合架构
安全运营不仅仅是一个部门、团队或一组技术。它是由人员执行的一系列最佳实践的过程,旨在保护企业组织免受伤害。安全运营人员需要利用各种新兴安全技术来快速检测和缓解威胁,以降低安全风险。
2021年7月,Gartner发布了《Hype Cycle for Security Operations, 2021》(2021安全运营技术成熟度曲线),对主流的安全运营技术进行了解读,预测创新技术的发展阶段,为组织的安全和风险管理负责人提供参考,并帮助其更有效的制定组织的网络安全发展策略。
技术成熟度曲线(The Hype Cycle),又称技术循环曲线,指的是企业用来评估新 科技 的可见度,利用时间轴与市面上的可见度,决定是否采用新科技的一种工具。1995年开始,Gartner依其专业分析预测与推论各种新科技的成熟演变速度及要达到成熟所需的时间,具体可分为:技术萌芽期、期望膨胀期、泡沫破裂谷底期、稳步爬升复苏期、生产成熟期5个阶段。
在《Hype Cycle for Security Operations, 2021》报告中:
技术萌芽期和期望膨胀期:诸如外部攻击面管理(EASM、网络资产攻击面管理(CAASM)、扩展检测和响应(XDR)、突破和攻击模拟(BAS)、漏洞优先技术(VPT)等新兴技术被归类到了技术萌芽期和期望膨胀期, 这些技术处于快速发展阶段,且被市场高度认可,但只有少数企业开展了相关技术研究和产品研发,因此具备较大的市场前景。
泡沫破裂谷底期:安全编排自动化与响应(SOAR)、欺骗防御(DP)、威胁情报(TI)等相关技术被归类到泡沫破裂谷底期, 在经历过产业市场和资本市场的狂热追逐之后,技术关注度逐渐冷却,市场进入冷静期 。
稳步爬升复苏期和生产成熟期:终端检测与响应(EDR)、安全信息和事件管理(SIEM)、漏洞评估(VA)等发展多年的技术已经比较成熟稳定,被归类到了稳步爬升复苏期和生产成熟期, 相关技术已经在各行各业有着比较成熟的应用,市场空间趋于稳定。
然而,在《Hype Cycle for Security Operations, 2021》中提到的,各种不同安全运营技术所覆盖的领域往往是独立的,相关技术很难实现有效的整合。对于安全管理者来说,更希望通过一个平台或者框架来融合不同的安全能力,亦或者是通过一套完整的方法论来落地威胁和风险管理,以提高对威胁的感知能力、网络安全管控和响应能力。在技术萌芽期和期望膨胀期的诸多技术中, 攻击面管理(ASM)可以说既是一个新兴技术,一个新兴的方法论,亦是一个天然的技术融合架构。
ASM是实现持续风险管理的最佳实践
攻击面管理(ASM)旨在以攻击者视角,从外部发现企业组织的数字资产,包括但不限于应用、IP、端口、域名、数据、云服务等已知资产和未知资产,并基于资产清点开展风险、脆弱性和异常行为评估,结合内部业务和外部威胁情况开展风险优先排序,进而指导管理者制定缓解措施和处置计划,及时进行攻击面收敛,对威胁和风险进行有效管控。
在攻击面管理(ASM)过程中,可以通过外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)的能力,进行攻击面的主动检测和持续监控,通过扩展检测和响应(XDR)能力被动进行攻击面检测和威胁发现,通过突破和攻击模拟(BAS)以及渗透测试服务(Pen Testing as a Service)等对抗的方式发现潜在的弱点和风险,通过威胁情报(TI)准确定位威胁行为,通过漏洞优先级技术(VPT)指导攻击面收敛。相关技术可以融入到攻击面管理的技术框架中,并作为一个子集提供独特的安全能力。
通过攻击面管理(ASM)框架,可以有效整合各种安全能力,实现攻击面的有效检测、分析、响应和监控。同时传统的网络安全方法论,例如PDCA、ASA(自适应安全框架)模型, 都可以平滑过渡到攻击面管理(ASM ) 方法框架中,最终实现以风险为导向的安全管理闭环 。对于企业来说,可以有效降低学习成本和技术成本,可以说攻击面管理(ASM)框架使得企业具备了从合规导向演进到风险导向的条件,让企业能够聚焦网络安全的本质,这也符合全球网络安全产业发展的趋势。
华云安攻击面管理(A SM )方法框架
华云安基于多年的网络安全漏洞研究与人工智能赋能攻防的技术实践,基于攻击者视角,提供一系列完整的攻击面检测和管理解决方案。作为攻击面管理(ASM)框架的最佳实践, 华云安从漏洞评估、智能渗透、威胁检测、情报协同、管理响应等五个方面实现攻击面的持续检测响应能力。
华云安灵鉴TM弱点检测与评估系统(Ai.Scan)定位于新一代、轻量级漏洞检测与评估,目标是精准定位企业真实的安全风险;灵刃®智能化渗透攻防系统(Ai.Bot)定位于人工智能与攻击模拟相结合,提供企业内部深度的攻击面检测能力;灵源TM高级威胁检测与分析系统(Ai.Hunter)主要面向零日攻击与未知威胁的检测,基于人工智能技术进行漏洞利用等攻击行为捕获;灵智TM 互联网 安全风险库(Ai.KG)则是情报驱动、先于攻击的互联网攻击面监测系统;灵洞®自适应威胁与漏洞管理平台(Ai.Vul)则是基于漏洞优先级技术进行企业完整攻击面管理与响应的自适应安全能力平台。
回到Gartner《Hype Cycle for Security Operations, 2021》报告,可以看出产业界对网络安全技术发展是有着清楚地认知,传统的安全技术偏向于被动防御,更加关注合规性要求,但是面对真实的攻击者,合规已经不能满足当下的安全需求。面向未来的安全防御技术,更能体现主动防御的技术思路,即突破合规思想,突出对抗防御思想,从攻击者视角来审视安全防御措施的有效性。Gartner报告可以充分证明,风险管理依然是网络安全的核心。像攻击面管理(ASM)这类的新兴技术,就是对抗防御和主动防御思想的重要表现形式和落地方法,对于企业和技术供应商来说,也将是未来重要的投入方向。