(从上至下、从左至右,依次为张威、王景普、Bruce ZHANG、赵锐)
议题分享:《安全验证 技术分享》
01
什么是安全验证?
02
安全验证和传统的BAS到底有什么不同?
安全验证是对BAS概念的扩充和发展,我们可以将其理解为BAS 2.0。理论上来,安全验证类的解决方案,除了拥有BAS应有的功能外,还应该拥有以下几个方面的能力:
甲方疑问
报告分享
《2023年中国持续安全有效性验证产品企业用户调研报告》
圆桌讨论
对于Bruce ZHANG的建议,张威表示,许多企业不太愿意打分自身的安全态势,于是他提问,甲方是如何看待此事的?
张威提问: 用户部署安全验证需要做些什么准备?
张威提问: 假如企业要部署安全验证,甲方会更关注哪些方面的性能或指标?
赵锐:对于安全验证,首先会衡量它给我们带来的收益情况是怎么样的,比如在代码检测、漏扫、渗透测试以外,它能否带来有益的补充。其次,由于所有的产品和服务都需要对应的员工去管控,所以资源分配方面,人员的投入和收效比率也是我们关注的重点。
张威提问: 假设有两个人在蓝军里挖漏洞、做攻防、做渗透测试,部署安全验证后能否替代掉原有的一部分工作量?
王景普:举个例子,内部做渗透的人员如果要去完成人工验证,他大概需要半个月的时间。首先他先要去收集漏洞利用或某种攻击手法,所花时间大概在三至五天,之后拿到了攻击手法,他要花一到两天的时间研究,接下去,是要在内部搭建环境,以验证所研究的内容是否符合所想,最终到真正落实、验证目标后,整个过程需要两周的时间。
张威提问:安全验证赛道的价值如何?
Bruce ZHANG:这两年安全工具在爆炸式的增长,如此趋势下,很多能直接给客户带来价值的产品才会排名靠前;其次,从今年整个经济环境来看,安全产品更靠近业务侧的,才更容易获得甲方的关注。所以综合来看,安全验证赛道还是比较好的。
张威提问:限制安全验证发展的因素有哪些?
Bruce ZHANG:是标准化。虽然在某个具体的攻击手法定义上肯定是标准的,但把它们组合起来,似乎难以做到统一的标准化,简而言之就是卡带和游戏机无法匹配,其在设计时有某种程度的粘连。同时,国外在“卡带和游戏机”的匹配方面也没有发展得很完善。
张威提问:从甲方角度来说,你希望安全验证能帮你解决哪些问题?
张威提问: 未来安全验证市场会有怎样的前景?
Bruce ZHANG:如果产品能将源头和最终用户连起来,就可以直接让业务人员写需求,然后让大模型自动实现,产生模拟验证的剧本。安全圈里每个人的角色是不一样的,专长也是不一样的,攻防特别厉害的人不用研究怎么造游戏机,专门做剧本就行,而现有的白帽子就是现成的社区,对平台来说等于有了源源不断的活力。