直播回顾 | 持续安全有效性验证专题研讨会

2023年8月,安在新媒体作为国内网络安全专业第三方媒体服务机构,对外发布重磅报告——《2023中国持续安全有效性验证用户调研报告》,从用户视角出发,结合业界主流观点,对安全验证进行全面分析、概括、总结和展望。
以报告发布为契机,安在新媒体特意组织专场专题直播,特邀塞讯验证CTO/联合创始人王景普、某跨国企业首席安全官赵锐、斯元商业咨询创始人Bruce ZHANG等多方专家参与其中,共论热点,以飨观者。此次直播由安在合伙人、报告出品人&本场主持人张威主持。

(从上至下、从左至右,依次为张威、王景普、Bruce ZHANG、赵锐)

议题分享:《安全验证 技术分享》

王景普
塞讯验证CTO/联合创始人

01

什么是安全验证?

Gartner对此定义:安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何利用已识别的威胁暴露,以及安全防御体系和流程的实际应对情况。蓝队和红队工具正朝着高度定制和灵活入侵的方向融合,以更有效地测试企业的防御能力,包括安全控制手段和监控工具的有效性和配置。由此产生的验证结果能够让跨团队决策更轻松,也帮助组织决策者分配相关资源。
而塞讯对此定义,安全验证是利用覆盖黑客真实攻击的全攻杀链的攻击场景,来自动化地持续验证安全防御的有效性,其包括可以进行“安全运维-基础运维”的有效性验证、“安全产品防御能力”的有效性验证、“安全运营-关联分析”的有效性验证、“安全运营-事件响应”的有效性验证,帮助客户对防御有效性现状进行评估,并基于验证结果提出的缓解建议进行优化提升与补足,最终实现整体防御能力的提升或保持相应水平。
王景普介绍,90年代已出现了扫描工具,列如Nessus等直到如今还会使用,到了2000年,开始出现类似于漏扫这样的补丁管理。而2013年是一个分水岭,最著名的“棱镜门”事件,让更多的安全从业者知道了APT攻击,于是相应的就出现了手工POC验证和手工渗透测试验证。2015年,出现了自动化渗透验证,以及红蓝对抗/攻防演练这样服务性质的验证手段。从2016年开始,护网行动元年到来。所以,从手工验证一直到护网,其实大家已经潜移默化的接触到了验证手段。
2017年Gartner定义了BAS概念,最初对领域定义时,Gartner用了入侵与攻击模拟。2021年,Gartner将BAS技术列入年度前八大安全与风险管理技术趋势之一,同年的安全运营成熟度曲线里,BAS技术达到了热度顶峰,国内也是在同一时间将其称之为安全验证。
2022年,Gartner对BAS技术被广泛采纳的预测从5-10年,转变为了2-5年,可见BAS技术正在快速被市场所接纳;2023年,Gartner将BAS技术领域发展为“安全验证”理念。
2020年国外安全验证概念已出现,并对BAS概念进行了发展,比如security validation、security control validation、continuous security validation、cyber security testing and validation。其针对不同甲方客户的需求,发展了相应的产品。

02

安全验证和传统的BAS到底有什么不同?

安全验证是对BAS概念的扩充和发展,我们可以将其理解为BAS 2.0。理论上来,安全验证类的解决方案,除了拥有BAS应有的功能外,还应该拥有以下几个方面的能力:

1、破坏性攻击模拟
实现具有破坏性的攻击真实模拟且保障业务无损,同时实现攻杀链的全链条攻击模拟。
2、内置攻击场景
内置大量预定义的攻击场景(如:行业特有攻击场景、APT组织场景等)而非单一的漏洞利用场景。
3、持续安全验证
持续、自动的攻击模拟与闭环验证,监测IT环境的安全防御能力漂移。持续性的意义是非常重要的,只有持续了才能够知道365天里,企业实际的防御水位到底是怎么样的。
4、威胁情报实时联动
与第三方威胁情报的实时联动进行攻击实验自动转化,这样就能丰富攻击手法,佐证攻击的真实性。
5、整体验证与评估
针对整体的安全防御体系、安全运营能力验证,以后还能发展为针对企业运营的风险评估。

安全验证的技术难点有很多,其中最难、最核心的莫过于攻击库,攻击库的数量、丰富度、覆盖度决定了产品的核心能力。首先,针对于攻杀链来讲,要去覆盖到所有的阶段,而不是只在初始访问阶段打点,应该是全链条的;其次,要覆盖各种技术和战术,全球最著名的ATT&CK框架对此有所总结。
第三点是要覆盖各种各样的攻击场景,比如钓鱼、挖矿、勒索或APT组织;第四点是覆盖各种威胁组织,包括相关组织的攻击手法,包括每个组织有多少量级,这决定了企业的模拟在不同的方面能有足够的输出。如果库的数量、丰富度、覆盖度不够,就很难做到全面的攻击模拟,很难得出对于现在甲方整个防御体系的现状评估。
其他的一些技术难点。比如更新,只有及时才能够跟得上黑客攻击手法的产生与使用,比如攻击模拟无害化,由于目前的安全验证类都是在实际的生产环境中来使用的,所以要确保能够模拟整个攻杀链的全过程,同时确保其对整个环境是没有任何影响的。此外还有集成联动简易化和缓解建议落地化。

部署要点方面,首先是对环境的了解,乙方要看自己的产品是不是适合;其次是部署的方式,部署方式可以多样化;第三点是考量,对于甲方来讲,其应该包含方便性、安全性、人力成本和可扩展性;第四点是运营,企业要制定可落地的安全验证运营方案,这样才能结合目前的安全运营来体现安全验证的价值。
有了安全验证之后,就可以去实现覆盖整个完整攻杀链,不同攻击阶段的不同攻击手法的模拟。当安全验证平台部署在实际的环境中,只要其处在一个区域,方便和整个环境中所部署的节点能够通讯就可以了。对于使用者来讲,只需要在平台上编排攻击场景,可以使用平台自带的,也可以自定义编排。
平台+节点会把黑客攻击的全过程全都模拟出来,在不同的阶段,不同的技战术部分,可以有不同的数量、不同的手法的攻击,最终能够验证企业当下的各种防御手段是否有效。

甲方疑问

议题分享完毕,赵锐对此表示,安全验证和过去的BAS相比,度量和反馈方面是有明显提升的。过去在DevOps或DevSecOps里,对于开发、测试和运维阶段,甲方都会去看相关的指标,比如开源组件的漏洞数,比如上线前、运营过程中、开发测试过程中、生产运营过程中,或红蓝对抗过程中,漏洞的发现率以及漏洞的修复率,还有像代码安全扫描的一些误报率、成功率。另外,还包括黑盒扫描的漏洞发现率、漏洞误报率和漏洞修复率,以及白盒工具扫描出的漏洞数、发现率、误报率,等等。虽然企业拥有较大的平台可以进行整体的管理,但塞讯的安全验证出来之后,把很多的功能都结合了。
赵锐指出,很多人以为做安全就是堆产品,但是产品堆得越多,安全能力并不一定会提升,关键看甲方有没有把产品用好。有些甲方比较用心,会拉着乙方过流程,让安全产品更好地纳入企业的安全管理生命周期,并在误报率较低的情况下才正式上线使用,但有些甲方看到别家有什么好的产品,就直接上线使用了,结果导致误报很多,反而降低了安全能力和安全工作的效率。
为此,赵锐提出疑问,在甲方的很多个生命周期里,通过塞讯验证是否可以替代原有的工具,比如:代码检测、渗透测试、攻防演练等一些自动化的工具?
王景普对此回答:首先,我们的目标不是去替代甲方原有的手段,而是可以理解为,安全验证是用另外一种方式,是通过攻击模拟的维度来进行测试的,其更注重于站在黑客攻击的视角去模拟攻击,所以漏洞只是其中的一部分,其更关注于各种攻击手法,是综合性的防御体系度量平台,基于的是各种黑客的技战法,因此很多测试和漏洞并没有关系,模拟的都是黑客现有的各个手段。
接下去,赵锐提出了第二个问题:当下,利用已有、公开、可利用漏洞去做POC相应测试的厂商并不少见,但结合业务场景,以及不同企业所在的业态、系统、架构去做测试的情况并不多,所以对于可将攻击的模拟场景进行设定和录制的内容,他希望王景普能再展开介绍。
王景普对此表示: 安全验证的重点围绕的是防御有效性,即衡量的是,应用、系统外围的各种防御手段,它们本身针对攻击的防御有效性。所以外围的防护和应用、系统内部的漏洞检测,这两个维度是不同的,且都应该存在。
对甲方来说比较累的一点,是应用和系统永远有漏洞,也永远修不完,所以更多的时候,甲方的应用和系统会依赖于外围的防线,看这些防御手段能不能防止针对应用和系统的各种攻击尝试。
安全验证产品正处于发展迭代中,所以将来也会涵盖“针对某个目标系统去做一些攻击的尝试”,但相对来讲,其还没有办法真正替代人工渗透测试,当然不排除以后AI能力会赋能到产品上。目前,针对于目标系统,安全验证可以完成部分工作,其至少可以告诉甲方哪些漏洞是存在的,哪些漏洞是可以被利用的。
区别于国内,对于海外市场,Bruce ZHANG表示,从投资和行业研究的角度来看,这几年甲方企业对安全验证的态度都是比较关注的,全球出现了许多这方面的新型公司。接着,Bruce ZHANG也提出了自己的疑问,他想知道安全验证的自定义攻击手法是怎么操作的。
王景普对此表示: 安全验证自定义有两个层面,第一个是基于安全验证类产品现有的工具库,甲方企业可以自己定义、设计攻击场景。也就是说,不管是从外部资源拿到的攻击事件溯源报告,还是企业内部关于安全事件的溯源报告,只要库里具备这些报告中所提及的攻击方法,企业都可以选择并将此定义到攻击场景中,然后进行攻击模拟。
第二层自定义对甲方来说更具挑战。首先是甲方要能够拿到攻击手法,其次要分析攻击手法的细节,这样才能通过安全验证类产品提供的自定义功能,将攻击手法定义成一个可以在平台上运行的攻击实验。当然,甲方也可以将收集、分析等任务交给乙方,让乙方来定义。
Bruce ZHANG对此表示,国外确实有公司已经将安全验证真正自动化的融入到生态里了,不同于其他的工具,完成的只是项目或行动,甲方需要根据所出的报告再让工具迭代起来,安全验证可以在实际工作中就和其他工具联动起来,完成更新。而让 Bruce ZHANG感到好奇的是,安全验证之后的发展趋势会不会更偏向于“做平台”,就好比游戏机,出游戏卡和出游戏机的是两家公司,所以有没有可能,之后做安全验证产品的和做自定义攻击手段的是两个赛道?
王景普对此表示:这是完全有可能的。只要甲方没有时间收集、分析各种攻击手段,他们就会去买相关公司的一些服务,而这些提供服务的公司只要通过标准的平台把攻击手法定义出来,就可以在安全验证类的产品上运行。当然,从现阶段来讲,自定义模块和安全验证平台最好由一家提供,因为其中可能会牵扯到兼容性问题。
由于国内各类安全产品之间的API互动生态还不算完善,所以平台间直接操作互动的难度很大,当然也有平台可以作为中间环节,打通安全验证平台和其他安全产品之间的连结,实现中间环节的自动化,并根据验证的结果、根据验证的使用手法来进行迭代。

报告分享

《2023年中国持续安全有效性验证产品企业用户调研报告》

张威
安在合伙人、报告出品人
从安全发展情况来看,过去的安全像护具,业务部门常常弃如敝履,之后的安全像保镖,虽然在业务方面的地位提高了,但业务总感觉安全会影响效率,而随着发展,当下的安全更类似于白细胞,其成为了业务的一部分,不再是业务的负累,安全彻底植入到了整个生态链中,因此安全验证变成了未来非常重要的一个节点。
报告指出,在安全验证领域,持续自动化安全验证已经成为替代传统人工安全验证技术的一种新趋势,通过高度自动化、高安全性的攻击模拟,自动化安全验证产品让用户以实战化的方式验证、评估、并持续优化企业安全防护有效性,在动态威胁态势下持续保障用户网络全面的、持续的安全状态。未来在安全运营、红蓝对抗、安全决策、安全监管等方面将起到重要作用。
目前来说,在中国市场,安全验证确实可以替代掉一部分渗透测试和红蓝对抗的作用;在甲方企业,渗透测试的工作由自有团队来开展,同时也会通过外部的第三方,来进一步验证自己内部的防护结果,另外,企业的应急响应形式中,主要还是依靠人工和制度驱动,换句话说,就是自动化的程度不强,潜在对安全验证的市场和需求是存在的。

调查显示,目前企业用户对自动化安全验证产品的认知程度正在快速提高,自评5分以上者占比突破57%,其中熟悉程度较高者,8-10分者已占比为15.9%。
企业用户对自动化安全验证产品的接受度较高,96.8%的用户都接受自动化安全验证产品,仅3.2%的用户不接受自动化安全验证产品,不接受原因主要包括“单位不允许使用saas产品”、“担心泄露内部信息”、“非必须产品”、“担心自动化安全验证产品不稳定”、“费用太贵”等。
虽然海外的大型企业对实施性要求和连续性要求比较高,但目前在国内,中小企业包括很多大型企业,它们对产品的生态,对系统的迭代要求还不像海外那么高,所以有一些用户会对安全验证持怀疑态度。
报告指出,中国网络安全市场稳健增长,预计到2023年底将超2500亿元,2021年至2023年复合增长率达19.3%。其中,自动化安全验证产品市场增长讯猛,2019年市场规模约为人民币4.3亿元,预计到2023年将达到人民币10.1亿元,年复合增长率为23.8%。

调查显示,一千多个用户中,目前20.93%的企业用户已经部署了自动化安全验证产品;仍未采购,但计划采购的占比33.06%;正在考虑的占比31.94%;仅14.07%的用户反馈,认为自动化安全验证对其企业不必须。
在参加过国家级攻防演练的企业中,28%的企业用户已部署,计划采购的占比为37%,正在考虑的占比为26%,不必须占比9%。在末参加过国家级攻防演练的企业中,有14%的企业用户已部署自动化安全验证产品,计划采购占比30%,正在考虑占比37%,不必须占比19%。很明显,参加过国家级攻防演练的企业用户更愿意接受和部署自动化安全验证产品。
调查显示,自动化安全验证产品目前主要集中在互联网、金融、政府、智能制造、智能网联/车联网等行业。这些企业中,按企业规模来分,大于1000人的大型企业占比41%,300人-1000人的中型企业占比35%,300人以下的小微企业占比为24%;以企业类型来分,政府/国资企业占比39%,外资企业占比20%,民营企业占比29%,个体企业占比12%。
企业用户部署自动化安全验证产品目前主要的作用是开展安全合规评估、攻防演练/SOC演练、企业安全防御态势评估、替代人工渗透测试等;企业安全团队的规模与自动化安全验证产品的部署有一定的关联,安全团队人员5至20人的团队,其组织部署自动化安全验证产品的意愿最高。

报告对已部署产品的厂商进行了分析,其中有6家国产,18家企业,18企业,分析主要体现在四个维度,分别是“模拟攻击场景丰富度”、“部署方便程度”、“易用性情况”、“输出报告的完整和全面性”。
调查显示,当前用户使用自动化安全验证产品面临的主要问题包括模拟攻击场景有限、自动化能力不足、验证不一致、报告功能不完善、缺乏标准化测试方法等。
调查显示,已经有计划部署自动化安全验证产品的企业用户,主要分布在互联网、金融、政府、智能制造等行业,同时也在中大型企业中比较多。
调查显示,计划采购部署自动化安全验证产品的企业用户预计在半年内部署的占24%,在1年内部署的占56%,在2年内部署的占20%,以1年内部署的居多。还在考虑部署自动化安全验证产品的企业用户,主要分布在互联网、金融、智能制造、政府、医疗等行业。

未来,安全验证的发展趋势一定是平台化,其核心竞争力是攻击库,其次还会体现在智能化、全场景化、成长化、运营化等方面。

圆桌讨论

报告分享完毕,各方专家开始了圆桌讨论。
赵锐:甲方对安全的需求,首先是依法合规,其次对企业自身来说,就是要在保障系统安全稳定的情况下多赚钱。从安在推出的报告来看,这几年的攻击手段、攻击方式在不断变化,相应的,保护甲方企业业务生产能够稳定正常运行的方式也在不断发展。而企业的大小,以及安全团队成员的多寡,在使用新产品、新技术的时候,其差异会非常大。
所以,新产品的目标用户还是集中在大型、受监管比较严格的企业里,而其实中小型企业在互联网上遇到的威胁都是一样的,只不过规模较小,所以受到关注的程度较低。随着新产品,新技术的推广和运用,后续的安全产品最好能发展为让中小型企业也能方便使用的趋势,这样我们的市场环境才会更好。
王景普:目前,塞讯已经发布了安全验证的SaaS版本,我们希望通过SaaS版本的一些促销政策和推广力度,能够让更多的中小企业认识、体验、使用到安全验证类产品。安全验证的SaaS版本需要在内部部署节点,由于中小企业内部的安全区域并不多,关注点相对较少,所以节点数量、场景不会太多,对团队的压力也不会太大。
Bruce ZHANG: 安全有着如此多的场景,不管是勒索、反诈还是业务层面,最终其实还是要恢复到分值概念,比如有20个问题的企业会比有30个问题的企业要好,这中间需要一个权重评分体系,如果安全验证能和这个体系挂钩,其价值会更加突出。比如在评分体系里,如果企业没做好某件事,其分值就会变成59分,之后如果改进了,就会变成81分,又或者通过评分能建议企业先修什么、先验证什么,这样就更完美了。

对于Bruce ZHANG的建议,张威表示,许多企业不太愿意打分自身的安全态势,于是他提问,甲方是如何看待此事的?

 

赵锐:不同企业的关注点是不一样的,在很多甲方企业,其实最后考核的不是安全,而是开发、测试和运营。比如等保打分,一开始每家企业都会比较低,之后逐年提升,一直到八、九十分,就很难再提升了,后续正好借着等保会更新标准,监管发布新的要求,得分会在这时再次降低,安全部门因此就可以向管理层和其他业务部门的领导去解释,因为监管有了新的要求,所以我们某个部分的打分低了。但整体上,安全不会直接承认自己什么地方没做好。

张威提问: 用户部署安全验证需要做些什么准备?

王景普: 对内部安全区域较多、原有安全策略执行较严格的企业来说,准备工作会比较多,同时也更加细致,比如企业需要准备好资源的申请、节点的规划、网络策略的开通等。另一方面,安全验证部署之后需要有专员管控,不能只让其全部自动化的运行,企业如果不做好相应的分析,不做好后续的优化和提升,就等于违背了最初使用安全验证的初心。
当下,市面上所能提供出来的产品并没那么复杂,主要是在结果出来之后做分析,看怎么去优化提升,这时候就需要负责平台的专员,以及不同安全维度的负责人一起来讨论、分析漏检问题。所以,相对来讲,其更讲究内部合作关系,而不是派专员整体盯着。

张威提问: 假如企业要部署安全验证,甲方会更关注哪些方面的性能或指标?

赵锐:对于安全验证,首先会衡量它给我们带来的收益情况是怎么样的,比如在代码检测、漏扫、渗透测试以外,它能否带来有益的补充。其次,由于所有的产品和服务都需要对应的员工去管控,所以资源分配方面,人员的投入和收效比率也是我们关注的重点。

主要而言,就体现在四个方面,“是不是实际存在这样的问题?”“监管是不是有相应的要求?”“软件成本情况怎么样?”“人力带来相应的影响有哪些?”如果安全验证能让安全团队在企业里拥有更多的话语权,同时也能更好地为企业业务运营提供服务,那所有人都会愿意去采购和使用的。

张威提问: 假设有两个人在蓝军里挖漏洞、做攻防、做渗透测试,部署安全验证后能否替代掉原有的一部分工作量?

王景普:举个例子,内部做渗透的人员如果要去完成人工验证,他大概需要半个月的时间。首先他先要去收集漏洞利用或某种攻击手法,所花时间大概在三至五天,之后拿到了攻击手法,他要花一到两天的时间研究,接下去,是要在内部搭建环境,以验证所研究的内容是否符合所想,最终到真正落实、验证目标后,整个过程需要两周的时间。

而用了安全验证类产品,如果攻击手法或漏洞已存在于攻击库,就可以直接跑,因为安全应用产品的攻击节点和被攻击节点都是现成的,所以原本需要十天才能完成的任务,现在半天就能完成了,同时相关人员可以将节省出来的时间用于更深入的研究,比如去发现一些业务上的逻辑漏洞,这是自动化所做不到的。总结而言,就是人员多的情况下,可以调节人员配备,如果人员少的话,安全验证可做好基础性的工作,让技术人员可以有时间去做更高级的任务。

张威提问:安全验证赛道的价值如何?

Bruce ZHANG:这两年安全工具在爆炸式的增长,如此趋势下,很多能直接给客户带来价值的产品才会排名靠前;其次,从今年整个经济环境来看,安全产品更靠近业务侧的,才更容易获得甲方的关注。所以综合来看,安全验证赛道还是比较好的。

另一方面,安全验证和靶场相比会怎么样?一个是在真环境里控制尺度,一个是在假环境里真打,甲方对此又先选哪一个,此二者所带来的价值点或许不同。个人感觉,客户或许更倾向于选择在真环境里打磨自己的安全工具。
赵锐:靶场和安全验证,公司不同选择不同。有些企业担心动生产会对自己的业务产生影响,所以他们更愿意选择靶场。但还有一些企业喜欢在真实的环境里做测试,源于攻击对于真实业务造成许多的影响,在靶场里难以被发现。所以,产品有各自的客户对象,而从实际效果来说,在真实环境里所做的安全验证,更能说明安全能力,并通过实际效果给出具有说服力的证明。

张威提问:限制安全验证发展的因素有哪些?

Bruce ZHANG:是标准化。虽然在某个具体的攻击手法定义上肯定是标准的,但把它们组合起来,似乎难以做到统一的标准化,简而言之就是卡带和游戏机无法匹配,其在设计时有某种程度的粘连。同时,国外在“卡带和游戏机”的匹配方面也没有发展得很完善。

王景普:所以安全验证要能和威胁情报联动。可以是安全验证厂商直接和第三方威胁情报厂商合作,也可以是具备自定义攻击手法平台的甲方,自己去找国内那些手上有干货的供应商。“卡带”无论是由安全验证厂商自己提供,还是由第三方供应商提供,其目的都是为了丰富攻击库。
至于在哪几种场景下的验证效果比较好,这和甲方的期望值有直接关系。有些企业想验基础运维上的基本问题,有些企业想验安全产品本身的能力怎么样,还有一些想验自动化响应流程怎么样。另一方面,产品需要具备灵活度,不能只在某一方面很强,当然,大而全,没有突出点的产品也不好。总而言之,综合实力越强,就越能满足客户的期望。

张威提问:从甲方角度来说,你希望安全验证能帮你解决哪些问题?

赵锐: 首先是希望能减少安全人员因工具误报而造成的资源浪费;其次,希望使用了安全验证后,可以提升效率;同时,也希望安全验证能和代码或零代码平台一样,当业务提出相应的需求时,可以通过安全验证给出业务安全的相关配置,让安全和业务更好地合作。

张威提问: 未来安全验证市场会有怎样的前景?

Bruce ZHANG:如果产品能将源头和最终用户连起来,就可以直接让业务人员写需求,然后让大模型自动实现,产生模拟验证的剧本。安全圈里每个人的角色是不一样的,专长也是不一样的,攻防特别厉害的人不用研究怎么造游戏机,专门做剧本就行,而现有的白帽子就是现成的社区,对平台来说等于有了源源不断的活力。

 

到了前端业务,如果能用上一些新的技术,可能每个公司就不再困扰要做整个生命线了,而是能将整个安全验证做成生态链,每个人做好其中的一个环节,最终交付给客户的产品是拼装好的、标准化的、高质量就行。如果未来安全验证能成为这样的模式,那市场就会特别大。相关报告已上传至“诸子云知识星球”,扫码即可获取