“持續(xù)安全驗(yàn)證”如何從攻擊者視角發(fā)現(xiàn)防御體系弱點(diǎn)?
摘要: 塞訊驗(yàn)證平臺(tái)是一個(gè)細(xì)致貼心的安全大管家。
公元383年,淝水之戰(zhàn),前秦皇帝苻堅(jiān)自認(rèn)為擁有八州之眾、百萬雄兵,而東晉僅八萬軍力。其若親率大軍征伐東晉,必定如探囊取物。然而,最終卻是苻堅(jiān)大敗,身死沙場(chǎng)。
其實(shí),苻堅(jiān)并非昏庸之君,其誅暴君,平天下,確實(shí)讓前秦“有眾百萬,資杖如山”的兵力和“投鞭于江,足斷其流”的軍威。苻堅(jiān)之?dāng)?,竊以為在于不知彼又不知己,盲目自信于自身之強(qiáng),而忽視天下大勢(shì)。
以史為鏡,可明得失。事實(shí)上,古往今來,雖世象萬千,但很多事萬變不離其宗。放眼網(wǎng)絡(luò)安全領(lǐng)域,同樣如此。網(wǎng)安疆場(chǎng),明槍暗箭、攻防對(duì)抗、入侵系統(tǒng)、竊取情報(bào)、拖拽數(shù)據(jù)……本質(zhì)上與古代戰(zhàn)場(chǎng)并無太大區(qū)別,同樣要拼人力,拼智慧,拼硬件、拼軟件。
當(dāng)今,企業(yè)系統(tǒng)已然離不開安全防護(hù)。因?yàn)樵诤诵臄?shù)據(jù)就是企業(yè)生命的當(dāng)下,如果系統(tǒng)大門敞開,可別指望“夜不閉戶、路不拾遺”的傳統(tǒng)美德來規(guī)避風(fēng)險(xiǎn)。
然而,企業(yè)耗費(fèi)人力財(cái)力建立了看似完備的網(wǎng)絡(luò)安全防御體系,真的管用嗎?可能很多企業(yè)心里沒譜,大體還處于“花錢買安心”的狀態(tài);要么如苻堅(jiān)一般,自以為安全防御體系投入甚巨,人員眾多,產(chǎn)品夠強(qiáng),便覺固若金湯,高枕無憂。
做好安全,本質(zhì)上還是需要知己知彼。知己則是心中有數(shù),數(shù)即是量化;知彼則需要更可靠的安全工具,以感知威脅組織如何進(jìn)行攻擊。然而,安全投資+人員投入≠實(shí)際防護(hù)效果,當(dāng)下已是普遍存在的現(xiàn)象。所以,亟需一種更為有效的安全驗(yàn)證手段,來驗(yàn)證企業(yè)安全防御體系是否真的有效。
安全驗(yàn)證為何存在必要性?
游戲世界中,戰(zhàn)斗力可用幾千或幾萬標(biāo)注?,F(xiàn)實(shí)世界里,能力并非是實(shí)質(zhì)性的存在物,故而難以量化。現(xiàn)代軍隊(duì),往往通過紅藍(lán)對(duì)抗演練,來驗(yàn)證實(shí)戰(zhàn)能力,獲得一定的技能量化數(shù)據(jù)。
網(wǎng)安領(lǐng)域,企業(yè)安全防御體系能力同樣難以量化。但“難”并不代表“不可能”,經(jīng)過眾多網(wǎng)安人的開拓探索,當(dāng)下已有有效的安全量化方式。畢竟安全的重要性與緊迫性,使得安全驗(yàn)證擁有存在的必要性。而這個(gè)必要性,通過如下問題即可感知。
作為企業(yè)安全負(fù)責(zé)人,你不妨思考這幾個(gè)問題:你所在企業(yè)的安全防御能力怎么樣,如何證明?每一個(gè)安全產(chǎn)品的配置是否最優(yōu)?日志分析系統(tǒng)關(guān)聯(lián)分析結(jié)果是否準(zhǔn)確?同行業(yè)公司發(fā)生的攻擊事件,你們能夠抵御嗎?每年制定的預(yù)算,如何花在真正需要補(bǔ)足的地方,依據(jù)是什么?
我們相信,如此簡(jiǎn)單的問題,許多企業(yè)可能并不能給出確切的回答。因?yàn)樵诂F(xiàn)實(shí)中,絕大多數(shù)企業(yè)安全建設(shè)的現(xiàn)狀可能是這樣的:安全產(chǎn)品的宣稱功能和實(shí)際效果存在巨大的落差;在安全產(chǎn)品的投入上,每花費(fèi)10元,收益僅為2元;安全建設(shè)中,未必每個(gè)產(chǎn)品的都能真正發(fā)揮價(jià)值;安全事件響應(yīng)團(tuán)隊(duì)實(shí)戰(zhàn)能力缺乏檢驗(yàn),實(shí)際防御能力與公司對(duì)自身的理解存在偏差。
當(dāng)然,企業(yè)在長(zhǎng)期安全建設(shè)過程中,勢(shì)必早已摸索出一條合適道路,并長(zhǎng)期讓企業(yè)安全維持在一定的水位。但風(fēng)險(xiǎn)日新月異,威脅始終在變,如果對(duì)自家安全防御能力缺乏清晰量化的認(rèn)知,則代表過往的安全不排除有幸運(yùn)的加成。
這并非危言聳聽。今年2月,公安三所調(diào)研得出,企業(yè)在進(jìn)行網(wǎng)絡(luò)安全實(shí)戰(zhàn)防護(hù)能力建設(shè)時(shí),會(huì)遇到諸多能力和困難,主要體現(xiàn)在三個(gè)層面:
1、實(shí)戰(zhàn)防護(hù)能力現(xiàn)狀不清晰。經(jīng)過近些年的合規(guī)建設(shè),組織大多建設(shè)了自身的網(wǎng)絡(luò)安全防護(hù)體系,但現(xiàn)有體系在實(shí)戰(zhàn)中能否有符合預(yù)期的表現(xiàn),缺少清晰、量化的評(píng)價(jià)手段;
2、實(shí)戰(zhàn)防護(hù)能力建設(shè)缺乏指引。與傳統(tǒng)基于合規(guī)的安全防護(hù)體系建設(shè)不同,基于實(shí)戰(zhàn)的安全防護(hù)體系建設(shè)需要面臨更加復(fù)雜多變的情形,在沒有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的情況下如何科學(xué)、有效的構(gòu)建實(shí)戰(zhàn)防護(hù)體系成為組織的迫切需求;
3、防護(hù)體系盲區(qū)難以發(fā)現(xiàn)。安全體系建設(shè)具備典型的“木桶效應(yīng)”,這一點(diǎn)在實(shí)戰(zhàn)中尤為凸顯,而常規(guī)的安全評(píng)估及安全測(cè)試手段,難以體系、全面的尋找安全建設(shè)的短板及盲區(qū)。
此外,4月12日,Gartner發(fā)布了2023年9大主要網(wǎng)絡(luò)安全趨勢(shì),重新關(guān)注人為因素。Gartner提出安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者在設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新考慮他們?cè)诩夹g(shù)、架構(gòu)和以人為本要素之間的投資平衡。并強(qiáng)調(diào),到2026年,超過40%的組織(包括三分之二的中型企業(yè))將依靠整合平臺(tái)來運(yùn)行安全驗(yàn)證評(píng)估。
對(duì)比近幾年Gartner網(wǎng)絡(luò)安全趨勢(shì),安全驗(yàn)證在今年的報(bào)告中首次出現(xiàn)。
綜上而觀,企業(yè)確實(shí)有必要持續(xù)對(duì)其安全防御成熟度進(jìn)行驗(yàn)證。所謂驗(yàn)證,即是在安全運(yùn)營(yíng)過程中,對(duì)企業(yè)各能力維度所有潛在風(fēng)險(xiǎn)的細(xì)致考察,以及應(yīng)用必要的驗(yàn)證措施,識(shí)別防護(hù)手段的有效性,進(jìn)而分析現(xiàn)有態(tài)勢(shì),讓企業(yè)更為科學(xué)有效地評(píng)估自身實(shí)戰(zhàn)能力。
法律法規(guī)的合規(guī)要求亟需安全驗(yàn)證
近些年,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》的陸續(xù)頒布執(zhí)行,相繼提出要定期演練以及采取必要措施保障持續(xù)安全狀態(tài)?!兜缺?2.0》三級(jí)要求定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
此外,金融行業(yè)、醫(yī)療行業(yè)、工業(yè)領(lǐng)域等都陸續(xù)誕生了針對(duì)網(wǎng)絡(luò)安全的細(xì)則管理辦法。尤其是在新基建的戰(zhàn)略下,關(guān)鍵基礎(chǔ)設(shè)施的安全保障更對(duì)是網(wǎng)絡(luò)安全的要求更為明細(xì)和嚴(yán)苛。
2022年10月12日,國(guó)家市場(chǎng)監(jiān)督管理總局(國(guó)家標(biāo)準(zhǔn)化管理委員會(huì))批準(zhǔn)發(fā)布GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(下文簡(jiǎn)稱《要求》),并將于2023年5月1日正式實(shí)施。
《要求》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等6個(gè)方面提出了111條安全要求。
《要求》的發(fā)布與實(shí)施,即對(duì)企業(yè)的安全合規(guī)提出了更高的要求,也就意味著企業(yè)需要在認(rèn)知層面,對(duì)自身安全達(dá)到清晰且量化的程度。因此安全驗(yàn)證必不可少,對(duì)此,《要求》有著明文規(guī)定。
《要求》4安全保護(hù)基本原則指出:“以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù),根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的威脅態(tài)勢(shì)進(jìn)行持續(xù)監(jiān)測(cè)和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對(duì)安全風(fēng)險(xiǎn)。”
針對(duì)此類問題,市面上可能比較通用“安全編排自動(dòng)化與響應(yīng)”(SOAR)。但是,SOAR也存在一些缺陷,比如,SOAR有多少基于APT攻擊的場(chǎng)景響應(yīng)?攻擊沒來時(shí)怎么確認(rèn)SOAR定義的觸發(fā)條件能匹配真實(shí)的攻擊?
《要求》7.6.2入侵防范指出:“應(yīng)采取技術(shù)手段,提高對(duì)高級(jí)可持續(xù)威脅(APT)等網(wǎng)絡(luò)攻擊行為的入侵防范能力。”
對(duì)此,通用解決方案大概是部署網(wǎng)絡(luò)IPS、主機(jī)IPS、NTA、NDR等技術(shù)手段。但是,怎么知道它們能檢測(cè)與防范多少已知的APT組織、UNC組織、FIN組織、臨時(shí)命名組織、勒索軟件團(tuán)伙?真實(shí)的APT攻擊出現(xiàn)前,如何驗(yàn)證它們是可以檢測(cè)與防范的?
此外,《要求》7.7 安全建設(shè)管理、8.1 檢測(cè)評(píng)估制度、8.2 檢測(cè)評(píng)估方式和內(nèi)容、8.2 檢測(cè)評(píng)估方式和內(nèi)容、10.2 主動(dòng)防御-攻擊發(fā)現(xiàn)與阻斷、10.3 攻防演練中,分別提到了仿真驗(yàn)證環(huán)境、安全檢測(cè)評(píng)估制度、評(píng)估周期、攻擊防護(hù)響應(yīng)、改進(jìn)安全保護(hù)策略、定期實(shí)網(wǎng)攻防演練等內(nèi)容。
然而,當(dāng)前許多安全手段都存在一定缺陷。比如,防御體系很難1:1被全部復(fù)刻到靶場(chǎng)環(huán)境中;檢測(cè)評(píng)估至少一年一次,然檢測(cè)結(jié)果僅代表一時(shí)狀態(tài);滲透測(cè)試與自動(dòng)化滲透一般只針對(duì)單點(diǎn)系統(tǒng),無法體現(xiàn)防御體系的防護(hù)和響應(yīng)能力;定期演練難以縮短至按周或天執(zhí)行等等。
因此,針對(duì)《要求》提出的內(nèi)容,我們不但要對(duì)安全進(jìn)行驗(yàn)證,還應(yīng)當(dāng)尋找一種新的安全驗(yàn)證方法,確保安全驗(yàn)證的可靠與有效。
新的安全度量驗(yàn)證技術(shù)當(dāng)有何種能力
我們搜尋市場(chǎng)上相關(guān)產(chǎn)品,發(fā)現(xiàn)塞訊驗(yàn)證發(fā)布的塞訊安全度量驗(yàn)證平臺(tái)(下文簡(jiǎn)稱“塞訊驗(yàn)證平臺(tái)”),恰是對(duì)上述問題有著針對(duì)性的解決方案。其宣稱能夠“安全、快速地驗(yàn)證組織內(nèi)各個(gè)場(chǎng)景的安全防護(hù)能力”。
據(jù)悉,塞訊驗(yàn)證平臺(tái)是一個(gè)安全監(jiān)測(cè)平臺(tái),可以持續(xù)地測(cè)試、度量和提高網(wǎng)絡(luò)安全效率,為IT環(huán)境提供度量工具,可參照真實(shí)攻擊進(jìn)行可重復(fù)的持續(xù)性端到端的測(cè)試,從而驗(yàn)證已部署的安全措施正在按照預(yù)期設(shè)計(jì)工作,并可主動(dòng)發(fā)現(xiàn)環(huán)境中的變更帶來的對(duì)防護(hù)效果的影響進(jìn)行告警。
作為一個(gè)安全大管家,塞訊驗(yàn)證平臺(tái)可謂身懷十八般武藝。
其擁有全自動(dòng)化驗(yàn)證的能力,可自定義范圍、場(chǎng)景、劇本、循環(huán)周期等,既能上威脅刀山,又能下風(fēng)險(xiǎn)火海,還十分聽從各項(xiàng)指令,滿足各類場(chǎng)景,最大限度貼合使用者的需求。
此外,其能夠覆蓋網(wǎng)絡(luò)安全、端點(diǎn)/主機(jī)安全、郵件安全、AD安全、云安全、API安全、應(yīng)用安全、數(shù)據(jù)安全、DNS安全、OT安全、物聯(lián)網(wǎng)安全、移動(dòng)安全等多個(gè)安全維度,實(shí)現(xiàn)全方位安全有效性驗(yàn)證。
01強(qiáng)大攻擊庫與主動(dòng)防御
安全防護(hù)自然避免不了攻擊,俗話說“未知攻焉知防”,攻擊防護(hù)層面亦是塞訊驗(yàn)證平臺(tái)的拿手絕活。
目前,其已掌控6000多種攻擊手法和1000余種攻擊場(chǎng)景,并對(duì)200多個(gè)APT組織(包含特殊命名、臨時(shí)命名的威脅組織)進(jìn)行追蹤研究,還覆蓋了包括LOCKBIT、DARKSIDE在內(nèi)的68個(gè)勒索團(tuán)伙,可通過真實(shí)攻擊場(chǎng)景中提取的信息,還原真實(shí)事件進(jìn)行模擬。
正因如此,塞訊驗(yàn)證平臺(tái)擁有強(qiáng)大的攻擊庫。在攻擊庫管理中,可以多維度進(jìn)行篩選,輕松找到需要的攻擊手法。
眾所周知,控制和抵御風(fēng)險(xiǎn)的最佳實(shí)踐就是做好主動(dòng)防御的各項(xiàng)準(zhǔn)備,塞訊驗(yàn)證平臺(tái)可以提供真實(shí)的APT攻擊手法,來提前驗(yàn)證防御體系是否能在攻擊來臨時(shí)有效抵御。此外,還能以攻擊者視角審視并改善安全防御體系。
由于網(wǎng)絡(luò)上的攻擊手段五花八門,漏洞利用也是眼花繚亂,因此對(duì)威脅組織攻擊手段的掌握,難免會(huì)顧此失彼,或者就重避輕,這就容易產(chǎn)生“千里之堤毀于蟻穴”的可能性。
而塞訊驗(yàn)證平臺(tái)的攻擊庫,注重各種攻擊手法的模擬,而非只關(guān)注重大漏洞利用的攻擊,這就保證了攻擊庫的完整性以及實(shí)戰(zhàn)的有效性。
也正因塞訊驗(yàn)證平臺(tái)攻擊庫俱收并蓄,其可在各個(gè)場(chǎng)景下大顯身手,比如銀行業(yè)、能源行業(yè)、醫(yī)療行業(yè)等。并且可以預(yù)定義多種驗(yàn)證場(chǎng)景一鍵驗(yàn)證,如釣魚郵件、勒索軟件、挖礦軟件、軟件供應(yīng)鏈攻擊、重大漏洞等場(chǎng)景,相當(dāng)全能便捷。
02安全機(jī)制保證無傷客戶資產(chǎn)
有人會(huì)疑惑,模擬真實(shí)攻擊,會(huì)不會(huì)把自家系統(tǒng)給破壞了,反而成了威脅攻擊的幫兇?
塞訊驗(yàn)證平臺(tái)通過安全驗(yàn)證大腦+AI攻防機(jī)器人的架構(gòu),不以生產(chǎn)業(yè)務(wù)系統(tǒng)為目標(biāo),且無需構(gòu)建靶機(jī),也不會(huì)引入新的風(fēng)險(xiǎn),利用個(gè)角色和特殊保護(hù)機(jī)制,保證所有樣本文件危害性控制在沙盤內(nèi)部,驗(yàn)證過程中保證業(yè)務(wù)無損。
具體來說,即是平臺(tái)上進(jìn)行了系統(tǒng)加固和數(shù)據(jù)保護(hù),在安全驗(yàn)證大腦與AI攻防機(jī)器人之間的通信,均使用加密通信,隔絕一切可能的方式竊取用戶的實(shí)驗(yàn)數(shù)據(jù);在網(wǎng)絡(luò)上,AI攻防機(jī)器人僅且只能與相關(guān)AI攻防機(jī)器人及安全驗(yàn)證大腦進(jìn)行通信,保證了在驗(yàn)證過程中客戶資產(chǎn)及網(wǎng)絡(luò)環(huán)境的安全。
因此,所有真實(shí)樣本均經(jīng)過沙箱提取行為,并將關(guān)鍵破壞行為去除。無害化處理過的樣本可以放心執(zhí)行。如果部分實(shí)驗(yàn)無法實(shí)現(xiàn)完全無害化,塞訊驗(yàn)證平臺(tái)也可提供一個(gè)沙箱環(huán)境的AI攻防機(jī)器人,其有更為嚴(yán)格的網(wǎng)絡(luò)管控和回滾機(jī)制,因此也不具備破壞能力。
03AI如何為驗(yàn)證平臺(tái)賦能
AI是當(dāng)下一個(gè)炙手可熱的的詞匯,似乎萬物皆可AI。而AI如何為塞訊驗(yàn)證平臺(tái)賦能呢?
通過上文平臺(tái)架構(gòu)一圖可知,塞訊驗(yàn)證平臺(tái)擁有一個(gè)安全驗(yàn)證大腦。安全驗(yàn)證大腦使用AI技術(shù),通過海量的樣本學(xué)習(xí)安全產(chǎn)品告警日志內(nèi)容,以賦能在平臺(tái)上的日志分析模塊判斷告警內(nèi)容,是否與驗(yàn)證平臺(tái)的攻擊相一致 (除了常規(guī)五元組之外),以提高告警與攻擊模擬任務(wù)匹配的準(zhǔn)確度。
AI攻防機(jī)器人則是通過AI智能算法和模型實(shí)現(xiàn)流量的自動(dòng)生成、變形與交互響應(yīng),且傳輸隧道方式自適應(yīng)環(huán)境而自動(dòng)選擇,無需因黑客攻擊微小變化而更新攻擊庫。
04安全運(yùn)營(yíng)能力便捷有效
產(chǎn)品的易用性也是一項(xiàng)安全成本,塞訊驗(yàn)證平臺(tái)實(shí)際使用效果如何呢?
塞訊驗(yàn)證平臺(tái)使用可視量化防御體系,可以定制各種角色觀看的界面,如從公司高層、到CISO,再到安全運(yùn)營(yíng)中心,安全度量平臺(tái)通過可視量化圖表,讓各級(jí)人員都能夠理解和溝通安全工作的現(xiàn)狀。
對(duì)于管理層而言,能夠直觀了解自家網(wǎng)絡(luò)安全防護(hù)能力,清晰認(rèn)識(shí)到安全帶來的價(jià)值和投資回報(bào)率,對(duì)企業(yè)當(dāng)前防護(hù)水平有量化認(rèn)知,也符合合規(guī)要求。
對(duì)于安全負(fù)責(zé)人而言,直觀視圖能夠有效認(rèn)識(shí)安全建設(shè)規(guī)劃及預(yù)期與實(shí)際效果之間的差距,為未來的規(guī)劃、建設(shè)、優(yōu)化等決策,提供科學(xué)量化依據(jù)。
對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)來說,持續(xù)評(píng)估關(guān)鍵基礎(chǔ)設(shè)施及應(yīng)用部署的防御能力,油畫防護(hù)配置和事件響應(yīng)流程,提升防護(hù)效果。
05具備持續(xù)安全驗(yàn)證能力
網(wǎng)絡(luò)世界,風(fēng)險(xiǎn)無處不在,且隨時(shí)隨地。就如守城將士,哪怕只有一刻松懈,就能讓敵人趁虛而入。
有鑒于此,塞訊驗(yàn)證平臺(tái)擁有持續(xù)驗(yàn)證的能力,即持續(xù)性地監(jiān)控網(wǎng)絡(luò)環(huán)境中防御能力的變化,設(shè)定“周天時(shí)”對(duì)特定攻擊行為進(jìn)行模擬,一旦防護(hù)能力發(fā)生變化,即可主動(dòng)告知安全運(yùn)營(yíng)團(tuán)隊(duì)。安全有效性驗(yàn)證可以讓安全運(yùn)營(yíng)形成閉環(huán)。
除此之外,塞訊驗(yàn)證還提供延展性的服務(wù)。比如HW前風(fēng)險(xiǎn)評(píng)估服務(wù)、勒索軟件防御評(píng)估服務(wù)、挖礦軟件防御評(píng)估服務(wù)、安全專家補(bǔ)救建議服務(wù)、安全事件響應(yīng)分析服務(wù)等,進(jìn)而從更多維度,來保障客戶的安全體系建設(shè)。
實(shí)踐是檢驗(yàn)產(chǎn)品強(qiáng)大與否的關(guān)鍵標(biāo)準(zhǔn)
安全領(lǐng)域,任何技術(shù)和產(chǎn)品的最終價(jià)值,都需要在落地實(shí)踐中發(fā)揮出來,紙上談兵終究無法戰(zhàn)勝現(xiàn)實(shí)中強(qiáng)大的敵人。對(duì)此,我們獲取了塞訊驗(yàn)證針對(duì)500強(qiáng)金融客戶安全驗(yàn)證的實(shí)踐案例,或能一窺其驗(yàn)證平臺(tái)能力。
該500強(qiáng)金融公司客戶,已構(gòu)建較高水平的安全防御體系,也有專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì),擁有SOC、SOAR、威脅情報(bào)等平臺(tái),事件響應(yīng)與合規(guī)流程皆符合標(biāo)準(zhǔn)。
乍一看,該公司安全防護(hù)體系完備無缺,實(shí)際上其現(xiàn)有安全規(guī)則的驗(yàn)證手段仍存在諸多不足,比如缺少檢驗(yàn)Use Case是否實(shí)際有效的手段,也無法檢驗(yàn)?zāi)壳案黝惢A(chǔ)設(shè)施的安全基線是否需要更新。此外,其與其他行業(yè)大多頭部企業(yè)存在相似現(xiàn)狀,即普遍缺少對(duì)自身安全防御能力的精準(zhǔn)驗(yàn)證。
對(duì)此,客戶公司提出三點(diǎn)需求:
1、需要以攻擊者視角針對(duì)不同的攻擊階段與攻擊手法、ATT&CK 框架中的技戰(zhàn)術(shù)發(fā)現(xiàn)安全防御體系的弱點(diǎn);
2、需要提高安全運(yùn)營(yíng)團(tuán)隊(duì)的運(yùn)營(yíng)能力,包括平臺(tái)能力、人員經(jīng)驗(yàn)、驗(yàn)證響應(yīng)流程的準(zhǔn)確性與合理性;
3、需要量化數(shù)據(jù)作為依據(jù)支撐未來的安全規(guī)劃。
塞訊驗(yàn)證與客戶公司探討研究發(fā)現(xiàn),客戶面臨三大挑戰(zhàn):1、新的防御缺陷不斷出現(xiàn);2、現(xiàn)有防御效果的驗(yàn)證手段不足;3、事中/事后的關(guān)聯(lián)分析困難。針對(duì)其痛點(diǎn)和需求,塞訊驗(yàn)證提供的解決方案覆蓋以下四個(gè)方面:
1、塞訊驗(yàn)證平臺(tái)以豐富的涵蓋各個(gè)攻擊階段與攻擊手法的模擬攻擊,在生產(chǎn)環(huán)境中真實(shí)模擬,發(fā)現(xiàn)安全防御體系的弱點(diǎn);
2、與 SOC 平臺(tái)聯(lián)動(dòng)獲取各類安全產(chǎn)品告警日志,實(shí)現(xiàn)閉環(huán)驗(yàn)證,確定相關(guān)安全防御手段是否有正常的響應(yīng),直接告知驗(yàn)證結(jié)果;
3、持續(xù)的周期性驗(yàn)證監(jiān)測(cè)環(huán)境變化帶來的安全防御能力飄移,從而及時(shí)發(fā)現(xiàn)與修正;
4、針對(duì)發(fā)現(xiàn)的問題提供緩解建議,幫助安全團(tuán)隊(duì)衡量和增強(qiáng)對(duì)威脅的準(zhǔn)備情況,并變得更加主動(dòng)。
客戶公司實(shí)施第一個(gè)季度,實(shí)現(xiàn)了終端/主機(jī)類安全產(chǎn)品策略優(yōu)化48條,網(wǎng)絡(luò)類安全產(chǎn)品策略優(yōu)化25條,建議增加新型安全防御手段一種。
塞訊驗(yàn)證平臺(tái)為每個(gè)驗(yàn)證實(shí)驗(yàn)提供ATT&CK標(biāo)準(zhǔn)的緩解建議,在驗(yàn)證完成后對(duì)發(fā)現(xiàn)的問題提供詳細(xì)動(dòng)作信息,為客戶公司安全產(chǎn)品或 SOC 關(guān)聯(lián)分析的優(yōu)化和安全運(yùn)營(yíng)水平的提升提供助力。
并且,通過持續(xù)驗(yàn)證累積的數(shù)據(jù),體現(xiàn)不同安全區(qū)域以及攻殺鏈不同攻擊階段防御的強(qiáng)弱,為公司未來安全建設(shè)規(guī)劃提供量化數(shù)據(jù)支撐。
寫在最后:持續(xù)安全驗(yàn)證大有可為
當(dāng)前,安全驗(yàn)證作為一項(xiàng)新興的、正在崛起的理念和技術(shù),能夠?yàn)楦黝惤M織機(jī)構(gòu)提供持續(xù)性的安全態(tài)勢(shì)評(píng)估,并對(duì)企業(yè)安全防御產(chǎn)品進(jìn)行有效性驗(yàn)證,保障企業(yè)安全層面的投資收益。
對(duì)于塞訊驗(yàn)證而言,其為國(guó)內(nèi)首家提出“持續(xù)安全驗(yàn)證”理念的安全廠商,通過持續(xù)驗(yàn)證,幫助企業(yè)最大限度地提高現(xiàn)有安全投資的回報(bào)率。
塞訊驗(yàn)證在安全驗(yàn)證上的前瞻性并非浪得虛名。2021年,Gartner在安全趨勢(shì)中提出入侵和攻擊模擬(BAS);在今年報(bào)告中,Gartner將BAS作為一項(xiàng)驗(yàn)證工具囊括在安全驗(yàn)證這一整體趨勢(shì)下。這與塞訊驗(yàn)證的理念不謀而合,塞訊驗(yàn)證自2021年就在國(guó)內(nèi)率先提出安全驗(yàn)證理念,前瞻性地將BAS技術(shù)進(jìn)行擴(kuò)展,向安全驗(yàn)證演進(jìn)。
塞訊驗(yàn)證的眼界自是基于自身扎實(shí)的團(tuán)隊(duì)實(shí)力。其中,塞訊實(shí)驗(yàn)室是塞訊安全度量驗(yàn)證平臺(tái)的基石,聚集了業(yè)界頂尖的安全分析團(tuán)隊(duì),全天候追蹤互聯(lián)網(wǎng)黑客組織和漏洞,利用得到的一手威脅情報(bào),第一時(shí)間還原攻擊手法,為未受害企業(yè)提供驗(yàn)證手段。
安全,最好的模式就是防患于未然。語本《易·既濟(jì)》言:“君子以思患而豫防之”;防微杜漸、未焚徙薪、杜漸防萌等等,皆是此意。
塞訊安全度量驗(yàn)證平臺(tái),其背后所有的努力,都是致力于企業(yè)安全能夠防患于未然,并尋求搭建更全面的安全驗(yàn)證生態(tài),真正從客戶需求出發(fā),為客戶提供一站式安全驗(yàn)證解決方案,以更輕量化的投入,實(shí)現(xiàn)安全防御能力的跨越式提升。
我們相信,持續(xù)安全驗(yàn)證理念,未來將海闊天空,大有可為。
其實(shí),苻堅(jiān)并非昏庸之君,其誅暴君,平天下,確實(shí)讓前秦“有眾百萬,資杖如山”的兵力和“投鞭于江,足斷其流”的軍威。苻堅(jiān)之?dāng)?,竊以為在于不知彼又不知己,盲目自信于自身之強(qiáng),而忽視天下大勢(shì)。
以史為鏡,可明得失。事實(shí)上,古往今來,雖世象萬千,但很多事萬變不離其宗。放眼網(wǎng)絡(luò)安全領(lǐng)域,同樣如此。網(wǎng)安疆場(chǎng),明槍暗箭、攻防對(duì)抗、入侵系統(tǒng)、竊取情報(bào)、拖拽數(shù)據(jù)……本質(zhì)上與古代戰(zhàn)場(chǎng)并無太大區(qū)別,同樣要拼人力,拼智慧,拼硬件、拼軟件。
當(dāng)今,企業(yè)系統(tǒng)已然離不開安全防護(hù)。因?yàn)樵诤诵臄?shù)據(jù)就是企業(yè)生命的當(dāng)下,如果系統(tǒng)大門敞開,可別指望“夜不閉戶、路不拾遺”的傳統(tǒng)美德來規(guī)避風(fēng)險(xiǎn)。
然而,企業(yè)耗費(fèi)人力財(cái)力建立了看似完備的網(wǎng)絡(luò)安全防御體系,真的管用嗎?可能很多企業(yè)心里沒譜,大體還處于“花錢買安心”的狀態(tài);要么如苻堅(jiān)一般,自以為安全防御體系投入甚巨,人員眾多,產(chǎn)品夠強(qiáng),便覺固若金湯,高枕無憂。
做好安全,本質(zhì)上還是需要知己知彼。知己則是心中有數(shù),數(shù)即是量化;知彼則需要更可靠的安全工具,以感知威脅組織如何進(jìn)行攻擊。然而,安全投資+人員投入≠實(shí)際防護(hù)效果,當(dāng)下已是普遍存在的現(xiàn)象。所以,亟需一種更為有效的安全驗(yàn)證手段,來驗(yàn)證企業(yè)安全防御體系是否真的有效。
安全驗(yàn)證為何存在必要性?
游戲世界中,戰(zhàn)斗力可用幾千或幾萬標(biāo)注?,F(xiàn)實(shí)世界里,能力并非是實(shí)質(zhì)性的存在物,故而難以量化。現(xiàn)代軍隊(duì),往往通過紅藍(lán)對(duì)抗演練,來驗(yàn)證實(shí)戰(zhàn)能力,獲得一定的技能量化數(shù)據(jù)。
網(wǎng)安領(lǐng)域,企業(yè)安全防御體系能力同樣難以量化。但“難”并不代表“不可能”,經(jīng)過眾多網(wǎng)安人的開拓探索,當(dāng)下已有有效的安全量化方式。畢竟安全的重要性與緊迫性,使得安全驗(yàn)證擁有存在的必要性。而這個(gè)必要性,通過如下問題即可感知。
作為企業(yè)安全負(fù)責(zé)人,你不妨思考這幾個(gè)問題:你所在企業(yè)的安全防御能力怎么樣,如何證明?每一個(gè)安全產(chǎn)品的配置是否最優(yōu)?日志分析系統(tǒng)關(guān)聯(lián)分析結(jié)果是否準(zhǔn)確?同行業(yè)公司發(fā)生的攻擊事件,你們能夠抵御嗎?每年制定的預(yù)算,如何花在真正需要補(bǔ)足的地方,依據(jù)是什么?
我們相信,如此簡(jiǎn)單的問題,許多企業(yè)可能并不能給出確切的回答。因?yàn)樵诂F(xiàn)實(shí)中,絕大多數(shù)企業(yè)安全建設(shè)的現(xiàn)狀可能是這樣的:安全產(chǎn)品的宣稱功能和實(shí)際效果存在巨大的落差;在安全產(chǎn)品的投入上,每花費(fèi)10元,收益僅為2元;安全建設(shè)中,未必每個(gè)產(chǎn)品的都能真正發(fā)揮價(jià)值;安全事件響應(yīng)團(tuán)隊(duì)實(shí)戰(zhàn)能力缺乏檢驗(yàn),實(shí)際防御能力與公司對(duì)自身的理解存在偏差。
當(dāng)然,企業(yè)在長(zhǎng)期安全建設(shè)過程中,勢(shì)必早已摸索出一條合適道路,并長(zhǎng)期讓企業(yè)安全維持在一定的水位。但風(fēng)險(xiǎn)日新月異,威脅始終在變,如果對(duì)自家安全防御能力缺乏清晰量化的認(rèn)知,則代表過往的安全不排除有幸運(yùn)的加成。
這并非危言聳聽。今年2月,公安三所調(diào)研得出,企業(yè)在進(jìn)行網(wǎng)絡(luò)安全實(shí)戰(zhàn)防護(hù)能力建設(shè)時(shí),會(huì)遇到諸多能力和困難,主要體現(xiàn)在三個(gè)層面:
1、實(shí)戰(zhàn)防護(hù)能力現(xiàn)狀不清晰。經(jīng)過近些年的合規(guī)建設(shè),組織大多建設(shè)了自身的網(wǎng)絡(luò)安全防護(hù)體系,但現(xiàn)有體系在實(shí)戰(zhàn)中能否有符合預(yù)期的表現(xiàn),缺少清晰、量化的評(píng)價(jià)手段;
2、實(shí)戰(zhàn)防護(hù)能力建設(shè)缺乏指引。與傳統(tǒng)基于合規(guī)的安全防護(hù)體系建設(shè)不同,基于實(shí)戰(zhàn)的安全防護(hù)體系建設(shè)需要面臨更加復(fù)雜多變的情形,在沒有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的情況下如何科學(xué)、有效的構(gòu)建實(shí)戰(zhàn)防護(hù)體系成為組織的迫切需求;
3、防護(hù)體系盲區(qū)難以發(fā)現(xiàn)。安全體系建設(shè)具備典型的“木桶效應(yīng)”,這一點(diǎn)在實(shí)戰(zhàn)中尤為凸顯,而常規(guī)的安全評(píng)估及安全測(cè)試手段,難以體系、全面的尋找安全建設(shè)的短板及盲區(qū)。
此外,4月12日,Gartner發(fā)布了2023年9大主要網(wǎng)絡(luò)安全趨勢(shì),重新關(guān)注人為因素。Gartner提出安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者在設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新考慮他們?cè)诩夹g(shù)、架構(gòu)和以人為本要素之間的投資平衡。并強(qiáng)調(diào),到2026年,超過40%的組織(包括三分之二的中型企業(yè))將依靠整合平臺(tái)來運(yùn)行安全驗(yàn)證評(píng)估。
對(duì)比近幾年Gartner網(wǎng)絡(luò)安全趨勢(shì),安全驗(yàn)證在今年的報(bào)告中首次出現(xiàn)。
綜上而觀,企業(yè)確實(shí)有必要持續(xù)對(duì)其安全防御成熟度進(jìn)行驗(yàn)證。所謂驗(yàn)證,即是在安全運(yùn)營(yíng)過程中,對(duì)企業(yè)各能力維度所有潛在風(fēng)險(xiǎn)的細(xì)致考察,以及應(yīng)用必要的驗(yàn)證措施,識(shí)別防護(hù)手段的有效性,進(jìn)而分析現(xiàn)有態(tài)勢(shì),讓企業(yè)更為科學(xué)有效地評(píng)估自身實(shí)戰(zhàn)能力。
法律法規(guī)的合規(guī)要求亟需安全驗(yàn)證
近些年,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》的陸續(xù)頒布執(zhí)行,相繼提出要定期演練以及采取必要措施保障持續(xù)安全狀態(tài)?!兜缺?2.0》三級(jí)要求定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。
此外,金融行業(yè)、醫(yī)療行業(yè)、工業(yè)領(lǐng)域等都陸續(xù)誕生了針對(duì)網(wǎng)絡(luò)安全的細(xì)則管理辦法。尤其是在新基建的戰(zhàn)略下,關(guān)鍵基礎(chǔ)設(shè)施的安全保障更對(duì)是網(wǎng)絡(luò)安全的要求更為明細(xì)和嚴(yán)苛。
2022年10月12日,國(guó)家市場(chǎng)監(jiān)督管理總局(國(guó)家標(biāo)準(zhǔn)化管理委員會(huì))批準(zhǔn)發(fā)布GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(下文簡(jiǎn)稱《要求》),并將于2023年5月1日正式實(shí)施。
《要求》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等6個(gè)方面提出了111條安全要求。
《要求》的發(fā)布與實(shí)施,即對(duì)企業(yè)的安全合規(guī)提出了更高的要求,也就意味著企業(yè)需要在認(rèn)知層面,對(duì)自身安全達(dá)到清晰且量化的程度。因此安全驗(yàn)證必不可少,對(duì)此,《要求》有著明文規(guī)定。
《要求》4安全保護(hù)基本原則指出:“以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù),根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的威脅態(tài)勢(shì)進(jìn)行持續(xù)監(jiān)測(cè)和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對(duì)安全風(fēng)險(xiǎn)。”
針對(duì)此類問題,市面上可能比較通用“安全編排自動(dòng)化與響應(yīng)”(SOAR)。但是,SOAR也存在一些缺陷,比如,SOAR有多少基于APT攻擊的場(chǎng)景響應(yīng)?攻擊沒來時(shí)怎么確認(rèn)SOAR定義的觸發(fā)條件能匹配真實(shí)的攻擊?
《要求》7.6.2入侵防范指出:“應(yīng)采取技術(shù)手段,提高對(duì)高級(jí)可持續(xù)威脅(APT)等網(wǎng)絡(luò)攻擊行為的入侵防范能力。”
對(duì)此,通用解決方案大概是部署網(wǎng)絡(luò)IPS、主機(jī)IPS、NTA、NDR等技術(shù)手段。但是,怎么知道它們能檢測(cè)與防范多少已知的APT組織、UNC組織、FIN組織、臨時(shí)命名組織、勒索軟件團(tuán)伙?真實(shí)的APT攻擊出現(xiàn)前,如何驗(yàn)證它們是可以檢測(cè)與防范的?
此外,《要求》7.7 安全建設(shè)管理、8.1 檢測(cè)評(píng)估制度、8.2 檢測(cè)評(píng)估方式和內(nèi)容、8.2 檢測(cè)評(píng)估方式和內(nèi)容、10.2 主動(dòng)防御-攻擊發(fā)現(xiàn)與阻斷、10.3 攻防演練中,分別提到了仿真驗(yàn)證環(huán)境、安全檢測(cè)評(píng)估制度、評(píng)估周期、攻擊防護(hù)響應(yīng)、改進(jìn)安全保護(hù)策略、定期實(shí)網(wǎng)攻防演練等內(nèi)容。
然而,當(dāng)前許多安全手段都存在一定缺陷。比如,防御體系很難1:1被全部復(fù)刻到靶場(chǎng)環(huán)境中;檢測(cè)評(píng)估至少一年一次,然檢測(cè)結(jié)果僅代表一時(shí)狀態(tài);滲透測(cè)試與自動(dòng)化滲透一般只針對(duì)單點(diǎn)系統(tǒng),無法體現(xiàn)防御體系的防護(hù)和響應(yīng)能力;定期演練難以縮短至按周或天執(zhí)行等等。
因此,針對(duì)《要求》提出的內(nèi)容,我們不但要對(duì)安全進(jìn)行驗(yàn)證,還應(yīng)當(dāng)尋找一種新的安全驗(yàn)證方法,確保安全驗(yàn)證的可靠與有效。
新的安全度量驗(yàn)證技術(shù)當(dāng)有何種能力
我們搜尋市場(chǎng)上相關(guān)產(chǎn)品,發(fā)現(xiàn)塞訊驗(yàn)證發(fā)布的塞訊安全度量驗(yàn)證平臺(tái)(下文簡(jiǎn)稱“塞訊驗(yàn)證平臺(tái)”),恰是對(duì)上述問題有著針對(duì)性的解決方案。其宣稱能夠“安全、快速地驗(yàn)證組織內(nèi)各個(gè)場(chǎng)景的安全防護(hù)能力”。
據(jù)悉,塞訊驗(yàn)證平臺(tái)是一個(gè)安全監(jiān)測(cè)平臺(tái),可以持續(xù)地測(cè)試、度量和提高網(wǎng)絡(luò)安全效率,為IT環(huán)境提供度量工具,可參照真實(shí)攻擊進(jìn)行可重復(fù)的持續(xù)性端到端的測(cè)試,從而驗(yàn)證已部署的安全措施正在按照預(yù)期設(shè)計(jì)工作,并可主動(dòng)發(fā)現(xiàn)環(huán)境中的變更帶來的對(duì)防護(hù)效果的影響進(jìn)行告警。
塞訊安全度量驗(yàn)證平臺(tái)架構(gòu)
由此可知,塞訊驗(yàn)證平臺(tái)并非是一款直接參與攻防的安全工具,更像是一個(gè)細(xì)致貼心的安全大管家。其可以模擬真實(shí)的黑客攻擊,來不斷 “拷打”各個(gè)安全維度的安全性能,也可以查看企業(yè)購置的安全工具有沒有布防疏漏,諸多防護(hù)關(guān)卡有沒有在罷工怠工,安全武力值能否抵御威脅侵襲。作為一個(gè)安全大管家,塞訊驗(yàn)證平臺(tái)可謂身懷十八般武藝。
其擁有全自動(dòng)化驗(yàn)證的能力,可自定義范圍、場(chǎng)景、劇本、循環(huán)周期等,既能上威脅刀山,又能下風(fēng)險(xiǎn)火海,還十分聽從各項(xiàng)指令,滿足各類場(chǎng)景,最大限度貼合使用者的需求。
此外,其能夠覆蓋網(wǎng)絡(luò)安全、端點(diǎn)/主機(jī)安全、郵件安全、AD安全、云安全、API安全、應(yīng)用安全、數(shù)據(jù)安全、DNS安全、OT安全、物聯(lián)網(wǎng)安全、移動(dòng)安全等多個(gè)安全維度,實(shí)現(xiàn)全方位安全有效性驗(yàn)證。
01強(qiáng)大攻擊庫與主動(dòng)防御
安全防護(hù)自然避免不了攻擊,俗話說“未知攻焉知防”,攻擊防護(hù)層面亦是塞訊驗(yàn)證平臺(tái)的拿手絕活。
目前,其已掌控6000多種攻擊手法和1000余種攻擊場(chǎng)景,并對(duì)200多個(gè)APT組織(包含特殊命名、臨時(shí)命名的威脅組織)進(jìn)行追蹤研究,還覆蓋了包括LOCKBIT、DARKSIDE在內(nèi)的68個(gè)勒索團(tuán)伙,可通過真實(shí)攻擊場(chǎng)景中提取的信息,還原真實(shí)事件進(jìn)行模擬。
正因如此,塞訊驗(yàn)證平臺(tái)擁有強(qiáng)大的攻擊庫。在攻擊庫管理中,可以多維度進(jìn)行篩選,輕松找到需要的攻擊手法。
眾所周知,控制和抵御風(fēng)險(xiǎn)的最佳實(shí)踐就是做好主動(dòng)防御的各項(xiàng)準(zhǔn)備,塞訊驗(yàn)證平臺(tái)可以提供真實(shí)的APT攻擊手法,來提前驗(yàn)證防御體系是否能在攻擊來臨時(shí)有效抵御。此外,還能以攻擊者視角審視并改善安全防御體系。
由于網(wǎng)絡(luò)上的攻擊手段五花八門,漏洞利用也是眼花繚亂,因此對(duì)威脅組織攻擊手段的掌握,難免會(huì)顧此失彼,或者就重避輕,這就容易產(chǎn)生“千里之堤毀于蟻穴”的可能性。
而塞訊驗(yàn)證平臺(tái)的攻擊庫,注重各種攻擊手法的模擬,而非只關(guān)注重大漏洞利用的攻擊,這就保證了攻擊庫的完整性以及實(shí)戰(zhàn)的有效性。
也正因塞訊驗(yàn)證平臺(tái)攻擊庫俱收并蓄,其可在各個(gè)場(chǎng)景下大顯身手,比如銀行業(yè)、能源行業(yè)、醫(yī)療行業(yè)等。并且可以預(yù)定義多種驗(yàn)證場(chǎng)景一鍵驗(yàn)證,如釣魚郵件、勒索軟件、挖礦軟件、軟件供應(yīng)鏈攻擊、重大漏洞等場(chǎng)景,相當(dāng)全能便捷。
預(yù)定義多種驗(yàn)證場(chǎng)景
當(dāng)然,安全能力建立在攻擊庫之上,塞訊驗(yàn)證平臺(tái)攻擊庫更新迅速,加上其強(qiáng)大的自定義功能,能夠應(yīng)對(duì)各類新型攻擊。02安全機(jī)制保證無傷客戶資產(chǎn)
有人會(huì)疑惑,模擬真實(shí)攻擊,會(huì)不會(huì)把自家系統(tǒng)給破壞了,反而成了威脅攻擊的幫兇?
塞訊驗(yàn)證平臺(tái)通過安全驗(yàn)證大腦+AI攻防機(jī)器人的架構(gòu),不以生產(chǎn)業(yè)務(wù)系統(tǒng)為目標(biāo),且無需構(gòu)建靶機(jī),也不會(huì)引入新的風(fēng)險(xiǎn),利用個(gè)角色和特殊保護(hù)機(jī)制,保證所有樣本文件危害性控制在沙盤內(nèi)部,驗(yàn)證過程中保證業(yè)務(wù)無損。
具體來說,即是平臺(tái)上進(jìn)行了系統(tǒng)加固和數(shù)據(jù)保護(hù),在安全驗(yàn)證大腦與AI攻防機(jī)器人之間的通信,均使用加密通信,隔絕一切可能的方式竊取用戶的實(shí)驗(yàn)數(shù)據(jù);在網(wǎng)絡(luò)上,AI攻防機(jī)器人僅且只能與相關(guān)AI攻防機(jī)器人及安全驗(yàn)證大腦進(jìn)行通信,保證了在驗(yàn)證過程中客戶資產(chǎn)及網(wǎng)絡(luò)環(huán)境的安全。
因此,所有真實(shí)樣本均經(jīng)過沙箱提取行為,并將關(guān)鍵破壞行為去除。無害化處理過的樣本可以放心執(zhí)行。如果部分實(shí)驗(yàn)無法實(shí)現(xiàn)完全無害化,塞訊驗(yàn)證平臺(tái)也可提供一個(gè)沙箱環(huán)境的AI攻防機(jī)器人,其有更為嚴(yán)格的網(wǎng)絡(luò)管控和回滾機(jī)制,因此也不具備破壞能力。
03AI如何為驗(yàn)證平臺(tái)賦能
AI是當(dāng)下一個(gè)炙手可熱的的詞匯,似乎萬物皆可AI。而AI如何為塞訊驗(yàn)證平臺(tái)賦能呢?
通過上文平臺(tái)架構(gòu)一圖可知,塞訊驗(yàn)證平臺(tái)擁有一個(gè)安全驗(yàn)證大腦。安全驗(yàn)證大腦使用AI技術(shù),通過海量的樣本學(xué)習(xí)安全產(chǎn)品告警日志內(nèi)容,以賦能在平臺(tái)上的日志分析模塊判斷告警內(nèi)容,是否與驗(yàn)證平臺(tái)的攻擊相一致 (除了常規(guī)五元組之外),以提高告警與攻擊模擬任務(wù)匹配的準(zhǔn)確度。
AI攻防機(jī)器人則是通過AI智能算法和模型實(shí)現(xiàn)流量的自動(dòng)生成、變形與交互響應(yīng),且傳輸隧道方式自適應(yīng)環(huán)境而自動(dòng)選擇,無需因黑客攻擊微小變化而更新攻擊庫。
04安全運(yùn)營(yíng)能力便捷有效
產(chǎn)品的易用性也是一項(xiàng)安全成本,塞訊驗(yàn)證平臺(tái)實(shí)際使用效果如何呢?
塞訊驗(yàn)證平臺(tái)使用可視量化防御體系,可以定制各種角色觀看的界面,如從公司高層、到CISO,再到安全運(yùn)營(yíng)中心,安全度量平臺(tái)通過可視量化圖表,讓各級(jí)人員都能夠理解和溝通安全工作的現(xiàn)狀。
對(duì)于安全負(fù)責(zé)人而言,直觀視圖能夠有效認(rèn)識(shí)安全建設(shè)規(guī)劃及預(yù)期與實(shí)際效果之間的差距,為未來的規(guī)劃、建設(shè)、優(yōu)化等決策,提供科學(xué)量化依據(jù)。
對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)來說,持續(xù)評(píng)估關(guān)鍵基礎(chǔ)設(shè)施及應(yīng)用部署的防御能力,油畫防護(hù)配置和事件響應(yīng)流程,提升防護(hù)效果。
05具備持續(xù)安全驗(yàn)證能力
網(wǎng)絡(luò)世界,風(fēng)險(xiǎn)無處不在,且隨時(shí)隨地。就如守城將士,哪怕只有一刻松懈,就能讓敵人趁虛而入。
有鑒于此,塞訊驗(yàn)證平臺(tái)擁有持續(xù)驗(yàn)證的能力,即持續(xù)性地監(jiān)控網(wǎng)絡(luò)環(huán)境中防御能力的變化,設(shè)定“周天時(shí)”對(duì)特定攻擊行為進(jìn)行模擬,一旦防護(hù)能力發(fā)生變化,即可主動(dòng)告知安全運(yùn)營(yíng)團(tuán)隊(duì)。安全有效性驗(yàn)證可以讓安全運(yùn)營(yíng)形成閉環(huán)。
除此之外,塞訊驗(yàn)證還提供延展性的服務(wù)。比如HW前風(fēng)險(xiǎn)評(píng)估服務(wù)、勒索軟件防御評(píng)估服務(wù)、挖礦軟件防御評(píng)估服務(wù)、安全專家補(bǔ)救建議服務(wù)、安全事件響應(yīng)分析服務(wù)等,進(jìn)而從更多維度,來保障客戶的安全體系建設(shè)。
實(shí)踐是檢驗(yàn)產(chǎn)品強(qiáng)大與否的關(guān)鍵標(biāo)準(zhǔn)
安全領(lǐng)域,任何技術(shù)和產(chǎn)品的最終價(jià)值,都需要在落地實(shí)踐中發(fā)揮出來,紙上談兵終究無法戰(zhàn)勝現(xiàn)實(shí)中強(qiáng)大的敵人。對(duì)此,我們獲取了塞訊驗(yàn)證針對(duì)500強(qiáng)金融客戶安全驗(yàn)證的實(shí)踐案例,或能一窺其驗(yàn)證平臺(tái)能力。
該500強(qiáng)金融公司客戶,已構(gòu)建較高水平的安全防御體系,也有專業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì),擁有SOC、SOAR、威脅情報(bào)等平臺(tái),事件響應(yīng)與合規(guī)流程皆符合標(biāo)準(zhǔn)。
乍一看,該公司安全防護(hù)體系完備無缺,實(shí)際上其現(xiàn)有安全規(guī)則的驗(yàn)證手段仍存在諸多不足,比如缺少檢驗(yàn)Use Case是否實(shí)際有效的手段,也無法檢驗(yàn)?zāi)壳案黝惢A(chǔ)設(shè)施的安全基線是否需要更新。此外,其與其他行業(yè)大多頭部企業(yè)存在相似現(xiàn)狀,即普遍缺少對(duì)自身安全防御能力的精準(zhǔn)驗(yàn)證。
對(duì)此,客戶公司提出三點(diǎn)需求:
1、需要以攻擊者視角針對(duì)不同的攻擊階段與攻擊手法、ATT&CK 框架中的技戰(zhàn)術(shù)發(fā)現(xiàn)安全防御體系的弱點(diǎn);
2、需要提高安全運(yùn)營(yíng)團(tuán)隊(duì)的運(yùn)營(yíng)能力,包括平臺(tái)能力、人員經(jīng)驗(yàn)、驗(yàn)證響應(yīng)流程的準(zhǔn)確性與合理性;
3、需要量化數(shù)據(jù)作為依據(jù)支撐未來的安全規(guī)劃。
塞訊驗(yàn)證與客戶公司探討研究發(fā)現(xiàn),客戶面臨三大挑戰(zhàn):1、新的防御缺陷不斷出現(xiàn);2、現(xiàn)有防御效果的驗(yàn)證手段不足;3、事中/事后的關(guān)聯(lián)分析困難。針對(duì)其痛點(diǎn)和需求,塞訊驗(yàn)證提供的解決方案覆蓋以下四個(gè)方面:
1、塞訊驗(yàn)證平臺(tái)以豐富的涵蓋各個(gè)攻擊階段與攻擊手法的模擬攻擊,在生產(chǎn)環(huán)境中真實(shí)模擬,發(fā)現(xiàn)安全防御體系的弱點(diǎn);
2、與 SOC 平臺(tái)聯(lián)動(dòng)獲取各類安全產(chǎn)品告警日志,實(shí)現(xiàn)閉環(huán)驗(yàn)證,確定相關(guān)安全防御手段是否有正常的響應(yīng),直接告知驗(yàn)證結(jié)果;
3、持續(xù)的周期性驗(yàn)證監(jiān)測(cè)環(huán)境變化帶來的安全防御能力飄移,從而及時(shí)發(fā)現(xiàn)與修正;
4、針對(duì)發(fā)現(xiàn)的問題提供緩解建議,幫助安全團(tuán)隊(duì)衡量和增強(qiáng)對(duì)威脅的準(zhǔn)備情況,并變得更加主動(dòng)。
客戶公司實(shí)施架構(gòu)
塞訊驗(yàn)證為客戶公司部署了塞訊驗(yàn)證平臺(tái)和10套AI攻防機(jī)器人,幫助客戶以攻擊者視角審視與建設(shè)自身安全防御體系。節(jié)省了滲透人員實(shí)現(xiàn)驗(yàn)證95%的工作量,降低了50%的紅隊(duì)初級(jí)人員投入,減少了人為因素(知識(shí)水平、人員變動(dòng)、工作時(shí)間)對(duì)驗(yàn)證工作的影響。客戶公司實(shí)施第一個(gè)季度,實(shí)現(xiàn)了終端/主機(jī)類安全產(chǎn)品策略優(yōu)化48條,網(wǎng)絡(luò)類安全產(chǎn)品策略優(yōu)化25條,建議增加新型安全防御手段一種。
塞訊驗(yàn)證平臺(tái)為每個(gè)驗(yàn)證實(shí)驗(yàn)提供ATT&CK標(biāo)準(zhǔn)的緩解建議,在驗(yàn)證完成后對(duì)發(fā)現(xiàn)的問題提供詳細(xì)動(dòng)作信息,為客戶公司安全產(chǎn)品或 SOC 關(guān)聯(lián)分析的優(yōu)化和安全運(yùn)營(yíng)水平的提升提供助力。
并且,通過持續(xù)驗(yàn)證累積的數(shù)據(jù),體現(xiàn)不同安全區(qū)域以及攻殺鏈不同攻擊階段防御的強(qiáng)弱,為公司未來安全建設(shè)規(guī)劃提供量化數(shù)據(jù)支撐。
寫在最后:持續(xù)安全驗(yàn)證大有可為
當(dāng)前,安全驗(yàn)證作為一項(xiàng)新興的、正在崛起的理念和技術(shù),能夠?yàn)楦黝惤M織機(jī)構(gòu)提供持續(xù)性的安全態(tài)勢(shì)評(píng)估,并對(duì)企業(yè)安全防御產(chǎn)品進(jìn)行有效性驗(yàn)證,保障企業(yè)安全層面的投資收益。
對(duì)于塞訊驗(yàn)證而言,其為國(guó)內(nèi)首家提出“持續(xù)安全驗(yàn)證”理念的安全廠商,通過持續(xù)驗(yàn)證,幫助企業(yè)最大限度地提高現(xiàn)有安全投資的回報(bào)率。
塞訊驗(yàn)證在安全驗(yàn)證上的前瞻性并非浪得虛名。2021年,Gartner在安全趨勢(shì)中提出入侵和攻擊模擬(BAS);在今年報(bào)告中,Gartner將BAS作為一項(xiàng)驗(yàn)證工具囊括在安全驗(yàn)證這一整體趨勢(shì)下。這與塞訊驗(yàn)證的理念不謀而合,塞訊驗(yàn)證自2021年就在國(guó)內(nèi)率先提出安全驗(yàn)證理念,前瞻性地將BAS技術(shù)進(jìn)行擴(kuò)展,向安全驗(yàn)證演進(jìn)。
塞訊驗(yàn)證的眼界自是基于自身扎實(shí)的團(tuán)隊(duì)實(shí)力。其中,塞訊實(shí)驗(yàn)室是塞訊安全度量驗(yàn)證平臺(tái)的基石,聚集了業(yè)界頂尖的安全分析團(tuán)隊(duì),全天候追蹤互聯(lián)網(wǎng)黑客組織和漏洞,利用得到的一手威脅情報(bào),第一時(shí)間還原攻擊手法,為未受害企業(yè)提供驗(yàn)證手段。
安全,最好的模式就是防患于未然。語本《易·既濟(jì)》言:“君子以思患而豫防之”;防微杜漸、未焚徙薪、杜漸防萌等等,皆是此意。
塞訊安全度量驗(yàn)證平臺(tái),其背后所有的努力,都是致力于企業(yè)安全能夠防患于未然,并尋求搭建更全面的安全驗(yàn)證生態(tài),真正從客戶需求出發(fā),為客戶提供一站式安全驗(yàn)證解決方案,以更輕量化的投入,實(shí)現(xiàn)安全防御能力的跨越式提升。
我們相信,持續(xù)安全驗(yàn)證理念,未來將海闊天空,大有可為。
詳情請(qǐng)關(guān)注安在新媒體,一家信息安全領(lǐng)域媒體,以“做有內(nèi)涵的泛黑客媒體”為方向,線上通過自媒體,采訪網(wǎng)絡(luò)安全領(lǐng)域人物梳理行業(yè)脈絡(luò),通過介紹他們的經(jīng)歷、感悟、對(duì)行業(yè)的看法等來剖析網(wǎng)絡(luò)安全發(fā)展的脈絡(luò);致力于建立完整的信息發(fā)布矩陣,覆蓋微信、微博、知乎等主流自媒體渠道。
官網(wǎng):http://anzerclub.com/
市場(chǎng)部聯(lián)系(廠商):徐倩(微信:Madeline_Sue)
市場(chǎng)部聯(lián)系(甲方):Tina(微信:xuqingqing823125689 )及 Enco(微信:Anzer10)