2023年数字安全能力指南 - 持续评估定义安全运营.pdf
《2023年数字安全能力指南 - 持续评估定义安全运营.pdf》由会员分享,可在线阅读,更多相关《2023年数字安全能力指南 - 持续评估定义安全运营.pdf(42页珍藏版)》请在咨信网上搜索。
1、 北京数字世界咨询有限公司 2023.11数字安全能力指南持续评估定义安全运营Continuous Evaluation defines Security Operation 北京数字世界咨询有限公司 2023.11数字安全能力指南持续评估定义安全运营Continuous Evaluation defines Security Operation数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础,
2、来自于数世咨询 2020 年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委主笔分析师 刘宸宇 首席分析师 李少鹏 分析团队:数世智库 数字安全
3、能力研究院 版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。目录前言 1关键发现 3概念描述 5 什么是持续评估定义安全运营 5与安全运营的关系 6市场现状 8市场概况 8能力企业 9能力基因 15行业需求 16关键能力 18安全评估验证用例的积累 18对海量攻击的提炼与用例转化 19持续评估的自动化程度 20未来展望21目录附录持续评估定义安全运营行业案例 22某大型金融机构用户案例(该案例由 360 数字安全提供)22某大型集团用户案例(该案例由矢安科技提供)27某银行有
4、效性验证案例(该案例由知其安提供)31 持续评估定义安全运营1前言随着数字世界的临近,数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。因此,对安全能力的评估与验证成为国内安全从业者特别是安全运营人员越来越多讨论的话题。这一现象背后,首先有政策的因素,例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中;其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平,用户自身的安全评估验证需求已经自然而然发展出来;第三,这也与国际局势的变化直接相关,国家级 APT 威胁使得“安全”二字提升到了“
5、网络战”的高度,攻击之前自我评估,威胁之侧持续评估,成为了实战化需求下安全运营的必修课。在这样的背景下,近几年国内出现了多家专门满足这一需求的初创安全企业,不少传统综合安全大厂也内部蕴育出了相关的产线能力,业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。然而,话题热度之后更加应当看清的是,目前国内的安全建设水平仍然有明显的不均衡特点:一是区域不均衡,北上广深成渝西安以及 GDP 排名较靠前的省份城市,安全建设水平相对较高;二是行业不均衡,金融、运营商、电力能源等关基行业已经走在了前面,但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度;三是即便同行业内,其头部、腰部及以下
6、机构用户,安全能力也存在着明显的不均衡。由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来,因此这一新赛道的供需双方,目前还只集中在“不均衡”发展的“头部”群体中。那么,腰部及以下的机构用户就不需要评估与验证能力吗?2答案是显然的,当然需要。只不过,因为这类用户的“安全家底”本身就比较薄,因此不必像“头部”一样做得那么重,只需要标准化或最小化的评估验证能力即可。因此,无论用户规模大小,无论用户处在头部腰部甚至以下,评估与验证都不是为了给用户“找麻烦”,而是要在传统的安全能力建设之外(绝不限于设备采购、产品部署、驻场服务),使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全
7、运营”的下限,并且持续提升这个“下限”,也就是说,将评估与验证能力与安全运营同步建设,同步提升!用持续的评估,重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。鉴于此,数世咨询撰写本报告,希望能抛砖引玉,对这一领域的产业现状做出初步调研与阐述。报告勘误与交流沟通请联系主笔分析师:刘宸宇 持续评估定义安全运营3 关键发现 数字安全能力体系从建设阶段向运营阶段过渡,安全运营的效果开始成为用户关心的核心问题,即从“有没有”到“行不行”,再到“好不好”。入侵攻击模拟与安全有效性验证评估的都是安全运营的下限,提升的是 MTTD/MTTR 的整体效能。持续评估能力帮助机构用
8、户发现已部署的安全产品和配置、以及构建的安全纵深防御体系的有效点、失效点与空白点。持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。持续评估定义安全运营这一细分领域 2022 年的市场规模已过亿元。预计 2023 年将达到 3 亿元。持续评估定义安全运营,行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。持续评估定义安全运营的三大关键能力:安全评估验证用例的积累、持续评估的自动化程度、对海量攻击的提炼与
9、用例转化。持续评估用例的更新,应支持订阅式推送与开放式更新等多种方式,满足用户对最新威胁的验证与自定义用例验证等需求。4 短期内,持续评估定义安全运营的采购方将以关基行业中的头部客户为主。中期来看,持续评估定义安全运营将带有显著的行业特征。未来,持续评估与验证能力将成为安全运营的试金石。让安全运营实现从“小作坊”到“工业化”的进阶。从“有没有”到“行不行”,再到“好不好”,持续评估将成为安全运营的试金石。数世咨询 持续评估定义安全运营5概念描述什么是持续评估定义安全运营 本 报 告 中 的“持 续 评 估 定 义 安 全 运 营”(Continuous Evaluation defines S
10、ecurity Operation)是指:是指基于实战化最佳实践用例,对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作,并提供合理化改进建议,进而提升安全运营整体效能的解决方案。“持续评估定义安全运营”的核心价值在于,通过持续评估帮助机构用户发现已部署安全产品、以及构建的安全纵深防御体系的有效点、失效点与空白点,以持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议,以量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。与“持续评估定义安全运营”相关的一些概念:入侵攻击模拟(Breach Attack Simulation-BAS)BAS 以模
11、拟仿真的体系化安全攻击手段,评估验证整个安全运营体系发现威胁的能力,发现的是安全运营的短板,弥补的是安全运营的弱点,提升的是安全运营的下限;安全有效性验证(Cybersecurity Validation-CV)安全有效性验证用到了 BAS 技术,但不仅限于 BAS,在攻击模拟之外,CV 还会对网络、终端等 IT 环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证,因此 CV 重点还会关注安全的一致性,例如通过自动化审计方式对安全设备的策略进行验证;与 BAS 一样,CV 提升的也是安全运营的下限;6 持续自动化红队(Continuous Automated Red Teaming C
12、ART)CART 提供的是持续发现潜在攻击路径、对抗 APT 攻击、提升安全意识等更高阶安全运营需求的能力,提升的是安全运营的上限;CART 与上述两项是互补关系,稍有交叉,都无法替代对方。与安全运营的关系正如前言中所述,持续评估作为验证与度量的手段,同步参与安全体系的建设。参与度越高,越能有效助力体系建设,提升安全运营能力。如下图所示:图例:持续评估与安全运营的关系 安全体系建设初期,安全团队人很少,安全手段以传统工具/设备为主,此时持续评估的参与度并不高,需求也不强烈。(例如“老三样+渗透测试服 持续评估定义安全运营7务”,对应图中“渗透测试”箭头);安全体系建设中期,安全团队人数增加,引
13、入了管理制度,并开始建设安全运营平台,此时就需要验证与度量作为量化考核的手段了,在参加一些重保、攻防演练活动前,也有必要提前通过验证与度量先行自我检查(对应图中“攻防演练”箭头);进入安全体系建设成熟期后,大批量的安全工具/设备需要纳管、维护,实战化、常态化安全运营成为安全团队的日常主要工作,为了优化威胁检测与响应流程,提升 MTTD/MTTR 时效,持续的评估工作(以 BAS 为例)开始深度参与,不断发现现有安全运营体系的短板与失效点,持续提升整体安全运营水平(对应图中“入侵攻击模拟”箭头);长期来看,理想状态下,安全运营的状态应该如图中红色箭头所示,是一条 45向右上延伸出去的箭头,此时的
14、安全体系建设与持续的评估验证是同步推进的,即安全体系建设、常态安全运营、持续评估验证三位一体实现了同步发展、同步提升。也可以说,通过持续的评估验证,重新定义了安全运营。8 市场现状市场概况据数世咨询不完全统计,持续评估定义安全运营这一细分领域 2022 年的市场规模已过亿元,同比增长率约为 440%。通过调研我们发现,大多数本赛道的安全企业 2021 年仍然处在产品开发或用户 PoC 试用阶段,尚未有商业化成单,进入2022年后,绝大多数参与调研的企业都签约了不同数量的商业客户,整个市场规模也因此有了数倍的增长。“持续评估定义安全运营”这一新兴技术领域,目前在国内仍处于“市场教育”的相对初级阶
15、段,但随着国内安全运营体系的整体完善,水平整体提升,数世咨询认为评估与验证在接下来的几年内会继续保持高速增长。图例:持续评估定义安全运营市场规模按照数世咨询中国数字安全产业年度报告 2023中的统计数据,2022年国内数字安全产业规模为 981.7 亿元,预计 2023 年将达到 1030 亿元。以此数据为基础,参考金融、政府监管、能源电力、运营商等行业安全运营投入、持续评估所占比例,数世咨询预计 2023 年持续评估定义安全运营的市场规模可达到 3 亿元,2025 年预计将增长至 10 亿元规模。持续评估定义安全运营9能力企业参与本次调研的有 360 数字安全、安洵信息、灰度安全、绿盟科技、
16、奇安信、赛宁网安、矢安科技、腾讯安全、丈八网安、知其安等安全企业(按公司简称首字母排序)。按照横轴-市场执行力、竖轴-应用创新力为依据,上述企业综合排列如能力点阵图所示:图例:能力点阵图 持续评估定义安全运营对于近几年新出现的创新细分领域(例如本报告中的“持续评估定义安全运营”),我们发现仅靠点阵图中应用创新与市场执行这两个维度,难以全面体现创新企业的不同技术基因、产品特点、行业积累、能力优势等特点。因此,为了更客观体现新赛道中各能力企业的特点,便于最终用户选取更适合自己需求的安全企业作为潜在合作对象,数世咨询将点阵图横坐标“市场执行力”进一步拆解为市场营收、品牌影响力、行业广度、行业深度等四
17、个维度,将“应用创新力“进一步拆解为产品工程化、业务场景化、理论与基础研究、技术融合度四个维度,上述八个维度以蜘蛛图(雷达图)形式进行展现。10点阵图中各企业的蜘蛛图(雷达图)如下所示(按公司简称首字母排序):图例:数字安全能力雷达图-持续评估定义安全运营 360 图例:数字安全能力雷达图-持续评估定义安全运营 安洵信息 持续评估定义安全运营11图例:数字安全能力雷达图-持续评估定义安全运营 灰度安全 图例:数字安全能力雷达图-持续评估定义安全运营 绿盟科技 12图例:数字安全能力雷达图-持续评估定义安全运营 奇安信 图例:数字安全能力雷达图-持续评估定义安全运营 赛宁网安 持续评估定义安全运
18、营13 图例:数字安全能力雷达图-持续评估定义安全运营 矢安科技 图例:数字安全能力雷达图-持续评估定义安全运营 腾讯安全14 图例:数字安全能力雷达图-持续评估定义安全运营 丈八网安 图例:数字安全能力雷达图-持续评估定义安全运营 知其安 持续评估定义安全运营15能力基因目前国内上述各能力企业的基因有 BAS+EASM、仿真靶场、行业最佳实践等三类。这三者各有侧重,并不冲突,有的能力厂商同时兼具 2-3 项,在实际交付时,会根据不同水平的机构用户需求,结合成不同的解决方案,用户也可根据自身实际需求进行选择。BAS+EASMBAS 技术从 2017 年提出开始,先后经历了多 agent 漏扫、
19、靶机攻击、黑盒多向量攻击等阶段,也引入了威胁情报、攻击面管理等新的技术能力,目前业内较多厂商采用的是 BAS+EASM 这一组合。其特点是能够以外部攻击者视角对机构用户的安全运营体系发起纵深攻击,进而对杀伤链上的信息搜集、跳板终端、网络节点、主机应用等环节以及沿途的安全设备与产品进行有效性评估。仿真靶场“仿真靶场”大多由网络靶场、数字靶场赛道的企业发展而来,其优势在于对机构用户现行安全运营体系中网络架构、终端系统等运行环境的高度仿真。结合多年多项赛事中所积累的攻防技战法转化而来的验证剧本,该路线对安全运营体系中,特别是安全运营团队的人员能力有明显的验证效果,可以有效发现运营团队的响应短板,提升
20、整个安全运营团队的响应时效。基于行业最佳实践的有效性验证在金融等行业有多年深耕经验积累的安全创业团队,凭借其核心成员在一线安全运营场景中的行业最佳实践,积累了大量从实网演习、重保演练、实战攻防中提炼总结出的验证用例,这些用例在同行业同场景中有非常高的验证“命中率”,加以自动化的验证平台,可以有效发现同行业机构用户的失效点,提升其安全运营整体有效性,为同行业机构用户提供持续的有效性验证能力。16行业需求按照机构用户所处行业划分,“持续评估定义安全运营”行业需求占比排在前四位的是:金融、政府监管、能源电力、运营商。完整行业需求占比情况如下图所示:图例:行业需求占比 持续评估定义安全运营综合调研后,
21、数世咨询梳理出各行业对持续评估验证的需求主要集中在:发现安全运营体系中 IT 环境漂移、安全产品自身稳定性、应对新威胁的能力以及行业监管技术抓手等场景下的安全有效性问题。IT 环境漂移导致安全产品及策略失效。各类 IT 系统的升级、变更导致的IT 环境漂移,可能会导致已部署的安全产品及策略失效。安全团队无法单凭人力对此进行有效监控及时掌握,安全运营效能很可能大大偏离预期。安全产品自身缺乏持续稳定性。由于存储上限、人为失误等原因,安全产品的设备、软件、规则等措施的可用性与连续性可能发生中断,且无法在第一时间发现和暴露,就极易导致安全防护失效。应对新威胁需要自动化的安全评估验证能力。对于新的攻击手
22、段、攻击工具、0day 漏洞,若只靠人工评估验证,时效性、准确性、以及对多场景的验 持续评估定义安全运营17证都面临明显局限。在新威胁真正发起攻击前,需要以“风险驱动”的视角,以自动化能力进行评估验证。行业监管/总部集团缺少评估验证的技术抓手。分、子机构的“上有政策,下有对策”,往往导致其出现安全事件被通报了,上级行业监管/总部集团才事后得知,非常被动。因此,无论是从自身防护水平提升的角度,还是先行自查的角度,亦或是量化考评的角度,行业/总部都需要一个技术抓手持续评估验证分、子机构的安全能力现状。18关键能力为应对上述行业需求,该领域中的各安全厂商根据自身团队技术基因与行业积累,分别发展出各自
23、不同的关键能力,经过汇总提炼后,数世咨询认为“持续评估定义安全运营”需要以下关键能力:安全评估验证用例的积累 对海量攻击的提炼与用例转化 持续评估的自动化程度安全评估验证用例的积累不同安全运营水平的机构用户需要不同的安全评估验证能力。机构用户的安全运营水平越高,持续评估验证所需要的知识库、攻击链覆盖度就越高。对厂商来说,考虑到产品开发成本、交付效果的一致性等因素,厂商大多都参考了 MITRE 的 ATT&CK 框架等知识库,从常见的攻击战术、技术和程序(TTPs),到更高级别的 APT 高级威胁,实现完整的持续评估验证能力覆盖。因此,以 ATT&CK 等知识库为参考的用例/模型/剧本的数量,就
24、成为了持续评估验证的核心能力点之一。当然,ATT&CK 是国际上通用的框架知识库,结合国内的实际需求与场景如实网攻防演练、行业监管合规、集团通报检查笔者也建议,基于行业最佳实践“真题”来组织安全评估验证的用例。正如前文“概念描述”中技术路线所描述的,对于金融、监管、能源电力、运营商等整体安全运营水平较高的行业,基于行业最佳实践的持续评估验证用例积累是评估该领域厂商的 持续评估定义安全运营19另一个核心能力点。值得一提的是,机构用户在选购时,除了考察厂商是否具备足够数量的用例覆盖这些攻击技战法外,还应当注意用例与实战化贴合的程度,用例对防护体系的覆盖度。即每个用例都应当来源于实战,能够应用于实战
25、,满足实战化评估验证需求。同时,评估用例不能“偏科”只集中在少数攻防场景下,而是要覆盖整个防护体系。如果有个别厂商一味强调自身用例的数量优势,用户要注意甄别,其是否存在将已有用例简单变形后的“滥竽充数”行为。对海量攻击的提炼与用例转化在积累用例的基础上,持续评估定义安全运营需要的第二个关键能力是对海量攻击的提炼与用例转化能力。攻防持续对抗带来的“道高一尺,魔高一丈”,让攻击者的工具、手段、技战法始终在不断升级变化。但绝大部分变化都不是跳跃式,而是有迹可循的,因此对安全企业来说,除了基于行业最佳实践,以统计学角度建立知识库,还应当基于海量攻击知识库,以安全大脑、知识图谱等方式,从攻防角度不断追踪
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023年数字安全能力指南 持续评估定义安全运营 2023 数字 安全 能力 指南 持续 评估 定义 运营
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。