【知其安數(shù)世咨詢】安全有效性驗(yàn)證能力白皮書

安全有效性驗(yàn)證能力白皮書CybersecurityValidation 4 7 8 8 9 從互聯(lián)網(wǎng)業(yè)務(wù)邊界安全防護(hù)、到流量安全、主機(jī)安全、終端安全、郵件安全，從共享威脅情報(bào)，到統(tǒng)一運(yùn)營管理，從用戶行為管網(wǎng)絡(luò)安全行業(yè)“最大的那條魚”，安全運(yùn)營囊括了防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等各個(gè)階段，涵蓋了從工具、平臺(tái)、人到管理與流程的全部要素?？梢哉f安全運(yùn)營既蘊(yùn)含著安全建設(shè)過往發(fā)展的歷史，也代伴隨企業(yè)部署眾多安全防護(hù)產(chǎn)品的同時(shí)，在各類攻防對(duì)抗、紅藍(lán)演練中依然會(huì)暴露出各種問題，導(dǎo)致邊界被突破、權(quán)限被獲取，數(shù)據(jù)被泄露，靶標(biāo)被拿下甚至發(fā)生真實(shí)的信息安全事件，嚴(yán)重影響生產(chǎn)業(yè)務(wù)安全。為此，面對(duì)當(dāng)前已部署的各類安全防護(hù)措施，企業(yè)1.已部署的各類安全防護(hù)措施和基線是否有效？是否按照預(yù)期大多存在不同程度的“失去安全防護(hù)效力的情況”，這被稱之為造成防護(hù)失效的原因中，90%難以通過日常巡檢或依靠人工排查的方式發(fā)現(xiàn)異常，這些安全能力失效往往是在真實(shí)事件發(fā)生時(shí)才受重視或被感知。通過對(duì)大量案例和數(shù)據(jù)的分析，發(fā)現(xiàn)企業(yè)防護(hù)失針對(duì)各類安全防護(hù)必然存在失效或防護(hù)效力不及預(yù)期的問題，作為監(jiān)管側(cè)需要抓手，實(shí)現(xiàn)體系化、標(biāo)準(zhǔn)化的執(zhí)行監(jiān)督檢查職責(zé)，及時(shí)發(fā)現(xiàn)和暴露組織單位安全防護(hù)的失效情況，聯(lián)防聯(lián)控，降低行業(yè)整體風(fēng)險(xiǎn)。作為承擔(dān)安全防護(hù)主體責(zé)任的企業(yè)單位，應(yīng)當(dāng)在常態(tài)化安全防護(hù)中持續(xù)檢驗(yàn)和評(píng)估自身安全防御能力，及時(shí)發(fā)現(xiàn)防護(hù)和檢測(cè)缺失點(diǎn)，提升網(wǎng)絡(luò)安全整體防護(hù)能力。為此，“安全有效性驗(yàn)證”作為全新的檢查評(píng)價(jià)機(jī)制應(yīng)運(yùn)而生，既可以實(shí)現(xiàn)對(duì)企業(yè)單位已部署安全防護(hù)措施的自動(dòng)化巡檢核查，又可以作為監(jiān)管單位的有效抓手。通過對(duì)安全設(shè)備、平臺(tái)、意識(shí)、流程等安全要素的有效性進(jìn)行驗(yàn)證、度量，安全運(yùn)營體系中的短板得以暴露，安全運(yùn)營的價(jià)值得以體現(xiàn)。驗(yàn)證是手段，度量是價(jià)值?？梢哉f，安全運(yùn)營的靈魂即是驗(yàn)證與度量。安全有效性驗(yàn)證使得安全運(yùn)營最重要的一塊拼圖得以近兩年來，業(yè)內(nèi)已經(jīng)先后涌現(xiàn)出專門滿足這一需求的初創(chuàng)安全企業(yè)，逐漸形成了安全有效性驗(yàn)證的創(chuàng)新賽道。在數(shù)世咨詢發(fā)布的了初步闡述。本報(bào)告將對(duì)“持續(xù)評(píng)估定義安全運(yùn)營”中的主要技術(shù)路報(bào)告由北京知其安科技有限公司（下文簡(jiǎn)稱“知其安”）與北京勘誤與交流溝通請(qǐng)聯(lián)系郵箱：liuchenyu@為保持本報(bào)告內(nèi)容的統(tǒng)一性，這里先列出業(yè)內(nèi)目前常見的一些相關(guān)術(shù)語及其描述，如安全有效性驗(yàn)證、BAS、攻擊驗(yàn)證節(jié)點(diǎn)、靶?安全有效性驗(yàn)證（CybersecurityValidati安全有效性驗(yàn)證是通過入侵與攻擊模擬技術(shù)，構(gòu)造各類型實(shí)戰(zhàn)攻擊手法，對(duì)企業(yè)已部署的各類安全防護(hù)措施及規(guī)則策略開展全面的模擬攻擊驗(yàn)證，通過對(duì)攻擊結(jié)果的匯集分析評(píng)估網(wǎng)絡(luò)安全縱深防以模擬仿真的體系化安全攻擊手段，評(píng)估驗(yàn)證安全運(yùn)營體系發(fā)現(xiàn)威脅的能力。單獨(dú)描述BAS時(shí)，BAS可視為獨(dú)立產(chǎn)品，而對(duì)于承擔(dān)模擬攻擊者執(zhí)行攻擊的角色，發(fā)起各類攻擊驗(yàn)證動(dòng)作。根據(jù)不同的驗(yàn)證場(chǎng)景，攻擊驗(yàn)證節(jié)點(diǎn)的部署點(diǎn)可位于云端、互聯(lián)網(wǎng)、承擔(dān)被攻擊或攻擊指向的角色，提供被攻擊后的響應(yīng)和反饋，以及攻擊過程中的相關(guān)記錄和信息反饋?？梢允荱RL/IP（虛擬靶負(fù)責(zé)接收上述各類節(jié)點(diǎn)的回傳數(shù)據(jù)，通過結(jié)合SIEM/SOC/態(tài)定，并基于行業(yè)最佳實(shí)踐的驗(yàn)證知識(shí)庫進(jìn)行比對(duì)，對(duì)判定結(jié)果中的2017年，Gartner在發(fā)布的《面向威脅技術(shù)的成熟度曲線》（HypeCycleforThreat-FacingTechnologies）中首次出現(xiàn)BAS入侵與攻擊模擬（BreachandAttackSimulation）概念，2021及2022年，“Gartner在《2021年八大安全和風(fēng)險(xiǎn)管理趨勢(shì)》、2021及2022《安全運(yùn)營技術(shù)成熟度曲線》等報(bào)告中，連續(xù)提到BAS技術(shù)的必要性，預(yù)測(cè)BAS將成為IT安全建設(shè)重要技術(shù)手段?！?023年，Gartner最新的2023年網(wǎng)絡(luò)安全趨勢(shì)提到的9大趨勢(shì)中，“CybersecurityValidation網(wǎng)絡(luò)安全驗(yàn)證”成為重要元素之一，從BAS技術(shù)框架的提出，到網(wǎng)絡(luò)安全驗(yàn)證，真正落地實(shí)現(xiàn)圖3Garnter報(bào)告摘錄在Gartner《2024安全和風(fēng)險(xiǎn)管理技術(shù)路線圖》中，BAS同樣被認(rèn)為對(duì)企業(yè)具有高價(jià)值且處于快速發(fā)展成熟階段。代表企業(yè)有AttackIQ、Cymulate、SafeBreach以及被Google收購的Mandiant等。在2024年7月最新發(fā)布的《HypeCycleforSecurityOperations，2024》中，BAS與Autonomouspenetrationtestingandredteaming等概念一起，被合并入對(duì)抗性暴露驗(yàn)證（AdversarialExposureValidation-AEV），由此，BAS的落腳點(diǎn)由模擬（simulation）升級(jí)為驗(yàn)證（validation），朝著效果與價(jià)值的方向更進(jìn)一步。此外，合并后新命名的AEV處在成熟度參照上述國外各個(gè)相關(guān)概念的演進(jìn)，據(jù)數(shù)世咨詢調(diào)研，目前國內(nèi)相關(guān)能力企業(yè)的基因有行業(yè)最佳實(shí)踐、自動(dòng)化滲透、仿真靶場(chǎng)等在實(shí)際交付時(shí)，會(huì)根據(jù)不同水平的機(jī)構(gòu)用戶需求，結(jié)合成不同的解在金融等行業(yè)有多年深耕經(jīng)驗(yàn)積累的安全創(chuàng)業(yè)團(tuán)隊(duì)，憑借其核心成員在一線安全運(yùn)營場(chǎng)景中的行業(yè)最佳實(shí)踐，積累了大量從日常安全運(yùn)營、實(shí)網(wǎng)演習(xí)、重保演練、實(shí)戰(zhàn)攻防中提煉總結(jié)出的驗(yàn)證用例，這些用例在同行業(yè)同場(chǎng)景中有非常高的驗(yàn)證“命中率”，加以自動(dòng)化的驗(yàn)證平臺(tái)，可以有效發(fā)現(xiàn)同行業(yè)機(jī)構(gòu)用戶的失效點(diǎn)，提升其安全運(yùn)營整體有效性，為同行業(yè)機(jī)構(gòu)用戶提供持續(xù)的有效性驗(yàn)證能階段，也引入了威脅情報(bào)、攻擊面管理等新的技術(shù)能力，其特點(diǎn)是能夠以外部攻擊者視角對(duì)機(jī)構(gòu)用戶的實(shí)際業(yè)務(wù)系統(tǒng)發(fā)起攻擊，進(jìn)而通過殺傷鏈上的信息搜集、漏洞利用、跳板終端、網(wǎng)絡(luò)節(jié)點(diǎn)、主機(jī)應(yīng)用等環(huán)節(jié)，深入到內(nèi)網(wǎng)業(yè)務(wù)主機(jī)，可以一定程度替代人工滲透的“仿真靶場(chǎng)”大多由網(wǎng)絡(luò)靶場(chǎng)、數(shù)字靶場(chǎng)賽道的企業(yè)發(fā)展而來，其優(yōu)勢(shì)在于對(duì)機(jī)構(gòu)用戶現(xiàn)行安全運(yùn)營體系中網(wǎng)絡(luò)架構(gòu)、終端系統(tǒng)等運(yùn)行環(huán)境的高度仿真。結(jié)合多年多項(xiàng)賽事中所積累的攻防技戰(zhàn)法轉(zhuǎn)化而來的驗(yàn)證劇本，該路線在安全運(yùn)營體系中，特別是安全運(yùn)營團(tuán)隊(duì)的人員能力有明顯的驗(yàn)證效果，可以有效發(fā)現(xiàn)運(yùn)營團(tuán)隊(duì)的響應(yīng)短不論采用哪種技術(shù)路線，國內(nèi)這一賽道的共同特點(diǎn)是都更為貼近用戶的實(shí)際需求：一方面，已經(jīng)有較多安全廠商推出了自動(dòng)化滲透測(cè)試產(chǎn)品，在實(shí)網(wǎng)攻防演練中配合攻擊隊(duì)已有較廣泛應(yīng)用；另一方面，安全有效性驗(yàn)證開始進(jìn)入市場(chǎng)普遍接受和快速發(fā)展的階段，越來越多的安全運(yùn)營團(tuán)隊(duì)開始通過自動(dòng)化的驗(yàn)證，用以評(píng)估當(dāng)前的防御能力與實(shí)際效果。代表行業(yè)有金融、監(jiān)管、能源電力、運(yùn)營商等，下一小節(jié)將針對(duì)各行業(yè)的需求分別敘述，接下來，我們先看下在數(shù)世咨詢發(fā)布的《能力指南-持續(xù)評(píng)估定義安全運(yùn)營》報(bào)告中，數(shù)世咨詢將自動(dòng)化滲透測(cè)試、安全有效性驗(yàn)證等細(xì)分領(lǐng)域統(tǒng)一以“持續(xù)評(píng)估定義安全運(yùn)營”概念進(jìn)行統(tǒng)計(jì)，目前該賽道在國內(nèi)的市場(chǎng)份額已經(jīng)過億，同比增長率高達(dá)440%，同時(shí)數(shù)世咨詢認(rèn)為在接世咨詢《中國數(shù)字安全產(chǎn)業(yè)年度報(bào)告2023》中的統(tǒng)計(jì)數(shù)據(jù)，同時(shí)參考金融、政府監(jiān)管、能源電力、運(yùn)營商等行業(yè)安全運(yùn)營投入、持從國內(nèi)各行業(yè)對(duì)安全有效性驗(yàn)證的需求情況來看，根據(jù)數(shù)世咨詢《能力指南-持續(xù)評(píng)估定義安全運(yùn)營》報(bào)告圖5：行業(yè)需求占比-持續(xù)評(píng)估定義安全運(yùn)營目前作為需求占比最高的行業(yè)，安全有效性驗(yàn)證的需求主要來源于實(shí)戰(zhàn)化安全運(yùn)營、實(shí)網(wǎng)攻防演練等場(chǎng)景，金融行業(yè)自身屬于強(qiáng)監(jiān)管行業(yè)，且內(nèi)生安全需求較高，推動(dòng)整體安全建設(shè)相對(duì)較早、較快的發(fā)展，用戶安全運(yùn)營的成熟度不論從團(tuán)隊(duì)意識(shí)到實(shí)際運(yùn)營水平安全有效性驗(yàn)證對(duì)金融行業(yè)帶來的價(jià)值更多體現(xiàn)在降本增效，在無需追加人員的前提下實(shí)現(xiàn)對(duì)已有驗(yàn)證手段（人工滲透、紅藍(lán)對(duì)抗）的全面補(bǔ)充，同時(shí)指導(dǎo)來年安全建設(shè)預(yù)算方向，量化防御能力。以27%的需求占比排名第二，其有效性驗(yàn)證的需求主要以All臨潛在的國家級(jí)網(wǎng)絡(luò)攻防對(duì)抗風(fēng)險(xiǎn)，因此通過安全有效性驗(yàn)證對(duì)自安全有效性驗(yàn)證對(duì)政府監(jiān)管行業(yè)帶來的價(jià)值是解決相關(guān)監(jiān)管單位對(duì)國家關(guān)鍵信息基礎(chǔ)設(shè)施及重要單位缺少標(biāo)準(zhǔn)化防護(hù)能力檢查評(píng)估工具的問題，能夠發(fā)現(xiàn)和整改組織單位網(wǎng)絡(luò)安全防護(hù)建設(shè)中的深作為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的代表，同時(shí)具備金融與政府監(jiān)管兩個(gè)行業(yè)的需求特點(diǎn)，無論是國家級(jí)網(wǎng)絡(luò)攻防對(duì)抗風(fēng)險(xiǎn)，亦或?qū)崙?zhàn)化安全運(yùn)營需求，在能源電力行業(yè)都能看到，因此其成為近年來另安全有效性驗(yàn)證對(duì)能源電力行業(yè)帶來的價(jià)值主要體現(xiàn)在“自動(dòng)化安全巡檢”。該行業(yè)普遍存在“業(yè)務(wù)體量巨大但安全團(tuán)隊(duì)較小”的情況，面對(duì)嚴(yán)峻的安全形勢(shì)，安全團(tuán)隊(duì)實(shí)際工作壓力很大。借助平臺(tái)自動(dòng)化高效實(shí)現(xiàn)“安全有效性”巡檢，即類似自動(dòng)化運(yùn)維，實(shí)現(xiàn)安全運(yùn)營常態(tài)化的“自動(dòng)化巡檢”；同時(shí)第一時(shí)間可以獲得新的攻擊方式和漏作為業(yè)務(wù)連續(xù)性要求最高的行業(yè)之一，行業(yè)集中度高，集采項(xiàng)目金額大，因此安全有效性驗(yàn)證需求作為眾多數(shù)字安全新賽道之一，也開始逐步走進(jìn)運(yùn)營商用戶的視野，運(yùn)營商作為網(wǎng)絡(luò)通信基礎(chǔ)架構(gòu)的建設(shè)和運(yùn)營方，承擔(dān)各類骨干網(wǎng)和關(guān)鍵節(jié)點(diǎn)的通信保障，安全防護(hù)不容任何閃失，尤其面對(duì)近期勒索事件頻發(fā)、外部威脅局勢(shì)嚴(yán)峻，針對(duì)安全防護(hù)措施的可用性、可靠性、有效性檢查評(píng)估已在各類通安全有效性驗(yàn)證對(duì)運(yùn)營商行業(yè)帶來的價(jià)值主要體現(xiàn)在各省公司復(fù)雜網(wǎng)絡(luò)架構(gòu)下，布防的眾多類型的安全設(shè)備和措施是否都實(shí)時(shí)有效。集團(tuán)對(duì)各省公司的安全防護(hù)能力進(jìn)行評(píng)價(jià)或考核，并給予針對(duì)安全有效性驗(yàn)證通過最佳實(shí)踐驗(yàn)證用例的比對(duì)，或在不同網(wǎng)絡(luò)域單獨(dú)部署驗(yàn)證節(jié)點(diǎn)（攻擊角色和靶標(biāo)角色），無害化開展持續(xù)的模擬攻擊驗(yàn)證，形成自動(dòng)化規(guī)則策略驗(yàn)證閉環(huán)，實(shí)現(xiàn)安全防護(hù)措施的有效性驗(yàn)證，確保網(wǎng)絡(luò)安全配置、安全設(shè)備、安全策略等按照預(yù)企業(yè)當(dāng)前已部署各類安全產(chǎn)品和平臺(tái)，涉及各類主流安全廠商作為供應(yīng)商，提供產(chǎn)品和技術(shù)服務(wù)。很大程度上，當(dāng)前依賴于這些安全產(chǎn)品的能力，實(shí)現(xiàn)對(duì)威脅和攻擊的檢測(cè)和攔截。從安全有效性驗(yàn)證的角度出發(fā)，是對(duì)當(dāng)前已部署的各類安全產(chǎn)品、平臺(tái)、規(guī)則策略等的有效性進(jìn)行驗(yàn)證評(píng)估，第三方中立性是重要支撐點(diǎn)。目前已經(jīng)有部分安全大廠關(guān)注“安全有效性驗(yàn)證”賽道，投入一些資源開拓，但對(duì)于新的方向，賽道和客戶需求還沒有標(biāo)準(zhǔn)化，大廠缺少耐心培育市場(chǎng)，支持力度很有限。最重要的一點(diǎn)是：第三方公正性。部分廠商既做安全防護(hù)產(chǎn)品，又做安全有效性驗(yàn)證，既做守門員，又做裁判員。該類廠商做安全有效性驗(yàn)證，評(píng)價(jià)自己的安全產(chǎn)品配置、安全有效性驗(yàn)證是比較新的技術(shù)手段，是基于自動(dòng)化攻擊模擬技術(shù)框架形成的最佳實(shí)踐。區(qū)別于傳統(tǒng)防御視角，安全有效性驗(yàn)證需要對(duì)攻擊原理、攻擊手段、攻擊方式、攻擊工具以及各類漏洞利用都有深入的研究和積累。針對(duì)攻擊側(cè)的研究需要有深度的技術(shù)底蘊(yùn)和豐富的實(shí)戰(zhàn)積累，更需要投入大量時(shí)間和人力來研究落地。同時(shí)還要具備豐富的安全建設(shè)運(yùn)營經(jīng)驗(yàn)，并且能將頭部用戶先進(jìn)的安當(dāng)模擬攻擊打出，需要清晰了解甲方攔截和告警的預(yù)期結(jié)果。這需要研究各網(wǎng)絡(luò)安全廠商安全產(chǎn)品的防御機(jī)制和原理，橫向收集各網(wǎng)絡(luò)安全廠商主流安全產(chǎn)品的檢測(cè)、攔截、阻斷反饋數(shù)據(jù)，包括：響應(yīng)頁面、返回代碼、特殊返回字符或部分API接口等，這樣才能自動(dòng)化的準(zhǔn)確判斷攔截、檢測(cè)結(jié)果，才能實(shí)現(xiàn)安全有效性驗(yàn)證的自動(dòng)化閉環(huán)。該技術(shù)實(shí)現(xiàn)門檻較高，不僅需要有較強(qiáng)的攻擊技術(shù)能力和攻防實(shí)戰(zhàn)積累，更關(guān)鍵的是要求具備豐富的安全運(yùn)營經(jīng)驗(yàn)和視角，能夠清晰了解企業(yè)安全工作建設(shè)、安全運(yùn)營工作開展過程中，會(huì)在哪些方面存在安全措施和策略的可能失效點(diǎn)，并通過安全驗(yàn)證手段所以在考慮現(xiàn)有資源和實(shí)際需求的情況下，應(yīng)重點(diǎn)關(guān)注該領(lǐng)域安全有效性驗(yàn)證必須實(shí)現(xiàn)無害化，目的是對(duì)已經(jīng)部署的各類安全防護(hù)措施的驗(yàn)證，而不是對(duì)生產(chǎn)業(yè)務(wù)系統(tǒng)實(shí)行真實(shí)的傷害性攻擊。需要對(duì)各類攻擊手法進(jìn)行無實(shí)際傷害的模擬，同時(shí)又需要使其保留攻擊特征。驗(yàn)證節(jié)點(diǎn)使用實(shí)體靶機(jī)時(shí)，需在生產(chǎn)網(wǎng)內(nèi)申請(qǐng)?zhí)摂M機(jī)或者物理機(jī)，策略配置和生產(chǎn)網(wǎng)業(yè)務(wù)主機(jī)保持一致，但是不能使用真正跑業(yè)務(wù)的主機(jī)作為靶機(jī)進(jìn)行驗(yàn)證。驗(yàn)證使用的技術(shù)包括但不限于安全有效性驗(yàn)證帶來的最大改進(jìn)之一是能夠持續(xù)評(píng)估態(tài)勢(shì)的能力。它消除了單點(diǎn)時(shí)間評(píng)估的缺點(diǎn)，取而代之的是，可以以高度自動(dòng)化的方式進(jìn)行驗(yàn)證，在發(fā)生配置更改或告警失效時(shí)立即通知安全安全有效性驗(yàn)證應(yīng)該以自動(dòng)化為核心，構(gòu)建實(shí)戰(zhàn)化、體系化、常態(tài)化的安全有效性攻擊驗(yàn)證節(jié)點(diǎn)機(jī)制。通過在企業(yè)內(nèi)部構(gòu)造不同的模擬攻擊驗(yàn)證場(chǎng)景，對(duì)已部署的各類安全防護(hù)措施及規(guī)則策略開展全面的模擬攻擊驗(yàn)證，形成可量化、可持續(xù)、可運(yùn)營的安全有效性驗(yàn)證體系，實(shí)現(xiàn)自動(dòng)化攻擊模擬、自動(dòng)化閉環(huán)分析、自動(dòng)化結(jié)果輸出。驗(yàn)證平臺(tái)的部署實(shí)施、驗(yàn)證任務(wù)的下發(fā)、驗(yàn)證動(dòng)作的執(zhí)行、驗(yàn)證結(jié)果的比對(duì)、以及驗(yàn)證報(bào)告的生成等功能都應(yīng)當(dāng)是充分自動(dòng)化在這些自動(dòng)化能力基礎(chǔ)上，安全團(tuán)隊(duì)就可以利用累計(jì)發(fā)現(xiàn)的多個(gè)失效點(diǎn)，按照時(shí)間線維度，分解故障背后的真實(shí)原因，提高整個(gè)系統(tǒng)的彈性與韌性。且在面臨業(yè)務(wù)迭代、IT環(huán)境變化、策略規(guī)則升安全有效性驗(yàn)證不能只是單純的攻擊發(fā)出，而依賴人工進(jìn)行結(jié)果的確認(rèn)和判斷。需要基于平臺(tái)實(shí)現(xiàn)自動(dòng)化的機(jī)制，從模擬攻擊的發(fā)出，到防御體系產(chǎn)生的各類攔截、阻斷、告警響應(yīng)等生成的各類日志信息，形成完整驗(yàn)證鏈路。不需要額外的人員投入，通過自動(dòng)化的方式實(shí)現(xiàn)攻擊場(chǎng)景構(gòu)建、任務(wù)調(diào)度、事件日志獲取與分析評(píng)估，證BAS是攻防對(duì)抗層面的驗(yàn)證，通過模擬可能由黑客或不法分子實(shí)施的網(wǎng)絡(luò)攻擊，通過內(nèi)置的模擬攻擊腳本及行為，執(zhí)行正面攻防對(duì)抗的驗(yàn)證評(píng)估。從安全運(yùn)營角度來看，還需要補(bǔ)充對(duì)各類規(guī)則策略繞過的驗(yàn)證，即非攻防對(duì)抗的驗(yàn)證。如網(wǎng)絡(luò)隔離策略的驗(yàn)證，驗(yàn)通過場(chǎng)景的模擬和構(gòu)造實(shí)現(xiàn)自動(dòng)化的對(duì)規(guī)則策略的有效性進(jìn)行驗(yàn)證。業(yè)內(nèi)大部分該領(lǐng)域的能力者會(huì)參考MITRE的ATT&CK框架等知識(shí)庫，覆蓋APT高級(jí)威脅的攻擊戰(zhàn)術(shù)、技術(shù)和程序。但除此之外，基于行業(yè)最佳實(shí)踐的驗(yàn)證用例的覆蓋與積累是安全有效性驗(yàn)證的首要關(guān)鍵成功因素。即應(yīng)當(dāng)結(jié)合國內(nèi)近幾年的兩大場(chǎng)景——實(shí)網(wǎng)攻防演練與數(shù)字化轉(zhuǎn)型——基于最佳實(shí)踐來組織安全有效性驗(yàn)證針對(duì)實(shí)網(wǎng)攻防演練，通過持續(xù)收集往年演練活動(dòng)中的攻擊思路、攻擊工具、攻擊鏈路等要素，整理為高度仿真的驗(yàn)證用例；針對(duì)數(shù)字化轉(zhuǎn)型，重點(diǎn)考慮轉(zhuǎn)型過程中的業(yè)務(wù)上云，資產(chǎn)數(shù)字化等導(dǎo)致的攻擊面擴(kuò)大，覆蓋身份、網(wǎng)絡(luò)、存儲(chǔ)和控制臺(tái)訪問等關(guān)鍵點(diǎn)，避免因?yàn)樾袠I(yè)最佳實(shí)踐具備明顯的場(chǎng)景化特點(diǎn)，所以在某個(gè)行業(yè)頭部用戶使用較多的安全有效性驗(yàn)證產(chǎn)品，在這個(gè)行業(yè)的驗(yàn)證場(chǎng)景用例會(huì)更具有行業(yè)屬性，能夠?qū)⑿袠I(yè)頭部用戶的運(yùn)營經(jīng)驗(yàn)以驗(yàn)證產(chǎn)品攻防是持續(xù)對(duì)抗的過程，需要對(duì)各類攻擊有全面的深入研究和工程化實(shí)現(xiàn)。需要對(duì)最新的各類攻擊原理，攻擊手段，攻擊方式，攻擊工具，以及各類漏洞利用都有持續(xù)的，實(shí)時(shí)的研究和用例開發(fā)上線。用例的更新和上線，需要由專業(yè)化的團(tuán)隊(duì)運(yùn)營，做到7X24小時(shí)持續(xù)更新和發(fā)布，確保我行能夠第一時(shí)間對(duì)最新的攻擊進(jìn)行驗(yàn)通過安全有效性驗(yàn)證發(fā)現(xiàn)失效和各類問題后，需要給出對(duì)應(yīng)的針對(duì)性解決建議，解決建議的核心同樣應(yīng)該是來自行業(yè)最佳實(shí)踐。要求安全有效性驗(yàn)證廠商具備充分的行業(yè)安全驗(yàn)證實(shí)踐，基于眾多在明確了安全有效性驗(yàn)證的八個(gè)主要成功因素之后，這里還要重點(diǎn)厘清安全有效性驗(yàn)證與漏洞掃描、滲透測(cè)試乃至攻防演練等傳眾所周知資產(chǎn)有脆弱性（含漏洞、弱口令、未授權(quán)訪問等），因?yàn)橘Y產(chǎn)有脆弱性，所以我們部署了一系列安全防護(hù)產(chǎn)品和措施，希望能及時(shí)的檢測(cè)和阻斷攻擊，但近年來的實(shí)網(wǎng)攻防中會(huì)發(fā)現(xiàn)，經(jīng)常出現(xiàn)攻擊未檢測(cè)到、未告警，攻擊沒攔截的情況，導(dǎo)致安全風(fēng)險(xiǎn)事件發(fā)生。因此，安全事件的發(fā)生是由兩個(gè)因素疊加形成的：資產(chǎn)針對(duì)資產(chǎn)的脆弱性，傳統(tǒng)做法是基于滲透和紅藍(lán)對(duì)抗、漏掃等發(fā)現(xiàn)一些資產(chǎn)的漏洞問題，是以漏洞視角來發(fā)現(xiàn)資產(chǎn)的脆弱性。一直以來缺少一個(gè)體系化的機(jī)制對(duì)已經(jīng)部署的各類安全防護(hù)體系的脆技術(shù)可以很好地解決。通過在企業(yè)內(nèi)部自行構(gòu)造各類模擬攻擊驗(yàn)證場(chǎng)景，主動(dòng)觸發(fā)防御體系，主動(dòng)觸發(fā)產(chǎn)生告警和攔截事件，驗(yàn)證已源害傷害系統(tǒng)的情況度段漏洞掃描：對(duì)象是各類應(yīng)用資產(chǎn)，目標(biāo)是發(fā)現(xiàn)這些應(yīng)用資產(chǎn)上是否存在已知的漏洞。主要以發(fā)包的方式通過掃描和探測(cè)，與已知安全有效性驗(yàn)證：對(duì)象是各種安全防護(hù)產(chǎn)品策略和運(yùn)營平臺(tái)，目標(biāo)是及時(shí)發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測(cè)而未檢測(cè)”的情況。通過基于BAS的自動(dòng)化攻擊模擬來實(shí)現(xiàn)，通過構(gòu)造各種模擬攻擊漏洞利用、攻擊手法、攻擊工具等，來觸發(fā)安全防護(hù)的各類檢測(cè)和告警，核心是安全防護(hù)措施。從而讓安全運(yùn)營人員及時(shí)了解當(dāng)前已安全有效性驗(yàn)證與滲透測(cè)試是沒有替代性的，完全不同且可相滲透測(cè)試：是通過人工+工具的方式，挖掘業(yè)務(wù)資產(chǎn)漏洞，并找到可被利用的方式。從時(shí)間頻度來說，是偶發(fā)的，一年只有幾次。執(zhí)行滲透測(cè)試任務(wù)時(shí)，通常是會(huì)在防護(hù)措施上將攻擊源加白，避免用可以突破，就直接利用，對(duì)于潛在的可能存在其他漏洞利用就不需要關(guān)注和嘗試了，因?yàn)闈B透目標(biāo)已經(jīng)達(dá)成，且時(shí)間成本，人力成攻防演練：使用的與滲透測(cè)試的技術(shù)一部分是相同的，但是更接近真實(shí)場(chǎng)景，偏向于實(shí)戰(zhàn)，面對(duì)的場(chǎng)景復(fù)雜、技術(shù)繁多。側(cè)重黑盒方式進(jìn)行漏洞挖掘+繞過防御體系，毫無聲息達(dá)成獲取業(yè)務(wù)權(quán)限或數(shù)據(jù)的目標(biāo)。不求發(fā)現(xiàn)全部風(fēng)險(xiǎn)點(diǎn)，因?yàn)楣魟?dòng)作越多被發(fā)現(xiàn)的概率越大，一旦被發(fā)現(xiàn)，防守方就會(huì)把攻擊方踢出戰(zhàn)場(chǎng)。攻防演練的目的是檢驗(yàn)在真實(shí)攻擊中縱深防御能力、告警運(yùn)營質(zhì)量、應(yīng)急處置安全有效性驗(yàn)證：是從全覆蓋面出發(fā)結(jié)合縱深防御，對(duì)已經(jīng)部署的各類安全防護(hù)體系的驗(yàn)證。通過白盒方式觸發(fā)安全防護(hù)的各類檢測(cè)和告警，及時(shí)發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測(cè)而未檢測(cè)”的情況。面向縱深防御各個(gè)維度，實(shí)現(xiàn)體系化、標(biāo)準(zhǔn)化、自動(dòng)化的對(duì)現(xiàn)有已部署的各類安全防護(hù)進(jìn)行防護(hù)有效性驗(yàn)證，給出評(píng)估度量讓安全運(yùn)營人員及時(shí)和全面的掌握現(xiàn)有安全防護(hù)水準(zhǔn)。通過持續(xù)常態(tài)化驗(yàn)證，傳統(tǒng)基于少量場(chǎng)景，碎片化的攻擊手法的驗(yàn)證，確實(shí)可以用戶自己做。但是，鑒于“黑盒驗(yàn)證的局限性”“人工白盒驗(yàn)證的局限性”，仍然建議專業(yè)的事交給專業(yè)的人做，何況是全覆蓋面的驗(yàn)證無法依日志做自動(dòng)化的閉環(huán)匹配，這樣就不需要人工參與判斷。各類設(shè)備和策略的日志自動(dòng)閉環(huán)驗(yàn)證匹配，是需要比較大的開發(fā)門檻和維護(hù)（2）安全檢測(cè)能力驗(yàn)證一來依賴很多資深的安全技術(shù)和研發(fā)參與，從投入的資源來說，廣度、深度和及時(shí)性等都會(huì)比廠商弱很多。且如果通過手動(dòng)方式執(zhí)行驗(yàn)證勢(shì)必會(huì)浪費(fèi)很多時(shí)間，也無法重復(fù)執(zhí)行。而通過這種平臺(tái)化的能力，能夠快速的實(shí)現(xiàn)相關(guān)驗(yàn)證。相當(dāng)于通過有效性驗(yàn)證平臺(tái)能夠?qū)⑿袠I(yè)最關(guān)心的安全運(yùn)營場(chǎng)景和攻擊手法以技術(shù)手段開展有效性驗(yàn)證的總體思路是，基于安全防護(hù)措施的范圍與目標(biāo)，制定能夠觸發(fā)防護(hù)控制效果的模擬行為，結(jié)合防護(hù)措施實(shí)際的響應(yīng)結(jié)果，能夠?qū)崿F(xiàn)自動(dòng)化閉環(huán)并給出驗(yàn)證結(jié)果評(píng)價(jià)?？刂拼胧┰O(shè)計(jì)的預(yù)期結(jié)果為評(píng)價(jià)基準(zhǔn)，實(shí)際攻防的結(jié)果是評(píng)價(jià)依據(jù)，達(dá)到對(duì)防護(hù)措施的客觀度量評(píng)價(jià)。通過將防護(hù)能力進(jìn)行度量可視化，將安全防護(hù)能力可以“看得見”及“可評(píng)價(jià)”，才能形安全有效性驗(yàn)證的核心邏輯是“攻擊與繞過場(chǎng)景構(gòu)造”和“防護(hù)響基于平臺(tái)工具，通過攻擊驗(yàn)證節(jié)點(diǎn)向被驗(yàn)證對(duì)象發(fā)起驗(yàn)證，對(duì)已部署的各類安全措施發(fā)起無害化模擬攻擊，基于日志事件的分析，判斷安全防護(hù)措施對(duì)本次驗(yàn)證的響應(yīng)情況，以評(píng)估整體防護(hù)響應(yīng)檢1.有效：對(duì)本次發(fā)起的模擬攻擊驗(yàn)證，正常檢測(cè)或阻告警信息或攔截事件，未觸發(fā)相關(guān)規(guī)則策略；或策略被成功繞過，安全有效性驗(yàn)證平臺(tái)是集安全措施展示、監(jiān)控與驗(yàn)證于一體的通過攻擊模擬驗(yàn)證，確定安全設(shè)備及規(guī)則檢測(cè)鏈路是否正常工作，對(duì)重要安全防護(hù)措施進(jìn)行過程驗(yàn)證：邊界防護(hù)、流量安全、主設(shè)備/系統(tǒng)的日志獲取和告警方式以白盒的方式進(jìn)行有效性驗(yàn)證。過程驗(yàn)證可以在第一時(shí)間內(nèi)進(jìn)行溯源，定位出現(xiàn)問題的位置，保障安結(jié)合現(xiàn)有的紅藍(lán)對(duì)抗等驗(yàn)證安全防護(hù)是否真實(shí)生效；為驗(yàn)證防護(hù)措施規(guī)則的有效性，選取以結(jié)果驗(yàn)證的方式進(jìn)行，在融合現(xiàn)有運(yùn)營措施（滲透測(cè)試、紅藍(lán)對(duì)抗、眾測(cè)、漏掃、巡檢等）的基礎(chǔ)上，新增實(shí)時(shí)動(dòng)態(tài)展示安全有效性驗(yàn)證結(jié)果，第一時(shí)間掌握安全防護(hù)有效性。從防護(hù)措施分級(jí)，到防護(hù)措施展示，再到獲取驗(yàn)證監(jiān)控結(jié)果，直至最后失效措施告警，都依托于拓?fù)浣Y(jié)構(gòu)進(jìn)行可視化展示，不但可以明確現(xiàn)有安全措施依據(jù)重要程度的分級(jí)情況，還可以直觀的看安全有效性驗(yàn)證平臺(tái)可開展獨(dú)立的攻擊模擬驗(yàn)證，既可以通過也可以直接與安全設(shè)備通過syslog對(duì)接日志，來判斷安全設(shè)備監(jiān)測(cè)和防護(hù)的告警狀態(tài)，識(shí)別和驗(yàn)證安全設(shè)備的有效性與整體安全能力。通過在不同網(wǎng)絡(luò)域單獨(dú)部署攻擊驗(yàn)證節(jié)點(diǎn)和靶標(biāo)驗(yàn)證節(jié)點(diǎn)，實(shí)現(xiàn)無害化的持續(xù)攻擊驗(yàn)證，形成自動(dòng)化規(guī)則策略驗(yàn)證閉環(huán)，實(shí)現(xiàn)安全防護(hù)、檢測(cè)等安全設(shè)備的有效性驗(yàn)證，確保網(wǎng)絡(luò)安全配置、安全驗(yàn)證平臺(tái)是服務(wù)端、攻擊驗(yàn)證節(jié)點(diǎn)、靶標(biāo)驗(yàn)證節(jié)點(diǎn)三部分分離1.服務(wù)端負(fù)責(zé)驗(yàn)證任務(wù)創(chuàng)建、任務(wù)調(diào)度、任務(wù)下發(fā)、驗(yàn)證結(jié)果分析及展示、靶標(biāo)驗(yàn)證節(jié)點(diǎn)和攻擊驗(yàn)證節(jié)點(diǎn)管理、驗(yàn)證場(chǎng)景創(chuàng)建和2.攻擊驗(yàn)證節(jié)點(diǎn)負(fù)責(zé)模擬攻擊者對(duì)目標(biāo)靶標(biāo)驗(yàn)證節(jié)點(diǎn)發(fā)起攻擊3.靶標(biāo)驗(yàn)證節(jié)點(diǎn)作為被攻擊端，用來充分驗(yàn)證安全防御檢測(cè)能力、安全策略運(yùn)行的有效性等；靶標(biāo)驗(yàn)證節(jié)點(diǎn)上無任何真實(shí)生產(chǎn)業(yè)務(wù)，但部署有和真實(shí)環(huán)境一致的安全防護(hù)措施及軟件。靶標(biāo)驗(yàn)證節(jié)步安全設(shè)備資產(chǎn)信息、同步告警日志，接收系統(tǒng)驗(yàn)證結(jié)果，判斷安安全有效性驗(yàn)證用例是對(duì)安全防護(hù)措施開展檢查與評(píng)價(jià)的最小單元。每個(gè)安全驗(yàn)證用例可能是一次入侵攻擊嘗試、惡意文件植入、危險(xiǎn)命令執(zhí)行、系統(tǒng)賬號(hào)破解等外部入侵動(dòng)作，也可能是配置文件變更、違規(guī)網(wǎng)絡(luò)連接、開發(fā)代碼包含漏洞、敏感數(shù)據(jù)泄露、違規(guī)運(yùn)維操作等違背管控紅線的違規(guī)行為。根據(jù)這種不同視角，安全用例1.基于攻擊視角的入侵攻擊模擬用例：攻基于入侵與攻擊模擬BAS技術(shù)框架構(gòu)建模擬黑客的各行為。來自外部人員的入侵攻擊與防護(hù)體系形成一種競(jìng)爭(zhēng)對(duì)抗，規(guī)劃驗(yàn)證用例時(shí)需要把工作重心放在對(duì)攻擊手法的覆蓋度以及熱點(diǎn)攻擊行為跟蹤的及時(shí)性上。作為已知攻擊技戰(zhàn)術(shù)的集合，ATT&CK框架已成為各方評(píng)估攻防技術(shù)覆蓋情況應(yīng)用最廣泛的工具。相同的，安全有效性驗(yàn)證對(duì)攻擊技戰(zhàn)術(shù)的驗(yàn)證覆蓋情況，也同樣可參考該框?qū)τ谛屡兜募紤?zhàn)術(shù)情報(bào)或漏洞，因防守方修復(fù)需要一定時(shí)間導(dǎo)致出現(xiàn)一段窗口期。通常每逢比較嚴(yán)重的漏洞被披露時(shí)，網(wǎng)絡(luò)會(huì)出現(xiàn)大量嘗試?yán)迷摯翱谄谶M(jìn)行初步邊界突破的攻擊行為。安全驗(yàn)證用例則需要在真實(shí)攻擊者發(fā)起此類攻擊行為前，以相同的攻擊手2.基于防御視角的違規(guī)行為模擬用例：策略繞過基線檢查對(duì)于違規(guī)行為的模擬時(shí)，所面臨的最大的挑戰(zhàn)是違規(guī)動(dòng)作的不這里應(yīng)優(yōu)先選擇那些對(duì)企業(yè)會(huì)產(chǎn)生較大影響的紅線規(guī)則，這樣有利于資源調(diào)配，最大化驗(yàn)證資源投入的性價(jià)比。同時(shí)可優(yōu)先選擇采取了技術(shù)控制措施的規(guī)則進(jìn)行驗(yàn)證，這類有技術(shù)驗(yàn)證目標(biāo)的驗(yàn)證用例會(huì)更有技術(shù)可落地性。面向規(guī)則的驗(yàn)證用例設(shè)計(jì)方法屬正向設(shè)計(jì)思路，即根據(jù)需要驗(yàn)證的規(guī)則模擬破壞其規(guī)則用例即可，相比較另外，對(duì)于一些主動(dòng)意愿較強(qiáng)的違規(guī)行為模擬，則因相關(guān)的動(dòng)作軌跡與特征本身屬于未知的狀態(tài)，此類驗(yàn)證用例設(shè)計(jì)需要更富創(chuàng)造力與想象力。因違規(guī)主體的目的是繞過各類防護(hù)規(guī)則，甚至有些人會(huì)對(duì)公司的防護(hù)策略有一定了解，譬如高權(quán)限運(yùn)維人員或者公司高管。這類驗(yàn)證用例所對(duì)抗的是各式各樣的人性與個(gè)體，其設(shè)計(jì)過程更多的需要參考業(yè)務(wù)風(fēng)控模型的建設(shè)思路，圍繞著核心業(yè)務(wù)的保障訴求，對(duì)“異?！钡臉I(yè)務(wù)操作進(jìn)行模擬。這里的異常涉及非常強(qiáng)的業(yè)務(wù)屬性，可能是一些頻率異常、時(shí)間地點(diǎn)異常或者業(yè)務(wù)邏輯上的3.對(duì)驗(yàn)證用例的結(jié)果校驗(yàn)邏輯閉環(huán)設(shè)計(jì)每個(gè)驗(yàn)證用例需要不同的技術(shù)實(shí)現(xiàn)環(huán)境，也導(dǎo)致其獲取校驗(yàn)數(shù)據(jù)的格式與方式都有所不同。對(duì)于驗(yàn)證用例需要明確如何判斷驗(yàn)證對(duì)于“預(yù)期”的設(shè)計(jì)要有處置結(jié)果、響應(yīng)覆蓋、時(shí)效延遲等不同維度的考慮。同時(shí)，在“結(jié)果”的解析過程上也需要建立對(duì)應(yīng)的規(guī)則或者校驗(yàn)邏輯首先從結(jié)果上不能出現(xiàn)模糊結(jié)論。基于攻擊模擬的有效性驗(yàn)證結(jié)果應(yīng)該只有“有效”或者“失效”兩種結(jié)果，不能出現(xiàn)類似“可能有效”的結(jié)論。如存在數(shù)據(jù)質(zhì)量問題時(shí)，應(yīng)優(yōu)先采取數(shù)據(jù)過濾或清洗等策略，對(duì)于無法獲取到明確數(shù)據(jù)時(shí)，應(yīng)先將驗(yàn)證結(jié)果進(jìn)行無效化。對(duì)于指標(biāo)類的驗(yàn)證結(jié)果數(shù)據(jù)（如響應(yīng)時(shí)間、延遲時(shí)間）等，也需要將驗(yàn)證獲取數(shù)據(jù)形成明確的數(shù)據(jù)，也可以設(shè)置指標(biāo)數(shù)據(jù)的基在驗(yàn)證任務(wù)的執(zhí)行過程中，需要根據(jù)企業(yè)基于風(fēng)險(xiǎn)偏好的安全驗(yàn)證需求，設(shè)置任務(wù)調(diào)度的各類策略與參數(shù)設(shè)定。根據(jù)任務(wù)執(zhí)行策略，需要以自動(dòng)化批處理引擎執(zhí)行驗(yàn)證任務(wù)與度量結(jié)果的計(jì)算。任。驗(yàn)證用例范圍/場(chǎng)景的選擇：根據(jù)驗(yàn)證對(duì)象與期望產(chǎn)出的度量。驗(yàn)證目標(biāo)的選擇：驗(yàn)證用例通常是基于某類防護(hù)措施或者場(chǎng)景而設(shè)計(jì)，而具體執(zhí)行驗(yàn)證任務(wù)時(shí)需要將類型具象化到對(duì)應(yīng)的具。驗(yàn)證路徑的選擇：需要驗(yàn)證的對(duì)象與目標(biāo)，會(huì)影響驗(yàn)證任務(wù)。計(jì)劃任務(wù)策略的制定：執(zhí)行計(jì)劃策略通常包括執(zhí)行周期、執(zhí)驗(yàn)證場(chǎng)景是對(duì)安全驗(yàn)證訴求最直接的反映，是為了滿足實(shí)現(xiàn)安全驗(yàn)證應(yīng)用價(jià)值而組成的整合方案。安全驗(yàn)證場(chǎng)景是由安全驗(yàn)證用例組成，但不是單純的安全驗(yàn)證用例的排列組合。根據(jù)驗(yàn)證應(yīng)用場(chǎng)景下的需要，除了需具備基本的安全驗(yàn)證用例外，還需要對(duì)不同的現(xiàn)在的態(tài)勢(shì)感知都是基于攻擊視角，識(shí)別攻擊行為，針對(duì)攻擊事件進(jìn)行處置。缺乏防御視角的可視化展示，無法快速了解防御體現(xiàn)在，依據(jù)既定的批量計(jì)劃任務(wù)，安全團(tuán)隊(duì)可以每十分鐘或每小時(shí)執(zhí)行一次預(yù)設(shè)的驗(yàn)證場(chǎng)景，以此持續(xù)監(jiān)控不同場(chǎng)景下的安全性能，并及時(shí)發(fā)現(xiàn)潛在問題，例如“安全設(shè)備短暫中斷”、“實(shí)時(shí)檢測(cè)功能延遲”以及“功能模塊異?！钡?。每月，通過在現(xiàn)網(wǎng)環(huán)境中使用攻擊驗(yàn)證節(jié)點(diǎn)對(duì)靶標(biāo)驗(yàn)證節(jié)點(diǎn)發(fā)起模擬攻擊，并借助自動(dòng)化閉環(huán)分析來評(píng)估結(jié)果，運(yùn)營團(tuán)隊(duì)能夠根據(jù)驗(yàn)證報(bào)告為失效策略制定改進(jìn)計(jì)劃并通過常態(tài)化的有效性驗(yàn)證，可以檢驗(yàn)安全策略在真實(shí)環(huán)境中的效能和穩(wěn)定性，形成基于攻擊效果的度量評(píng)價(jià)驗(yàn)證結(jié)果。將這些結(jié)果數(shù)據(jù)以圖形化的方式展現(xiàn)；每一個(gè)真實(shí)的防御部署可看到動(dòng)態(tài)變化的防御能力，形成基于防護(hù)場(chǎng)景的總覽視圖，基于真實(shí)防護(hù)拓?fù)涞拇笃烈晥D，實(shí)施掌握全網(wǎng)內(nèi)的安全防御能力，實(shí)現(xiàn)“一張網(wǎng)、一張?jiān)诶账鞣雷o(hù)能力提高方面，已經(jīng)加強(qiáng)終端、網(wǎng)絡(luò)、邊界側(cè)的針對(duì)性防護(hù)措施，例如增加了防勒索模塊、增加了漏洞排查的頻率等，防護(hù)能力有了一定的提高，但效果如何？還需要建立常態(tài)化、自動(dòng)化的檢查機(jī)制，不斷的發(fā)現(xiàn)脆弱點(diǎn)，及時(shí)的修正，形成螺旋式上升的局面，不斷的提高防護(hù)能力。通過模擬勒索軟件從感染植入、傳播擴(kuò)散到加密勒索這三個(gè)關(guān)鍵階段的多種行為模式，系統(tǒng)地收集已部署防御體系的攔截與告警數(shù)據(jù)。隨后，利用自動(dòng)化比對(duì)技術(shù)，對(duì)這些攔截和告警結(jié)果進(jìn)行深入分析，量化評(píng)估防御體系對(duì)勒索組織各類動(dòng)作與行為的有效攔截率及告警準(zhǔn)確性。真實(shí)反映企業(yè)的勒索在感染植入階段，全面模擬勒索軟件入侵的初始步驟，以檢驗(yàn)防御體系的初步響應(yīng)能力。在邊界防護(hù)層面，通過勒索常見的高危漏洞的攻擊，模擬黑客利用這些漏洞對(duì)邊界進(jìn)行驗(yàn)證。同時(shí)，在郵件安全方面，模擬多種形式的勒索病毒郵件攻擊，包括偽裝成合法郵件、附帶惡意附件或鏈接等，驗(yàn)證郵件安全效果。此外，在終端和主機(jī)層面，通過多種勒索軟件家族樣本和域名請(qǐng)求模擬，驗(yàn)證終進(jìn)入傳播擴(kuò)散階段，重點(diǎn)模擬勒索軟件在企業(yè)內(nèi)部網(wǎng)絡(luò)中的擴(kuò)散和蔓延能力。這包括模擬勒索軟件利用橫向移動(dòng)技術(shù)、RDP3389端口進(jìn)行爆破攻擊模擬，驗(yàn)證訪問控制策略。此外，模擬勒索組織立通訊的行為，以評(píng)估防御體系對(duì)勒索軟件持續(xù)威脅的監(jiān)測(cè)和阻斷能力。同時(shí)，我們還加入了模擬批處理腳本的執(zhí)行，如移除防病毒軟件、關(guān)閉數(shù)據(jù)備份服務(wù)、拷貝敏感數(shù)據(jù)等，以測(cè)試防御體系對(duì)惡在加密勒索階段，模擬勒索軟件的核心破壞行為，以評(píng)估防御體系在最后一道防線上的表現(xiàn)。這包括模擬勒索軟件對(duì)目標(biāo)文件系統(tǒng)的加密操作、模擬鎖定與破壞、模擬數(shù)據(jù)銷毀或篡改，以驗(yàn)證終端/主機(jī)的防護(hù)能力；通過這些模擬攻擊，全面揭示防御體系在應(yīng)對(duì)在參與國家級(jí)、省級(jí)、行業(yè)的網(wǎng)絡(luò)攻防工作時(shí)，滲透測(cè)試和紅藍(lán)對(duì)抗演練已經(jīng)成為常規(guī)化的關(guān)鍵驗(yàn)證手段，用來檢驗(yàn)自身的防御效能。然而，這些手段主要集中在有限的攻擊路徑上，難以全面覆為了驗(yàn)證防御策略的有效性，須從縱深防御體系的角度出發(fā)，審視同一攻擊手段在縱深防御各個(gè)層面的檢測(cè)能力，從而識(shí)別防御體系中的薄弱環(huán)節(jié)。應(yīng)當(dāng)特別關(guān)注驗(yàn)證演練中頻繁使用的攻擊手段和關(guān)鍵環(huán)節(jié)，并根據(jù)目前所使用的設(shè)備，精心設(shè)計(jì)相應(yīng)的驗(yàn)證場(chǎng)景和測(cè)試用例。在正式演練開始之前，對(duì)自我安全防御的有效性進(jìn)行面對(duì)集團(tuán)型企業(yè)擁有眾多分支機(jī)構(gòu)的復(fù)雜場(chǎng)景，通過集團(tuán)部署的驗(yàn)證平臺(tái)，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)統(tǒng)一化、標(biāo)準(zhǔn)化驗(yàn)證動(dòng)作的執(zhí)行，基于驗(yàn)證結(jié)果直觀呈現(xiàn)出不同分行防護(hù)真實(shí)情況，及時(shí)發(fā)現(xiàn)失效，有統(tǒng)一標(biāo)準(zhǔn)化驗(yàn)證：區(qū)別于傳統(tǒng)人工滲透和檢驗(yàn)的非標(biāo)準(zhǔn)化，基于平臺(tái)實(shí)現(xiàn)統(tǒng)一、標(biāo)準(zhǔn)化攻擊驗(yàn)證，實(shí)現(xiàn)各分行驗(yàn)證結(jié)果的統(tǒng)一標(biāo)體系化評(píng)價(jià)考核：基于平臺(tái)，實(shí)現(xiàn)對(duì)不同攻擊類型、繞過方式、漏洞利用等多維度攻擊向量，體系化的驗(yàn)證，能夠?qū)崿F(xiàn)對(duì)各個(gè)分支提高全集團(tuán)防護(hù)水平基線：通過標(biāo)準(zhǔn)化驗(yàn)證手段，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)的防護(hù)能力摸排，及時(shí)暴露防護(hù)風(fēng)險(xiǎn)和問題，有針對(duì)性的提高通過有效性驗(yàn)證平臺(tái)發(fā)起的各類社工攻擊構(gòu)造，在企業(yè)內(nèi)組織人員安全意識(shí)演練，及時(shí)暴露風(fēng)險(xiǎn)，可視化評(píng)估輸出，統(tǒng)計(jì)安全意識(shí)薄弱人員，并針對(duì)性提供防釣魚意識(shí)培訓(xùn)，從而降低因釣魚郵件通過模擬常見的APT組織手法、實(shí)戰(zhàn)攻防入侵手法等，讓安全運(yùn)營人員了解在完整的攻擊鏈路中安全防護(hù)的缺失點(diǎn)，能夠以真實(shí)事件的方式展示防御效果，讓企業(yè)管理層對(duì)安全防御有更直觀的感知。同時(shí)，可以通過手動(dòng)創(chuàng)建多鏈路的用例上建立的基于多維度判斷規(guī)則，避免策略調(diào)整后出現(xiàn)非預(yù)期的失效通過對(duì)各類型敏感數(shù)據(jù)文件通過不同渠道的外發(fā)、及外發(fā)過程中各類變形和繞過手法的模擬，驗(yàn)證數(shù)據(jù)防泄漏的策略狀態(tài)、提升對(duì)敏感數(shù)據(jù)外發(fā)的檢測(cè)能力。以評(píng)估現(xiàn)有數(shù)據(jù)防泄漏安全策略在防止內(nèi)部威脅方面的有效性。通過持續(xù)的數(shù)據(jù)泄露模擬和驗(yàn)證，企業(yè)伴隨信創(chuàng)的推進(jìn)落地，企業(yè)所部署的系統(tǒng)、網(wǎng)絡(luò)、安全等產(chǎn)品陸續(xù)進(jìn)行信創(chuàng)改造的同時(shí)，也引入了信創(chuàng)相關(guān)的安全風(fēng)險(xiǎn)。以網(wǎng)絡(luò)安全防護(hù)為例，信創(chuàng)環(huán)境下的安全防護(hù)是否與之前的部署防護(hù)效力一致是需要企業(yè)重點(diǎn)關(guān)注的方向。通過信創(chuàng)安全驗(yàn)證，可實(shí)現(xiàn)對(duì)信創(chuàng)終端防病毒/EDR、信創(chuàng)終端數(shù)據(jù)安全產(chǎn)品、信創(chuàng)主機(jī)安全產(chǎn)品等的有效性驗(yàn)證。幫助企業(yè)第一時(shí)間發(fā)現(xiàn)和優(yōu)化信創(chuàng)安全產(chǎn)品防護(hù)效力不一致、兼容性問題導(dǎo)致的告警延遲甚至丟失漏報(bào)、面對(duì)新的信由于每個(gè)企業(yè)的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、安全管理策略和技術(shù)防護(hù)策略都有所不同，因此需要根據(jù)自身的風(fēng)險(xiǎn)偏好來開展相應(yīng)的安全有效性驗(yàn)證工作。該工作可以分為四個(gè)階段：驗(yàn)證準(zhǔn)備、驗(yàn)證執(zhí)行、結(jié)果分析和持續(xù)改進(jìn)。通過這四個(gè)階段的實(shí)施，可以確保安全驗(yàn)證任務(wù)方案需要明確具體執(zhí)行任務(wù)的計(jì)劃參數(shù)，以便驗(yàn)證任。驗(yàn)證場(chǎng)景：驗(yàn)證任務(wù)的執(zhí)行通常是為了滿足其中某一類場(chǎng)景。驗(yàn)證對(duì)象：基于不同的驗(yàn)證場(chǎng)景下，需要明確具體要驗(yàn)證的目標(biāo)對(duì)象。可能是基于某個(gè)物理、網(wǎng)絡(luò)范圍的全量設(shè)備，或者。驗(yàn)證網(wǎng)絡(luò)架構(gòu)：需要達(dá)到的驗(yàn)證目標(biāo)或設(shè)備的不同，會(huì)使得驗(yàn)證任務(wù)執(zhí)行的網(wǎng)絡(luò)架構(gòu)會(huì)有較大的差異，包括驗(yàn)證任務(wù)執(zhí)行的網(wǎng)絡(luò)數(shù)據(jù)流及各類驗(yàn)證資源的部署位置，會(huì)對(duì)驗(yàn)證資源投入。驗(yàn)證執(zhí)行計(jì)劃：一般驗(yàn)證任務(wù)都會(huì)按照計(jì)劃任務(wù)的形式自動(dòng)化執(zhí)行，而對(duì)于驗(yàn)證計(jì)劃相關(guān)的策略中，需要明確驗(yàn)證任務(wù)執(zhí)。驗(yàn)證結(jié)果展示方式：通常驗(yàn)證產(chǎn)出的結(jié)果會(huì)形成標(biāo)準(zhǔn)化格式的數(shù)據(jù)報(bào)表或結(jié)果，但為了能夠更加符合度量結(jié)果的應(yīng)用，必在確定驗(yàn)證方案后，需要根據(jù)驗(yàn)證方案的需求準(zhǔn)備相應(yīng)的驗(yàn)證資源與驗(yàn)證環(huán)境。通常需要考慮的驗(yàn)證資源包括驗(yàn)證計(jì)算資源、驗(yàn)證網(wǎng)絡(luò)策略及其他外部資源等。對(duì)驗(yàn)證資源產(chǎn)生較大影響的因素主。對(duì)數(shù)據(jù)整合復(fù)雜度及對(duì)接解析的安全設(shè)備日志數(shù)量的需求，。驗(yàn)證目標(biāo)需覆蓋點(diǎn)位完整度的程度，會(huì)影響攻擊驗(yàn)證節(jié)點(diǎn)與。對(duì)于跨網(wǎng)絡(luò)區(qū)域的復(fù)雜驗(yàn)證場(chǎng)景，或者有特殊的業(yè)務(wù)訪問關(guān)。針對(duì)部分特殊的驗(yàn)證場(chǎng)景需要準(zhǔn)備特殊的驗(yàn)證資源。如驗(yàn)證郵件安全場(chǎng)景需要準(zhǔn)備個(gè)郵箱賬號(hào)、需要驗(yàn)證互聯(lián)網(wǎng)攻擊則需要公網(wǎng)資源、特定的業(yè)務(wù)規(guī)則驗(yàn)證需要具備對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)資在執(zhí)行基于攻擊模擬的驗(yàn)證工作時(shí)，可能因?yàn)楫a(chǎn)生各類告警信息，對(duì)運(yùn)營團(tuán)隊(duì)產(chǎn)生干擾，影響對(duì)安全事件的誤判。通常在執(zhí)行驗(yàn)證任務(wù)之前，需要與安全預(yù)警處置團(tuán)隊(duì)或驗(yàn)證目標(biāo)的監(jiān)控團(tuán)隊(duì)進(jìn)行同步，對(duì)相關(guān)驗(yàn)證任務(wù)進(jìn)行加白處置或?qū)Ω婢M(jìn)行過濾。通常，用。驗(yàn)證任務(wù)執(zhí)行時(shí)間段：如果是周期性任務(wù)則需要明確一個(gè)驗(yàn)。驗(yàn)證任務(wù)發(fā)起源地址：通常可以設(shè)置固定的驗(yàn)證任務(wù)發(fā)起端。驗(yàn)證任務(wù)數(shù)據(jù)包特征：可以基于模擬攻擊的攻擊特征、攻擊對(duì)于驗(yàn)證任務(wù)的過濾應(yīng)適用于事件響應(yīng)過程中，對(duì)事件研判的邏輯與規(guī)則里，是為了避免發(fā)生處置動(dòng)作的誤判。不應(yīng)基于驗(yàn)證任務(wù)的特征，在驗(yàn)證目標(biāo)上進(jìn)行告警特征的匹配或建立告警模型，這在大部分的企業(yè)防護(hù)體系的設(shè)計(jì)中，會(huì)在不同層級(jí)技術(shù)架構(gòu)中設(shè)計(jì)不同方式的防護(hù)措施組合，對(duì)核心資產(chǎn)與數(shù)據(jù)形成縱深維度的防護(hù)保障。對(duì)于入侵者視角來說，也會(huì)形成需要突破或繞過各種不同的措施，形成完整的攻擊鏈條。能夠模擬這種基于全鏈路的攻擊另外，由于數(shù)據(jù)資產(chǎn)的訪問路徑不同，也會(huì)經(jīng)過不同的防護(hù)設(shè)備。即使是在相同的防護(hù)設(shè)備保護(hù)下，相關(guān)設(shè)備的策略不同也會(huì)產(chǎn)生不同的防護(hù)效果?；谶@種業(yè)務(wù)數(shù)據(jù)流視角上，根據(jù)不同的防護(hù)在驗(yàn)證任務(wù)計(jì)劃執(zhí)行過程中，需要監(jiān)控任務(wù)執(zhí)行狀態(tài)是否正常完成，避免因設(shè)備性能問題、運(yùn)行環(huán)境變換、網(wǎng)絡(luò)策略阻斷、任務(wù)配置錯(cuò)誤等原因?qū)е碌尿?yàn)證工作失敗的情況。對(duì)于周期性執(zhí)行的驗(yàn)證計(jì)劃任務(wù)，需要跟蹤確認(rèn)周期性任務(wù)是否執(zhí)行成功并形成了閉環(huán)。驗(yàn)證相關(guān)資源或網(wǎng)絡(luò)策略的部署過程存在錯(cuò)誤，未滿足驗(yàn)證。在用例執(zhí)行過程中，觸發(fā)了網(wǎng)絡(luò)安全自動(dòng)化的響應(yīng)處置機(jī)制，。驗(yàn)證目標(biāo)或驗(yàn)證設(shè)備出現(xiàn)了性能瓶頸，導(dǎo)致任務(wù)無法正常執(zhí)在首次運(yùn)行驗(yàn)證用例時(shí)，通常需要對(duì)驗(yàn)證用例執(zhí)行數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)。數(shù)據(jù)異常根本性的原因是在自動(dòng)化驗(yàn)證閉環(huán)的邏輯與機(jī)制上出現(xiàn)了問題。這個(gè)過程需要有較豐富的實(shí)踐積累與調(diào)試過程，在具備了較為龐大的結(jié)果數(shù)據(jù)基礎(chǔ)能夠使結(jié)果趨于穩(wěn)定。數(shù)據(jù)異常的原因有可能是因?yàn)轵?yàn)證用例設(shè)計(jì)的問題，也有可能是對(duì)于一些特殊的防護(hù)機(jī)制或驗(yàn)證的環(huán)境出現(xiàn)了變更，原有的校驗(yàn)邏輯無法滿足通過對(duì)金融、央企、制造業(yè)等單位的調(diào)研和驗(yàn)證實(shí)踐，這里羅列出典型驗(yàn)證場(chǎng)景和驗(yàn)證頻率，幫助企業(yè)安全團(tuán)隊(duì)有針對(duì)性的高效3、上傳webshell攔截時(shí)檢驗(yàn)證NTA/IDS的檢測(cè)功能是否3、上傳webshell攔截時(shí)/1、內(nèi)存馬植入和新型webshell投遞時(shí)時(shí)/全1、內(nèi)存馬植入和新型webshell投遞3、容器逃逸，K8s攻擊、危險(xiǎn)掛載時(shí)漏等為了使驗(yàn)證任務(wù)產(chǎn)出的量化結(jié)果能夠更具備治理價(jià)值，需要制定對(duì)度量結(jié)果具有參考意義的治理基線。治理基線的制定是來自驗(yàn)證工作方案與治理需求。比如，初次進(jìn)行安全能力評(píng)估時(shí)，可以借鑒行業(yè)內(nèi)的參考基準(zhǔn)數(shù)據(jù)作為治理目標(biāo)，制定優(yōu)化策略。而對(duì)于已經(jīng)處于常態(tài)化運(yùn)營的驗(yàn)證模式下，可根據(jù)自身防護(hù)水平形成一個(gè)驗(yàn)證能力度量值作為基準(zhǔn)線，持續(xù)驗(yàn)證安全能力出現(xiàn)降低或偏離的情況。運(yùn)營評(píng)價(jià)基準(zhǔn)相當(dāng)于以量化的形態(tài)展示企業(yè)的風(fēng)險(xiǎn)偏好或風(fēng)險(xiǎn)容忍度，并以此為基準(zhǔn)對(duì)安全防護(hù)能力進(jìn)行評(píng)價(jià)，進(jìn)而得出后續(xù)的根據(jù)驗(yàn)證任務(wù)執(zhí)行結(jié)果，可以總結(jié)排查出各類防護(hù)失效的問題。對(duì)于此類失效點(diǎn)，需要建立完整的運(yùn)營流程進(jìn)行根因分析并推動(dòng)整改動(dòng)作，形成完整的閉環(huán)。特別是需要關(guān)注數(shù)據(jù)展現(xiàn)有明顯的能力缺失或者突然下降的情況。通常此類問題都會(huì)衍生出如防護(hù)模塊缺失、策略出現(xiàn)重大缺陷、覆蓋度不足、防護(hù)架構(gòu)存在缺陷等較嚴(yán)重在完成各項(xiàng)失效點(diǎn)的修復(fù)工作后，需要通過針對(duì)性的驗(yàn)證復(fù)測(cè)來確認(rèn)修復(fù)動(dòng)作是否達(dá)到了預(yù)期結(jié)果。復(fù)測(cè)驗(yàn)證作為對(duì)問題修復(fù)結(jié)在完成了一輪驗(yàn)證工作后，需要對(duì)驗(yàn)證體系跟過程進(jìn)行回顧與總結(jié)，使驗(yàn)證體系整個(gè)過程能夠持續(xù)優(yōu)化改進(jìn)。驗(yàn)證體系的優(yōu)化通。對(duì)驗(yàn)證用例執(zhí)行邏輯與技術(shù)方案進(jìn)行回顧，確認(rèn)是否有更優(yōu)。對(duì)驗(yàn)證目標(biāo)范圍進(jìn)行評(píng)估，確認(rèn)是否能夠增加更多的驗(yàn)證場(chǎng)。評(píng)估驗(yàn)證展現(xiàn)形式與數(shù)據(jù)格式，確認(rèn)是否有更優(yōu)的展現(xiàn)形式。在度量驗(yàn)證形成治理工具時(shí)，通過持續(xù)迭代建立基于度量結(jié)果的評(píng)價(jià)體系，是將度量結(jié)果轉(zhuǎn)化為行動(dòng)指南的重要參考，也能形成對(duì)所管轄單位的管理抓手。除了前文所提及的運(yùn)營評(píng)價(jià)基線需要持續(xù)回顧進(jìn)行持續(xù)改進(jìn)外，如果基于度量結(jié)果形成評(píng)價(jià)評(píng)分機(jī)制時(shí)，也需要對(duì)評(píng)價(jià)體系進(jìn)行回顧，是評(píng)價(jià)結(jié)果的指導(dǎo)意義更符合治理訴以往，要提高安全防護(hù)能力，主要通過人工檢查或廠商推薦的方式，對(duì)人員依賴較大，缺少針對(duì)性，常常出現(xiàn)與實(shí)際情況不符、整改效果不理想的情況。通過有效性驗(yàn)證，可精準(zhǔn)到每一個(gè)攻擊手法防護(hù)是否有效，準(zhǔn)確定位安全防護(hù)的短板（能力不足）和失效點(diǎn)），第一時(shí)間了解最新的安全攻擊信息并通過安全用例自動(dòng)化的在企業(yè)內(nèi)復(fù)現(xiàn)和驗(yàn)證，檢驗(yàn)企業(yè)當(dāng)前的安全防護(hù)能力；在掌握當(dāng)前安全防御能力前提下進(jìn)行針對(duì)性改進(jìn)，全面提升企業(yè)安全防護(hù)能力。發(fā)現(xiàn)安全措施和策略失效風(fēng)險(xiǎn)所在，解決問題從而逐步提升用戶自第一時(shí)間掌握最新漏洞利用、攻擊工具和手法，自動(dòng)化驗(yàn)證當(dāng)前的安全防護(hù)效力。針對(duì)安全能力失效，給出相應(yīng)加強(qiáng)和提升建議，多品牌、多版本的安全設(shè)備，通過安全有效性驗(yàn)證，拉齊安全策略基線，實(shí)現(xiàn)安全防護(hù)效果的一致性。例如分析安全工具配置或重復(fù)攻擊場(chǎng)景運(yùn)行，檢驗(yàn)真實(shí)的防護(hù)效力是否與預(yù)期一致，實(shí)現(xiàn)安將以往通過安全運(yùn)營人員人工驗(yàn)證轉(zhuǎn)為全自動(dòng)化閉環(huán)驗(yàn)證，解決手動(dòng)模擬的覆蓋度和執(zhí)行穩(wěn)定性問題，解決人工查看告警判斷失誤的壓力。同時(shí)，可有效提高驗(yàn)證效率，人工驗(yàn)證主要由安全規(guī)則梳理、手動(dòng)攻擊模擬驗(yàn)證、人工查看安全設(shè)備和規(guī)則觸發(fā)情況，效率低，見效慢，自動(dòng)化驗(yàn)證可以極大提高驗(yàn)證效率，過去這些安全設(shè)備需要投入3個(gè)人全職監(jiān)控安全設(shè)備及策略運(yùn)行狀況，現(xiàn)在只需要1個(gè)人兼職即可完成。持續(xù)性的7x24小時(shí)全天候驗(yàn)證評(píng)估，幫助用戶先于攻擊者發(fā)現(xiàn)安全策略失效點(diǎn)，縮短失效點(diǎn)存在點(diǎn)時(shí)間周通過安全有效性驗(yàn)證，可以清晰的將當(dāng)前安全能力的實(shí)際狀況進(jìn)行呈現(xiàn)，并且未來隨著問題整改帶來的安全能力提升，用戶持續(xù)的驗(yàn)證可以得到數(shù)據(jù)累積，通過不斷的自我完善會(huì)得到一個(gè)安全能力上升的趨勢(shì)值，可清晰地把安全團(tuán)隊(duì)工作價(jià)值量化呈現(xiàn)。且可讓管理層清晰地了解，公司整體實(shí)際安全防護(hù)能力是什么樣、可抵御驗(yàn)證數(shù)據(jù)給出量化的、可視化的安全全貌、安全指標(biāo)，指導(dǎo)安全運(yùn)營投入，安全投入回報(bào)可見，有針對(duì)性的、有方向的投入和強(qiáng)驗(yàn)證的直觀數(shù)據(jù)，可清晰了解安全防護(hù)能力對(duì)各類攻擊的實(shí)際抵御情況如何，哪些可檢測(cè)、哪些不可檢測(cè)，一目了然，讓安全管理做到“心中有數(shù)”。也可回應(yīng)管理層對(duì)防護(hù)成效的疑慮：安全防對(duì)分支機(jī)構(gòu)和子公司、海外機(jī)構(gòu)的防護(hù)能力進(jìn)行評(píng)估，過去只能通過人工檢查或者問詢方式執(zhí)行，對(duì)人力水平要求較高，且無法驗(yàn)證真實(shí)性。依托安全有效性驗(yàn)證的能力，7×24小時(shí)常態(tài)化評(píng)估分支機(jī)構(gòu)、子公司及海外機(jī)構(gòu)安全防護(hù)力，以實(shí)戰(zhàn)化維度快速精準(zhǔn)實(shí)時(shí)上收分支機(jī)構(gòu)數(shù)據(jù)，了解各分支安全驗(yàn)證狀態(tài)，掌握安全防護(hù)能力，及時(shí)給出支持與指導(dǎo)。基于量化的數(shù)據(jù)統(tǒng)計(jì)實(shí)現(xiàn)對(duì)各分集團(tuán)級(jí)用戶的安全管理部門（總部、風(fēng)險(xiǎn)管理部）可以通過安全有效性驗(yàn)證發(fā)現(xiàn)的問題作為監(jiān)管的依據(jù)，從而對(duì)下屬單位或者其當(dāng)前我國金融行業(yè)業(yè)務(wù)已經(jīng)高度信息化、自動(dòng)化、流程化，為用戶提供的所有服務(wù)和日常運(yùn)營基本都依賴信息系統(tǒng)開展。而作為強(qiáng)監(jiān)管行業(yè)，銀行正常展業(yè)需要具備一定的信息化治理能力與信息科技風(fēng)險(xiǎn)管理能力。同樣，作為信息化程度高，涉及業(yè)務(wù)與數(shù)據(jù)敏感，銀行業(yè)也面臨著嚴(yán)峻的內(nèi)外部威脅。銀行業(yè)網(wǎng)絡(luò)安全工作起步較早，等級(jí)保護(hù)與監(jiān)管部門的各類措施落實(shí)，已奠定了基于縱深防御體系的安全建設(shè)基礎(chǔ)。通過持續(xù)的安全運(yùn)營，定期開展?jié)B透測(cè)試與攻防對(duì)抗模擬演練，銀行業(yè)普遍已具備了較全面的技術(shù)、流程與在實(shí)際開展攻防演練或日常運(yùn)營工作中，總是存在因各類問題引發(fā)的業(yè)務(wù)資產(chǎn)未覆蓋、設(shè)備常年失效而未知等較低級(jí)的安全防護(hù)失效點(diǎn)，導(dǎo)致整個(gè)防護(hù)體系的失守。公司已建立了完整的運(yùn)維巡檢的工作流程，也通過運(yùn)維平臺(tái)會(huì)實(shí)時(shí)監(jiān)控設(shè)備運(yùn)行狀態(tài)。但在對(duì)過往安全失效情況進(jìn)行追蹤溯源后發(fā)現(xiàn)，大量因IT或業(yè)務(wù)變更、人員操作不當(dāng)、防護(hù)架構(gòu)或設(shè)備存在缺陷等原因無法用現(xiàn)有能力或技術(shù)手段解決。而此類問題被紕漏多次后，安全防護(hù)的真實(shí)能力被受。公司對(duì)已部署安全設(shè)備日常巡檢通常是關(guān)注性能與設(shè)備運(yùn)行狀態(tài)，但仍會(huì)出現(xiàn)防護(hù)設(shè)備失效的情況。此外，眾多安全設(shè)備的策略配置與使用過程中，難以保持安全能力持續(xù)生效，缺少。依據(jù)“以攻促防”的工作理念，公司定期會(huì)開展內(nèi)部與外部的紅藍(lán)對(duì)抗演練，對(duì)產(chǎn)品也會(huì)持續(xù)開展?jié)B透測(cè)試。另外，也會(huì)每年開展內(nèi)控自查、風(fēng)險(xiǎn)評(píng)估自查等動(dòng)作對(duì)安全防護(hù)能力作驗(yàn)證，但這些手段都耗費(fèi)資源較大，且不太適用于持續(xù)性的日常。在開展安全運(yùn)營持續(xù)優(yōu)化的工作時(shí)難以形成度量評(píng)價(jià)，安全防護(hù)整個(gè)狀態(tài)與能力處于不可見的狀態(tài)，運(yùn)營日常工作缺少指導(dǎo)。領(lǐng)導(dǎo)層也多次提到對(duì)于安全度量的訴求，在治理與決策中根據(jù)客戶的具體痛點(diǎn)與業(yè)務(wù)場(chǎng)景，分析當(dāng)前的網(wǎng)絡(luò)布防情況與運(yùn)營體系進(jìn)行了確認(rèn)調(diào)研，并基于離朱有效性驗(yàn)證平臺(tái)的能力設(shè)計(jì)了完整的驗(yàn)證方案。將基于實(shí)戰(zhàn)模擬的攻擊驗(yàn)證用例結(jié)合各個(gè)不同的驗(yàn)證場(chǎng)景，對(duì)驗(yàn)證邏輯與架構(gòu)進(jìn)行部署搭建，通過全自動(dòng)的閉環(huán)驗(yàn)證任務(wù)邏輯下，形成各種維度的數(shù)據(jù)產(chǎn)出支撐各個(gè)應(yīng)用場(chǎng)景的實(shí)），通過公網(wǎng)攻擊驗(yàn)證節(jié)點(diǎn)每月對(duì)所有的互聯(lián)網(wǎng)暴露的業(yè)務(wù)資產(chǎn)執(zhí)行少量的驗(yàn)證用例，通過邊界阻斷以及告警的情況確認(rèn)網(wǎng)站是否處于正常的安全保護(hù)下（IPS、WAF、NTA等對(duì)互聯(lián)網(wǎng)資產(chǎn)建立攻擊面管理能力，避免違規(guī)操作、運(yùn)營不當(dāng)、架構(gòu)變更等導(dǎo)致的互將各類不同場(chǎng)景下的安全驗(yàn)證用例的結(jié)果進(jìn)行模型統(tǒng)計(jì)與度量，形成基于實(shí)際攻防能力的量化數(shù)據(jù)結(jié)果。度量結(jié)果對(duì)應(yīng)到公司的運(yùn)營與考核體系當(dāng)中，在整個(gè)運(yùn)營優(yōu)化過程中形成圍繞指標(biāo)的優(yōu)化工作方法，并以指標(biāo)結(jié)果開展對(duì)人員組織（包含外部供應(yīng)商）的管理在持續(xù)的有效性驗(yàn)證監(jiān)控的工作中，隨著安全能力值的突然變化，發(fā)現(xiàn)了各類安全設(shè)備故障點(diǎn)。其中除了設(shè)備性能故障、業(yè)務(wù)突增等原因外，也發(fā)現(xiàn)了日志丟失、日志延遲等隱蔽性較強(qiáng)的問題。部分故障發(fā)現(xiàn)問題后立即完成了修復(fù)，另也啟動(dòng)了對(duì)設(shè)備擴(kuò)容的采從安全有效性驗(yàn)證完成部署開展第一次驗(yàn)證時(shí)，安全整體防護(hù)能力為78%的防護(hù)有效率，通過持續(xù)運(yùn)營的策略調(diào)優(yōu)，安全防護(hù)能力提升為92%，各個(gè)設(shè)備獨(dú)立的防護(hù)能力提升累積達(dá)到了176%。將各個(gè)防護(hù)策略與規(guī)則的效果直接量化展示后，直觀的對(duì)需要優(yōu)化安全團(tuán)隊(duì)自兩年前開始采用開源軟件Suricata進(jìn)行流量異常監(jiān)測(cè)設(shè)備的自研。自研設(shè)備投產(chǎn)后苦于無法對(duì)產(chǎn)品能力進(jìn)行能力評(píng)估，無法看到產(chǎn)品實(shí)際效果。在安全驗(yàn)證平臺(tái)上線后，運(yùn)營團(tuán)隊(duì)圍繞著安全驗(yàn)證對(duì)自研流量探針的驗(yàn)證結(jié)果進(jìn)行產(chǎn)品與規(guī)則優(yōu)化，產(chǎn)品檢測(cè)能力自最初的32%提升到了78%。驗(yàn)證度量結(jié)果，形成了將安全防護(hù)能力的度量量化評(píng)價(jià)能力。指標(biāo)數(shù)據(jù)應(yīng)用于對(duì)防護(hù)短板的優(yōu)化依據(jù)、運(yùn)營策略調(diào)整參考以及運(yùn)營決策治理工作中的抓手。對(duì)分子公司與機(jī)構(gòu)的安全評(píng)估中，也成為了經(jīng)過數(shù)十年的發(fā)展和演變，某能源企業(yè)已成為我國重要的骨干型大規(guī)模集團(tuán)化公司。涉獵能源、投資、物流等多元化綜合性業(yè)務(wù)的經(jīng)營。企業(yè)經(jīng)營持續(xù)向好，伴隨著業(yè)務(wù)的快速發(fā)展和各分子公司的規(guī)?；瘮U(kuò)張，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和問題已成為擺在管理者面前的重要課題。企業(yè)長期以來高度重視網(wǎng)絡(luò)安全的建設(shè)和應(yīng)用，從早期的以到基于縱深防御體系各類安全產(chǎn)品和平臺(tái)的層層部署，再到安全運(yùn)營和威脅情報(bào)聯(lián)動(dòng)實(shí)現(xiàn)的基于平臺(tái)的各類安全編排自動(dòng)化與響應(yīng)，企業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營單位，面臨著非常大的網(wǎng)絡(luò)安全防護(hù)壓力，每年都需要承擔(dān)國家重大事項(xiàng)工作期間的網(wǎng)絡(luò)安全保障任務(wù)。其中，近些年定期開展的國家護(hù)網(wǎng)行動(dòng)的工作期間，都會(huì)作為每年全公司網(wǎng)絡(luò)安全最重要的保障任務(wù)之一。企業(yè)也會(huì)每年開展企業(yè)每年為迎接重保及護(hù)網(wǎng)工作需要投入大量的人員與經(jīng)歷對(duì)現(xiàn)有防護(hù)體系進(jìn)行摸排。在以往的摸排工作中，主要是圍繞著資產(chǎn)側(cè)的脆弱項(xiàng)進(jìn)行排查，對(duì)各個(gè)分子公司眾多防護(hù)設(shè)備策略及防御體系的有效性確認(rèn)一直是個(gè)盲區(qū)。之后開展的模擬攻防中依舊會(huì)暴露出各種問題，出現(xiàn)多個(gè)分子公司被突破的情況。在對(duì)各種問題復(fù)盤的過程中，發(fā)現(xiàn)很多的問題不是出在資源本身的漏洞問題上，而是因很多運(yùn)營過程中存在的人為失誤或配置不當(dāng)導(dǎo)致的防護(hù)體系未能。在護(hù)網(wǎng)與重保工作前的安全問題排查整改中，通過安全驗(yàn)證工具對(duì)現(xiàn)有所有安全設(shè)備防護(hù)能力進(jìn)行全面的排查，對(duì)防護(hù)體系中所存在的安全失效風(fēng)險(xiǎn)進(jìn)行識(shí)別，作為整體排查整改工作。建立覆蓋主要防護(hù)設(shè)備與業(yè)務(wù)網(wǎng)絡(luò)區(qū)域的安全能力持續(xù)驗(yàn)證能力，避免在重保及護(hù)網(wǎng)期間安全防護(hù)能力突然出現(xiàn)失效的情。在重保與護(hù)網(wǎng)期間持續(xù)跟蹤最新熱點(diǎn)TTP情報(bào)，并基于自動(dòng)化安全能力驗(yàn)證能力快速開展安全攻擊行為的防護(hù)缺口排查。根據(jù)企業(yè)實(shí)際縱深防御架構(gòu)的情況，在互聯(lián)網(wǎng)外側(cè)及內(nèi)部網(wǎng)絡(luò)分別部署了安全驗(yàn)證資源，發(fā)起對(duì)各類驗(yàn)證場(chǎng)景的模擬攻擊。同時(shí)形成自動(dòng)化閉環(huán)驗(yàn)證能力，形成排查工作的結(jié)果依據(jù)，也作為后續(xù)持續(xù)監(jiān)控的自動(dòng)化手段。另外，根據(jù)內(nèi)部網(wǎng)絡(luò)區(qū)域不同的安全策略的情況，分別部署了多個(gè)驗(yàn)證靶機(jī)作為實(shí)時(shí)開展驗(yàn)證工作的攻擊目標(biāo)，以降低對(duì)生產(chǎn)業(yè)務(wù)的影響。驗(yàn)證工作主要通過不同的場(chǎng)景覆蓋成，也有一部分是域名HTTPS證書未提前卸載導(dǎo)致全是加密。WAF策略開啟寬松，對(duì)一些常見的漏洞利用和繞過手法無法有效的檢測(cè)攔截，邊界防護(hù)中對(duì)漏洞利用攻擊的感知有較大?？偛考胺止镜牟糠至髁堪踩珯z測(cè)設(shè)備處理流量穩(wěn)定性不足，。發(fā)現(xiàn)內(nèi)部某網(wǎng)絡(luò)區(qū)域的交換機(jī)鏡像配置存在遺漏的情況，對(duì)。整體的防護(hù)措施上，對(duì)隱秘通信隧道、端口轉(zhuǎn)發(fā)類的情況預(yù)。發(fā)現(xiàn)郵件安全網(wǎng)關(guān)無法對(duì)投遞的rar壓縮包格式的遠(yuǎn)控木馬根據(jù)重點(diǎn)保障期間的工作部署要求，企業(yè)部署落實(shí)了不同運(yùn)營保障團(tuán)隊(duì)的工作要求，包括期間對(duì)安全配置與規(guī)則變更提出了更嚴(yán)格的流程管控，以確保排查整改后的安全能力持續(xù)有效。而作為輔助性監(jiān)控手段，增加了對(duì)安全防護(hù)情況實(shí)時(shí)巡檢監(jiān)控的措施，未發(fā)現(xiàn)因特殊情況下安全設(shè)備突然失效的情況出現(xiàn)。巡檢監(jiān)控整體策略。以單個(gè)安全驗(yàn)證用例每天一次周期性驗(yàn)證遍歷所有的驗(yàn)證靶。基于驗(yàn)證研判標(biāo)準(zhǔn)覆蓋WAF、IPS、IDS、NTA、HIDS、。在事件運(yùn)營過程中，事先協(xié)商攻擊驗(yàn)證節(jié)點(diǎn)IP地址以及告在開展內(nèi)部攻防演練之前，僅使用一周的時(shí)間就完成了對(duì)安全防護(hù)措施的有效性驗(yàn)證工作。通過安全驗(yàn)證與內(nèi)部資產(chǎn)脆弱項(xiàng)工作根據(jù)在事前部署的安全監(jiān)控巡檢方案，持續(xù)對(duì)安全設(shè)備進(jìn)行驗(yàn)證確認(rèn)，確保了所有安全設(shè)備與保護(hù)措施能夠持續(xù)有效。在攻防演練、護(hù)網(wǎng)以及重保期間，發(fā)生過多起安全設(shè)備告警鏈路異常情況，護(hù)網(wǎng)期間頻繁出現(xiàn)新的攻擊手法與情報(bào)，企業(yè)已形成了完整的基于情報(bào)進(jìn)行封堵-驗(yàn)證的策略變更流程，確保整個(gè)護(hù)網(wǎng)期間的封在集團(tuán)范圍內(nèi)形成對(duì)各管轄分子公司的全網(wǎng)聯(lián)防聯(lián)控統(tǒng)管，形成基于攻擊效果的度量評(píng)價(jià)驗(yàn)證結(jié)果，實(shí)施掌握全網(wǎng)內(nèi)的安全防御防御的邊界不斷擴(kuò)大，每年的網(wǎng)絡(luò)防御成本也在上升。兩部委檢查考核、集團(tuán)監(jiān)管及創(chuàng)新要求、以及自身安全運(yùn)營需求，讓省公司運(yùn)營商企業(yè)開始考慮如何通過新技術(shù)方向能更好的在運(yùn)營效率和效果為此，某企業(yè)提出了安全防御有效性驗(yàn)證平臺(tái)新建項(xiàng)目的建設(shè)需求，在有效性、實(shí)時(shí)性、可用性等維度全面驗(yàn)證和監(jiān)測(cè)企業(yè)內(nèi)各種安全部署，從實(shí)戰(zhàn)攻防對(duì)抗角度開展持續(xù)性模擬攻擊驗(yàn)證，確保安全防護(hù)策略有效運(yùn)行；以自動(dòng)化攻擊驗(yàn)證閉環(huán)為核心，保障縱深WAF已部署，但沒有將應(yīng)用全部納入，部分網(wǎng)站的策略未開已配置了規(guī)則策略，但實(shí)際攻防中并沒有生效，導(dǎo)致防護(hù)效果面對(duì)已部署的各類安全產(chǎn)品、規(guī)則策略，出現(xiàn)最新漏洞利用和攻擊事件是否能監(jiān)控到？安全防護(hù)能力現(xiàn)狀能不能量化