本篇文章已经发表在《交易技术前沿》网络安全专刊。
0x1 摘要
金融行业网络安全的大力建设和快速发展得益于国家和行业相关法律、行政法规的陆续施行,以及数字化转型工作的持续深入开展。相对于早期被动防御,金融企业已经逐渐转变为以持续监测与动态防御为核心的主动安全与持续运营模式。为了提升安全防护能力和安全运营效率,金融企业需要构建完善的安全验证机制,通过平台部署的方式,实现对当前已部署的各类安全措施进行多维度、全场景的有效性验证。实时验证和持续监测各类安全防护措施,及时发现安全防护的薄弱环节并提供加固指导,从而提升企业的安全防护能力和安全运营效率。
关键词:安全运营;金融行业;安全验证;防护失效
0x2 证券行业网络安全的重要性
证券行业在整个金融行业中具有重要地位。作为金融行业“三驾马车”之一,证券行业提供了一个有效的融资渠道,是证券交易、信息披露和信息价值交换的重要场所。各类IT信息系统作为业务的重要支撑,确保证券其在安全的前提下高效的开展经营业务至关重要。
首先,证券行业涉及大量的资金流动和交易,包括各类的敏感信息,如个人身份信息、资金交易记录等,一旦泄露或被攻击,将对客户和市场造成严重影响。网络安全能够确保交易过程中的信息不被泄露、篡改或破坏。
其次,证券交易平台是金融市场的重要基础设施,其安全稳定直接关系到金融市场的正常运转和投资者的资产安全。
再者,网络安全为证券行业的业务创新提供了有力支撑。在确保信息系统安全的前提下,证券公司可以更加放心地推进新技术和新业务的应用。如利用云计算、大数据和人工智能等技术提高交易效率、优化投资策略、提升客户服务等。网络安全不仅为业务创新提供了保障,也为证券公司带来了竞争优势。
0x3 证券行业安全运营现状与痛点
随着外部网络安全威胁的加剧,基于行业监管需要以及内生安全需求,各大券商通过近几年的持续建设和完善部署了一系列安全管控措施,包括各类安全设备、安全软件和安全工具,并在这些设备软件和攻击基础上,制定了一系列安全防护和检测规则进行7*24小时实时监控,并进行自动化和人工处置。通过构建起纵深防御的安全体系来应对日趋严峻的网络安全威胁。然而,在实际的安全运营中,仍然需要解决当前所面临的一些痛点:
3.1 威胁复杂严峻,攻击演变快速
攻防不断进化,每天都会涌现新的攻击和手法。如何跟踪和掌握这些威胁,将其反馈到实际的防御场景中,如何通过自动化和工程化手段验证和优化大规模、跨区域的防御策略,确保业务安全,是当前的紧急任务。
3.2 安全防护复杂,人工局限凸显
已部署的大量安全防护设备、软件和工具分布在不同的数据中心和网络架构中,但其可用性和连续性容易中断(很难发现),可能导致安全防护失效。尤其是流量检测类产品,告警多且误报也多,可能淹没真正的攻击告警事件。
常态化运营中,涉及多个端口、资产和测试/生产环境的联调测试,以及IT环境和系统的动态变化,可能导致已发布的安全策略失效。由于安全策略多且广泛,人工监控和掌握困难,导致安全防护效力偏离预期。例如,边界侧的不同WAF防护策略可能存在不一致和安全覆盖问题,这些问题很难通过人工方式发现。
3.3 安全防护脆弱,缺少验证机制
传统的防御基于已部署的各类安全设备和平台,实现被动的静态防御。需要高度依赖安全产品和厂商服务的专业性。为此,已部署的安全防护能力是否有效,是否能达到预期对于安全建设的效果反馈至关重要。长期以来安全运营团队缺少一项机制,实现对已部署的安全防护能力进行全面的验证和评估。
从脆弱性角度分析,我们认为当下安全事件的发生是由两个因素叠加形成的。即:资产的脆弱性+安全防护体系的脆弱性。传统面向资产层面的漏洞扫描、渗透测试已然成熟,但面向安全防护体系的脆弱性,如何及时发现防护失效情况,量化和度量当前的安全防护能力是安全运营团队迫切的需要。
面对当前已部署的各类防护措施和纷繁复杂的规则策略,安全管理和运营团队长期以来缺少抓手,对整体的安全防护体系进行掌握和度量。传统人工方式通过渗透攻击等手段进行验证,一方面需要有一定技能要求,另一方面存在覆盖面不全和效率低等问题,另外潜在的风险来自于人工攻击渗透所带来的职业道德风险,如何建立独立的旁路验证机制,如何对所有的验证执行过程可审计可追溯,如何实现自动化大规模的对防护体系进行验证评估是各个安全团队应该关注的。
0x4 国内外安全验证发展趋势
防御与攻击是相互博弈的,是一个动态平衡的过程。习近平总书记也提到,网络安全的本质在对抗,对抗的本质在攻防两端能力较量。只要涉及攻防,防守方都存在被攻击方成功入侵突破的可能。证券行业安全团队如何最快的速度发现入侵(告警),如何发现和检测是在哪个环节出现问题并立刻采取处置行为是至关重要。通过采用“持续性、常态化、自动化的自我攻击模拟验证”,基于攻击视角对当前安全建设进行全方面的从点至面的安全验证和评估。通过安全验证的手段,侧方位验证企业安全防御的有效性真正做到实战化的网络安全评估。
4.1 国外BAS向安全验证的发展和演变
2017年, Gartner在发布的《面向威胁技术的成熟度曲线》(Hype Cycle for Threat-Facing Technologies) 中首次出现BAS入侵与攻击模拟 (Breach and Attack Simulation) 概念,并将之归到了新兴技术行列。
2021及2022年,“Gartner在《2021年八大安全和风险管理趋势》、2021及2022《安全运营技术成熟度曲线》等报告中,连续提到BAS技术的必要性,将成为IT安全建设重要技术手段。”
2023年,Gartner最新的2023年网络安全趋势提到的9大趋势中,“Cybersecurity Validation网络安全验证”成为重要元素之一,从BAS技术框架的提出,到网络安全验证,真正落地实现了攻击模拟的落地化应用。
4.2 国内安全验证的发展情况
目前国内对于安全验证技术和应用正处于高速发展阶段,从行业到应用都存在巨大的研究和发展空间。目前已经有部分比较先进的企业,注重正向建设的成果在实际攻击发生时的检测和防护效果、以及防护策略在各个网络位置的落实情况,已经开始进行反向验证体系的建设,旨在能够更加全面、及时、准确的了解到当前的安全防护装备对攻击的感知能力。但经过调查研究发现,当前阶段更多是以人工手动编写攻击脚本的方式进行验证,主要注重解决实际遇到的个例问题,较少实现平台化、体系化、自动化,存在实施效率不高、实施周期较长、验证规则编写与人员能力强相关等问题,且无法实现自动化的方式验证网络安全防护装备对于每一种的攻击手法或攻击方式的感知能力。目前国内已经涌现出少量在该领域专注的初创型企业,已开始大规模商业化部署和应用,实现快速迭代提升。
从法规政策的角度来看,国家及证券行业对网络安全问题的重视程度日益加深,监管部门也在持续提升对网络安全防护有效性的要求。诸如《证券期货业网络安全等级保护基本要求》、《信息安全技术 关键信息基础设施安全保护要求》以及《信息安全技术 信息安全风险评估方法》等监管规定,均强调了对现有安全技术措施的有效性、安全配置及安全策略一致性的定期全面核查,以评估关键信息基础设施在遭受实际网络攻击时的防御和应对能力。
0x5 安全验证实践要点与典型失效
5.1 安全验证实践要点
安全验证,从落地实践来说是基于BAS(入侵与攻击模拟)这项技术框架,打造出自适应的平台帮助在企业内部自行构造不同的模拟攻击验证场景,对企业纵深防御各个切片开展全面的模拟攻击验证,通过对攻击结果、攻击返回信息、告警日志信息等的汇集分析来评估整体防护的有效性。
基于对众多企业用户的研究和调研,我们认为安全验证在安全运营中应该具备和做到“四化三可”从而实现最佳落地实践。以自动化为核心,构建实战化、体系化、常态化的安全验证机制。通过在企业内部构造不同的模拟攻击验证场景对已部署的各类安全防护措施及规则策略开展模拟攻击验证形成可量化、可持续、可运营的:安全验证体系。
图 安全验证在运营实践中的“四化三可”
实战化:真正以攻击者视角对当前已部署的各类安全防护措施模拟攻击验证,检验当前状态下各类防护能力的实际效力情况;
体系化:基于不同漏洞利用、攻击工具、攻击手法等实现对纵深防御不同场景下的安全防护验证,实现体系化的全局验证和掌握;
常态化:与安全运营高度融合,通过常态化的安全验证先于攻击者发现安全能力薄弱点,缩短问题存在时间窗,最终实现稳定、高水准的安全防护态势;
自动化:上述所有的实现,都应该基于平台以自动化的方式来实践,不需要额外的专人投入,通过自动化的方式实现攻击场景构建、任务调度、事件日志获取与分析评估,最终实现全自动化的验证和结果输出;
可量化:操作详情可回溯、可审计、可复测,所有验证数据可量化、可视化、可度量给出安全全貌,指导安全运营投入,让安全投入有的放矢,回报可见,安全建设资金高效利用可持续;
可持续:通过平台持续跟踪和更新,快速上线最新的、热点高危漏洞利用和攻击验证场景用例,及时对全局安全措施实现全覆盖的自动化持续验证,确保安全防护措施有效且处于稳定状态;
可运营:安全验证作为安全运营的重要组成,全流程具备可运营特性,基于各类攻击场景、防护措施、验证数据实现自身可运营的验证闭环。
5.2 典型防护失效案例
5.2.1 管理与流程问题
1.域名管理不当导致防护被遗漏,互联网业务对外部入侵零感知
关键字:
流程失控、覆盖缺失、边界防护失效
失效点描述:
某企业通过互联网对外开展业务包括数百个URL。为了对这些业务边界进行防护,已部署IPS、WAF、NTA等网络安全设备构成了网络边界纵深防御体系。在开展验证的过程中,发现有30多个URL 并没有受到这些安全设备的保护。
原因分析:
该企业的域名有多个互联网出口,分别由不同的团队负责运维进行设备的配置,各团队间并未形成统一的互联网业务上线流程与配置要求。有些互联网业务发布时,直接开启了网络配置的变更,并未同步更改边界防护设备的配置。
整改措施:
对现有的互联网防护覆盖度进行排查,将未接入防护的互联网业务快速补防。
将互联网出口进行统一纳管,强控所有互联网业务上线标准动作,包括上线前必须开展安全测试并完成重要漏洞修复,上线时强制要求接入防护措施。
增加对域名与互联网接口的持续验证,对互联网出口资产的管理有效性进行监控。
其他常见原因:
域名新增或变更的过程中,并未同步修改安全设备的配置;
域名解析规则配置错误,或部分解析节点未作覆盖。
5.2.2 网络与系统架构问题
1. 互联网加密流量未作证书卸载,网关设备不具备防护能力
关键字:
覆盖缺失、整改推动困难、边界防护失效
失效点描述:
某企业边界具有较完善的防护措施保护互联网业务,WAF 防火墙也是串联在出口侧并开 启了阻断模式,但对其进行互联网业务防护覆盖度验证过程中,发现企业边界防护覆盖度非常低,仅有29%,大量业务处于不受保护的状态。
原因分析:
经分析,并未覆盖的业务大部分为加密流量,无法被 WAF 保护是因为并未对流量进行证书卸载。该企业的WAF防火墙是后期部署的网关设备,在部署初期因无法与业务系统运营团队达成一致意见,并担心对业务造成影响,并未进行证书卸载。而之后企业也并未采取强制性系统架构标准,对证书加密事项进行统一要求,后续新上线业务系统的证书卸载工作推动也较难。
整改措施:
推动将加密流量证书卸载网关纳入整体架构标准并推动部署。
将业务系统开发标准的流量加密算法作为基线要求,并对所有新系统及更新迭代的系统适用。
推动现有系统的整改,以常态监控与量化指标评比晾晒,督促各业务系统的整改进度。
其他常见原因:
网关设备不支持业务系统采用的加密算法;
证书发生变更并未做同步。
2. 网络架构变更过程未同步协同,流量安全探针出现大量遗漏情况
关键字:
架构异常、变更协同、流量检测失效
失效点描述:
某大型企业中有多个互联网出口以及各个分子公司均部署有流量安全设备,总数超过50台。经过持续的模拟攻击验证后发现,其中有3台流量探针设备没有任何相关攻击流量日志产生,6 台流量探针设备捕获到的相关攻击流量日志不足50%,流量检测能力存在较为明显的异常现象。
原因分析:
确认后发现,存在流量监测盲点的区域均进行过网络架构的调整,部分区域更换了新的交换机设备,而完成网络设备上线后并未同步调整流量配置为探针设备提供镜像流量。而安全运营人员被海量告警淹没,并未察觉到个别设备告警异常的情况。
整改措施:
调整网络配置使流量探针设备能够运转正常;
将流量检测设备纳入基础设施标准设备范畴,在网络架构变更中同步考虑流量镜像的需求;
以安全验证覆盖重要网络区域,作为日常监控安全能力状态的巡检工具。
其他常见原因:
路由策略、网络访问权限等的变化导致安全防护措施失效;
在监测流量中存在加密流量且不具备解密条件。
5.2.3 运营与操作问题
1. 上线部署时采用最精简策略,边界 WAF 防火墙无法拦截初级攻击
关键字:
策略错误、运营不规范、边界防护失效
失效点描述:
某企业在互联网边界部署了 WAF 防火墙用于主动拦截各类 WEB 攻击,且所有的域名均已接入了该防火墙的防护范围内。但在实际的验证过程中,发现该企业 WAF 防火墙对于 SQL 注入、XSS 等初级且常见的攻击手法拦截率极低,而相同产品在其他客户是有较好的防护效果的,该企业的防护设备未能发挥其应有的能力。
原因分析:
回顾WAF上线时的过程,确认该企业部署设备时为了保障业务,精简了大量的策略规则。在后续的运营过程中,安全人员不具备对WAF调优的能力,也无法针对各个业务开展精细化运营。
整改措施:
推动策略调整变更动作,分批次对业务规则适用最基本的防护能力,对较初级的攻击行为进行阻拦;
参考验证结果提供的用例,开展持续运营与规则优化,建立精细化策略调优的运营方法。
其他常见原因:
因业务稳定性问题时关闭了 WAF 的大部分策略,并非针对性进行策略调优;
为应对紧急上线、故障等情况进行的临时应对处置,事后并未进行复盘及恢复;
因人为操作失误导致的策略生效范围过大;
设备升级过程中部分策略与规则变为默认关闭,运维人员并不知道需要重新打开。
2. 版本升级后之前生效策略默认变为关闭,整个防护模块全部失效
关键字:
策略错误、运营不规范、主机防护失效
失效点描述:
某企业采用商业化主机防护解决方案对所有生产主机进行防护,且很明确相关软件已采购了恶意代码防护模块并开启了相关防护策略。但在实际验证过程中,发现相关防护软件对所有的恶意代码没有任何的检测与阻断能力。
原因分析:
通过查看防护软件的配置信息发现该企业缺失有恶意代码防护功能,但在策略设置中该模块处于关闭状态。经与相关人员核实,该策略部署时明确是启用的状态。但回顾运维操作日志,并未发现对该项策略调整的记录。在与厂商进行确认后,发现该模块在之前的一次版本升级中考虑到业务影响,被默认调整为关闭状态,而更新的调整信息未能及时同步,导致版本升级后很长一段时间整个该策略处于关闭的状态。
其他常见原因:
防护产品出现 bug 导致防护策略无法按预期生效;
产品部署时实施工程师配置 / 操作不当,导致防护策略未生效。
5.2.4 人员失误或意识问题
1. 运维人员配置规则时出现错误,导致整个防护策略失效
关键字:
人员失误、运维流程、防护失效
失效点描述:
某企业有多套互联网边界的 WAF 防火墙分别对不同的互联网出口进行防护,且所有的设备是由安全团队设置了专人进行日常的巡检维护,在所有的巡检日志中并未发现设备的异常。但在实际验证结果中,发现其中一台设备处于毫无防护能力的状态,该互联网出口下所有业务都面临较大威胁。
原因分析:
经排查发现,失效设备上的策略规则中出现了一条错误规则,导致该规则以下所有的策略都无法正常生效。该设备的运维历经多人迭代且没有保留任何运维记录,已无法确认具体操作人员与原因。而运维人员的日常巡检关注的是性能状态,不会对所有的策略进行梳理确认。因运营人员日常关注的是日志集中的 SOC平台,业务无法关注到海量日志告警中该设备的日志告警异常。
整改措施:
删除异常策略,重新使防护策略生效;
规范 WAF 运维规范,设置专人专用账号并留存所有运维操作记录;
通过持续验证建立安全能力有效性的监控,及时发现各类原因导致的安全失效点。
其他常见原因:
因策略冲突导致配置失效而不知;
人员恶意操作。
0x6 安全验证平台的关键技术及创新点
“安全验证平台”基于模拟攻击技术实践,模拟可能由黑客或攻击队实施的网络攻击,通过构造不同的模拟攻击验证场景,对已部署安全设备和策略开展持续性、有效性安全验证。通过在不同网络域单独部署验证机和靶机,实现无害化的开展持续的攻击验证,形成自动化规则策略验证闭环,实现安全防护、检测等安全设备的有效性验证,确保网络安全配置、安全设备、安全策略等按照预期运行。
6.1 关键技术
6.1.1 引入自动化入侵与攻击模拟技术(BAS)
传统的风险评估技术侧重于识别系统、网络和应用程序漏洞,BAS方案可以更进一步。BAS是指通过主动验证+自动化的方式,利用攻击者的战术、技术和程序来模拟杀伤链的不同阶段,持续测试和验证现有网络整体的安全机制(包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护手段是否按预期运行等),对企业对抗外部威胁的能力进行量化评估,同时提供改进建议,推动企业安全体系走向成熟。
2016年笔者提出将安全验证框架作为安全运营四大框架之一,提出了白盒验证(过程验证)和黑盒验证(结果验证)的具体实现:安全验证框架主要功能是综合通过黑盒白盒验证措施,确保安全防护框架和安全运维框架有效性。安全度量框架主要功能是通过一系列安全度量指标,衡量评价安全运营质量水平,并针对性持续过程改进,实现质量的螺旋上升。由此形成了一套完整的安全验证方法论:以安全验证的技术和手段来验证安全有效性和安全的价值,早于Gartner提出安全验证概念7年。
6.1.2 构建安全验证技术运营工具链
在企业信息安全建设初期,安全工作的主要内容是购买安全设备和部署安全管控系统并进行日常维护。从网络层、虚拟层、系统层到应用层、数据层、用户层部署了一系列安全设备或软件并确保其稳定运行,但发现安全状况并没有得到有效改善,安全问题频发,其根本原因是没有进行有效安全运营。如何建设企业有效的安全运营体系,则需要安全运营架构、工具、资源三合一的安全运营思路,从而构建安全验证技术运营工具链。
为确保安全运营架构能够灵活扩展,推荐按功能模块划分成四个模块:安全防护框架、安全运维框架、安全验证框架、安全度量框架。
基于攻击模拟技术的安全验证体系建设,模拟可能由犯罪分子实施的网络攻击,通过内置的攻击脚本及攻击行为,对安全设备和策略开展持续性、有效性安全验证,通过持续的验证,形成自动化规则策略验证闭环,实现安全防护、检测等安全设备的有效性验证,确保网络安全配置、安全设备、安全策略等按照预期运行。以此保障安全设备、规则和策略正常工作;通过全面的自动化攻击验证场景,结合渗透测试和红蓝对抗,开展攻击和防护体系持续对抗和能力升级,融合现有安全运营体系,建设以攻防实战为核心、具有持续验证能力的安全体系。新型漏洞和攻击手段具,能够在24小时内在企业内部进行自动化验证。
6.2 创新点
6.2.1 理念先进,领先国外
2017年,Gartner在《面向威胁技术的成熟度曲线》(Hype Cycle for Threat-Facing Technologies)报告中首次提出了入侵与攻击模拟(BAS, Breach and Attack Simulation)的概念,将其作为一类重要的新兴安全技术。Gartner在该报告中明确指出该框架“可供安全团队以一致的方式持续测试安全控制措施,贯穿从预防到检测(乃至响应)的整个过程”。
2021年,Gartner又在《2021年八大安全和风险管理趋势》(Top Security and Risk Trends for 2021)和《2021安全运营技术成熟度曲线》(Hype Cycle for Security Operations 2021)报告中,进一步强调了安全能力验证的必要性,Gartner预计安全能力验证将逐渐成为IT安全建设的重要技术手段,并在未来数年内被大量机构与企业广泛应用。
2023年,Gartner在发布的网络安全趋势中,首次正式将“安全验证”列为趋势之一。
国外安全验证技术研究与应用发展较为迅速,一些新型专业安全公司以入侵与攻击模拟领域为核心业务领域,设计和实现了一系列方式多样、场景丰富的安全验证技术和产品,通过构造攻击场景的方式对已部署的安全措施进行验证。
将视野收回国内,我所在的某头部股份制银行则在2009年便开始建设SOC平台,2011年开始自建蓝军,在内部进行红蓝对抗,实现黑盒验证;2012年,该头部股份制银行网上银行首次实践网络安全验证技术,同时笔者有幸负责了国内最具创新力和科技能力的股份制银行的安全运营建设;2016年笔者公众号“君哥的体历”发表文章《金融行业企业安全运营之路》,系统性阐述了网络安全验证实践,2018年在个人著作《企业安全建设指南:金融行业安全架构与技术实践》中进一步完善了安全验证理念,并运用至今。2023年,Gartner在发布的网络安全趋势中,首次正式将“安全验证”列为趋势之一,这也意味着,我们在对安全验证的研究与实践上领先国外同行。
6.2.2 适配行业安全防护体系
基于现有安全体系,以自动化全覆盖、验证闭环为原则,与安全策略验证措施相结合,设计了一套先进、完整的安全验证的框架。能够以统一的验证任务管理、安全验证场景配置、验证脚本管理为基础,利用分布式攻击验证引擎,持续对金融行业安全监测防护设备、运营响应流程等开展周期性、持续性验证,运用可视化技术,实时展现企业安全防护有效性状态,与攻防演练、红蓝对抗等攻防活动互为补充,提升企业安全防护水平。
6.2.3 实现安全策略闭环验证
有效性验证系统采用服务端、验证机、靶机三部分分离技术、模拟攻击验证技术,实现灵活的模拟真实攻击者的方式进行安全验证;通过在不同网络域部署攻击机和靶机,开展持续的攻击验证,形成自动化规则策略验证闭环,实现安全防护、检测等安全设备的有效性验证,确保网络安全配置、安全设备、安全策略等按照预期运行。
6.2.4 丰富的攻击验证能力
结合现有安全措施,多平台联动机制,通过与信息安全态势感知平台联动,同步安全设备资产信息、同步告警日志,接收系统验证结果,判断安全设备的防护有效性,实现自动化验证结果闭环;通过全面的自动化攻击验证场景,结合渗透测试和红蓝对抗,开展攻击和防护体系持续对抗和能力升级,融合现有安全运营体系,建设以攻防实战为核心、具有持续验证能力的安全体系。
6.2.5 提升效率、数字化展示
通过自动化攻击验证能力替代现有安全策略的手工验证,在提升验证频率的同时节省人力,提升验证效率和效果,实时识别失效策略,确保安全防护体系实时有效;分析验证结果,形成防护有效性报告,量化安全防护能力和效果;结合网络及应用拓扑结构,可视化展示安全防护状态。
0x7 安全验证的未来发展
通过一段时间的验证与优化,安全验证平台从实战角度,以攻击者视角通过模拟攻击验证的方式确实帮助发现了很多人工运营很难发现的问题,通过自动化闭环的方式减少人员投入的同时具备更多有价值的验证数据产出,帮助掌握和量化度量整体的安全防护态势,对下一步安全建设提供了充分的指导依据。实现了安全运营的有效闭环,从攻防两端持续审视安全建设情况,让安全能力螺旋迭代加强。
Gartner最新的2023年网络安全趋势提到的9大趋势中,提出“到2026年,超过40%的组织,包括三分之二的中型企业,将依赖于统一的平台来运行网络安全验证评估。”安全验证,必将成为企业安全运营的利器。
网络安全验证工具,在将高度可重复和可预测的评估工作自动化方面,取得了快速进展,从而能够对攻击技术、安全控制和流程进行一致和定期的基准测试。基于实践需求预测未来网络安全验证的发展将覆盖更多领域:
安全有效性:通过红队活动评估现有安全控制可拦截和检测的程度,这一过程通常利用自动化攻击模拟实现。
安全一致性:自动化和定期审计,例如分析安全工具配置或重复攻击场景运行。检验真实的防护效力是否与预期一致。
事件响应效能:通过测量调查测试的攻击场景所需的时间来评估响应机制的及时性和有效性。
用户应对能力:通常通过培训实现,例如用户意识或桌面推演(沙盘推演)和模拟演练。也可基于安全验证(平台)的机制,实现安全意识演练,如钓鱼、社工等。
随着越来越多安全平台和工具的使用,企业组织需要逐步扩展其网络安全验证实践的范围。从基础的安全防护开始,逐步过渡到如数据安全治理、合规审计等方面,基于网络安全验证,一方面是对OT提到自动化运营技术的全面实践,同时在更大程度上推动和优化既有资源的最大化利用和挖掘。
国内安全验证的开创者和领军者
北京知其安科技有限公司创立于2021年8月,是一家致力于技术和产品创新驱动的新一代网络安全企业。创始人聂君是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”。创始团队具备丰富的甲方安全运营实践经验,拥有二十余项网络安全技术专利,具备优秀的自主创新和研发能力。旗下的“离朱-安全验证平台”,率先在国内提出并推广“安全验证”理念,是国内首个自主创新大规模商业化落地的网络安全能力验证平台,产品已服务近百家金融、央企、智能制造、互联网等客户,累计PoC测试用户超600家,在行业中获得较好的用户反馈和评价。
| 离朱-安全验证平台 | 陆吾-攻击面管理平台 |
| 率先在国内提出并推广“安全有效性验证”理念,让安全验证成为企业安全运营重要基础平台。 | 基于多源资产数据形成安全资产台账,为客户提供安全资产质量治理、风险治理、运营支撑的综合性平台。 |
知其安离朱-安全验证平台已为各大行业如下机构提供安全验证工具和服务:
知其安创始人聂君早在2016年的公众号上即发文《金融行业企业安全运营之路》系统性阐述了安全验证实践。 2017年Gartner在报告中首次提出了BAS(入侵与攻击模拟)技术并将其定位为“一种正在崛起的技术”; 2019年聂君推出个人著作《企业安全建设指南:金融行业安全架构与技术实践》中进一步完善了安全验证理念; 直到2023年4月Gartner发布的最新网络安全趋势,其中“安全验证”首次作为安全趋势出现,进一步明确和强化了安全验证的价值和意义。从BAS技术框架的提出,到网络安全验证,真正落地实现了攻击模拟的落地化应用。
国家高新技术企业
国家级科技型中小企业
北京市专精特新中小企业
北京市“创新型”中小企业
昌平区国家高新技术育新企业
2024网信自主创新“尖峰榜”金风帆奖
2023网信自主创新“尖峰榜”优秀解决方案奖
金融网络安全态势感知平台情报支持突出贡献单位
