【知其安數(shù)世咨詢】安全有效性驗(yàn)證能力白皮書

安全有效性驗(yàn)證能力白皮書CybersecurityValidation 4 7 8 8 9 從互聯(lián)網(wǎng)業(yè)務(wù)邊界安全防護(hù)、到流量安全、主機(jī)安全、終端安全、郵件安全，從共享威脅情報，到統(tǒng)一運(yùn)營管理，從用戶行為管網(wǎng)絡(luò)安全行業(yè)“最大的那條魚”，安全運(yùn)營囊括了防護(hù)、檢測、響應(yīng)、恢復(fù)等各個階段，涵蓋了從工具、平臺、人到管理與流程的全部要素?？梢哉f安全運(yùn)營既蘊(yùn)含著安全建設(shè)過往發(fā)展的歷史，也代伴隨企業(yè)部署眾多安全防護(hù)產(chǎn)品的同時，在各類攻防對抗、紅藍(lán)演練中依然會暴露出各種問題，導(dǎo)致邊界被突破、權(quán)限被獲取，數(shù)據(jù)被泄露，靶標(biāo)被拿下甚至發(fā)生真實(shí)的信息安全事件，嚴(yán)重影響生產(chǎn)業(yè)務(wù)安全。為此，面對當(dāng)前已部署的各類安全防護(hù)措施，企業(yè)1.已部署的各類安全防護(hù)措施和基線是否有效？是否按照預(yù)期大多存在不同程度的“失去安全防護(hù)效力的情況”，這被稱之為造成防護(hù)失效的原因中，90%難以通過日常巡檢或依靠人工排查的方式發(fā)現(xiàn)異常，這些安全能力失效往往是在真實(shí)事件發(fā)生時才受重視或被感知。通過對大量案例和數(shù)據(jù)的分析，發(fā)現(xiàn)企業(yè)防護(hù)失針對各類安全防護(hù)必然存在失效或防護(hù)效力不及預(yù)期的問題，作為監(jiān)管側(cè)需要抓手，實(shí)現(xiàn)體系化、標(biāo)準(zhǔn)化的執(zhí)行監(jiān)督檢查職責(zé)，及時發(fā)現(xiàn)和暴露組織單位安全防護(hù)的失效情況，聯(lián)防聯(lián)控，降低行業(yè)整體風(fēng)險。作為承擔(dān)安全防護(hù)主體責(zé)任的企業(yè)單位，應(yīng)當(dāng)在常態(tài)化安全防護(hù)中持續(xù)檢驗(yàn)和評估自身安全防御能力，及時發(fā)現(xiàn)防護(hù)和檢測缺失點(diǎn)，提升網(wǎng)絡(luò)安全整體防護(hù)能力。為此，“安全有效性驗(yàn)證”作為全新的檢查評價機(jī)制應(yīng)運(yùn)而生，既可以實(shí)現(xiàn)對企業(yè)單位已部署安全防護(hù)措施的自動化巡檢核查，又可以作為監(jiān)管單位的有效抓手。通過對安全設(shè)備、平臺、意識、流程等安全要素的有效性進(jìn)行驗(yàn)證、度量，安全運(yùn)營體系中的短板得以暴露，安全運(yùn)營的價值得以體現(xiàn)。驗(yàn)證是手段，度量是價值?？梢哉f，安全運(yùn)營的靈魂即是驗(yàn)證與度量。安全有效性驗(yàn)證使得安全運(yùn)營最重要的一塊拼圖得以近兩年來，業(yè)內(nèi)已經(jīng)先后涌現(xiàn)出專門滿足這一需求的初創(chuàng)安全企業(yè)，逐漸形成了安全有效性驗(yàn)證的創(chuàng)新賽道。在數(shù)世咨詢發(fā)布的了初步闡述。本報告將對“持續(xù)評估定義安全運(yùn)營”中的主要技術(shù)路報告由北京知其安科技有限公司（下文簡稱“知其安”）與北京勘誤與交流溝通請聯(lián)系郵箱：liuchenyu@為保持本報告內(nèi)容的統(tǒng)一性，這里先列出業(yè)內(nèi)目前常見的一些相關(guān)術(shù)語及其描述，如安全有效性驗(yàn)證、BAS、攻擊驗(yàn)證節(jié)點(diǎn)、靶?安全有效性驗(yàn)證（CybersecurityValidati安全有效性驗(yàn)證是通過入侵與攻擊模擬技術(shù)，構(gòu)造各類型實(shí)戰(zhàn)攻擊手法，對企業(yè)已部署的各類安全防護(hù)措施及規(guī)則策略開展全面的模擬攻擊驗(yàn)證，通過對攻擊結(jié)果的匯集分析評估網(wǎng)絡(luò)安全縱深防以模擬仿真的體系化安全攻擊手段，評估驗(yàn)證安全運(yùn)營體系發(fā)現(xiàn)威脅的能力。單獨(dú)描述BAS時，BAS可視為獨(dú)立產(chǎn)品，而對于承擔(dān)模擬攻擊者執(zhí)行攻擊的角色，發(fā)起各類攻擊驗(yàn)證動作。根據(jù)不同的驗(yàn)證場景，攻擊驗(yàn)證節(jié)點(diǎn)的部署點(diǎn)可位于云端、互聯(lián)網(wǎng)、承擔(dān)被攻擊或攻擊指向的角色，提供被攻擊后的響應(yīng)和反饋，以及攻擊過程中的相關(guān)記錄和信息反饋?？梢允荱RL/IP（虛擬靶負(fù)責(zé)接收上述各類節(jié)點(diǎn)的回傳數(shù)據(jù)，通過結(jié)合SIEM/SOC/態(tài)定，并基于行業(yè)最佳實(shí)踐的驗(yàn)證知識庫進(jìn)行比對，對判定結(jié)果中的2017年，Gartner在發(fā)布的《面向威脅技術(shù)的成熟度曲線》（HypeCycleforThreat-FacingTechnologies）中首次出現(xiàn)BAS入侵與攻擊模擬（BreachandAttackSimulation）概念，2021及2022年，“Gartner在《2021年八大安全和風(fēng)險管理趨勢》、2021及2022《安全運(yùn)營技術(shù)成熟度曲線》等報告中，連續(xù)提到BAS技術(shù)的必要性，預(yù)測BAS將成為IT安全建設(shè)重要技術(shù)手段?！?023年，Gartner最新的2023年網(wǎng)絡(luò)安全趨勢提到的9大趨勢中，“CybersecurityValidation網(wǎng)絡(luò)安全驗(yàn)證”成為重要元素之一，從BAS技術(shù)框架的提出，到網(wǎng)絡(luò)安全驗(yàn)證，真正落地實(shí)現(xiàn)圖3Garnter報告摘錄在Gartner《2024安全和風(fēng)險管理技術(shù)路線圖》中，BAS同樣被認(rèn)為對企業(yè)具有高價值且處于快速發(fā)展成熟階段。代表企業(yè)有AttackIQ、Cymulate、SafeBreach以及被Google收購的Mandiant等。在2024年7月最新發(fā)布的《HypeCycleforSecurityOperations，2024》中，BAS與Autonomouspenetrationtestingandredteaming等概念一起，被合并入對抗性暴露驗(yàn)證（AdversarialExposureValidation-AEV），由此，BAS的落腳點(diǎn)由模擬（simulation）升級為驗(yàn)證（validation），朝著效果與價值的方向更進(jìn)一步。此外，合并后新命名的AEV處在成熟度參照上述國外各個相關(guān)概念的演進(jìn)，據(jù)數(shù)世咨詢調(diào)研，目前國內(nèi)相關(guān)能力企業(yè)的基因有行業(yè)最佳實(shí)踐、自動化滲透、仿真靶場等在實(shí)際交付時，會根據(jù)不同水平的機(jī)構(gòu)用戶需求，結(jié)合成不同的解在金融等行業(yè)有多年深耕經(jīng)驗(yàn)積累的安全創(chuàng)業(yè)團(tuán)隊，憑借其核心成員在一線安全運(yùn)營場景中的行業(yè)最佳實(shí)踐，積累了大量從日常安全運(yùn)營、實(shí)網(wǎng)演習(xí)、重保演練、實(shí)戰(zhàn)攻防中提煉總結(jié)出的驗(yàn)證用例，這些用例在同行業(yè)同場景中有非常高的驗(yàn)證“命中率”，加以自動化的驗(yàn)證平臺，可以有效發(fā)現(xiàn)同行業(yè)機(jī)構(gòu)用戶的失效點(diǎn)，提升其安全運(yùn)營整體有效性，為同行業(yè)機(jī)構(gòu)用戶提供持續(xù)的有效性驗(yàn)證能階段，也引入了威脅情報、攻擊面管理等新的技術(shù)能力，其特點(diǎn)是能夠以外部攻擊者視角對機(jī)構(gòu)用戶的實(shí)際業(yè)務(wù)系統(tǒng)發(fā)起攻擊，進(jìn)而通過殺傷鏈上的信息搜集、漏洞利用、跳板終端、網(wǎng)絡(luò)節(jié)點(diǎn)、主機(jī)應(yīng)用等環(huán)節(jié)，深入到內(nèi)網(wǎng)業(yè)務(wù)主機(jī)，可以一定程度替代人工滲透的“仿真靶場”大多由網(wǎng)絡(luò)靶場、數(shù)字靶場賽道的企業(yè)發(fā)展而來，其優(yōu)勢在于對機(jī)構(gòu)用戶現(xiàn)行安全運(yùn)營體系中網(wǎng)絡(luò)架構(gòu)、終端系統(tǒng)等運(yùn)行環(huán)境的高度仿真。結(jié)合多年多項賽事中所積累的攻防技戰(zhàn)法轉(zhuǎn)化而來的驗(yàn)證劇本，該路線在安全運(yùn)營體系中，特別是安全運(yùn)營團(tuán)隊的人員能力有明顯的驗(yàn)證效果，可以有效發(fā)現(xiàn)運(yùn)營團(tuán)隊的響應(yīng)短不論采用哪種技術(shù)路線，國內(nèi)這一賽道的共同特點(diǎn)是都更為貼近用戶的實(shí)際需求：一方面，已經(jīng)有較多安全廠商推出了自動化滲透測試產(chǎn)品，在實(shí)網(wǎng)攻防演練中配合攻擊隊已有較廣泛應(yīng)用；另一方面，安全有效性驗(yàn)證開始進(jìn)入市場普遍接受和快速發(fā)展的階段，越來越多的安全運(yùn)營團(tuán)隊開始通過自動化的驗(yàn)證，用以評估當(dāng)前的防御能力與實(shí)際效果。代表行業(yè)有金融、監(jiān)管、能源電力、運(yùn)營商等，下一小節(jié)將針對各行業(yè)的需求分別敘述，接下來，我們先看下在數(shù)世咨詢發(fā)布的《能力指南-持續(xù)評估定義安全運(yùn)營》報告中，數(shù)世咨詢將自動化滲透測試、安全有效性驗(yàn)證等細(xì)分領(lǐng)域統(tǒng)一以“持續(xù)評估定義安全運(yùn)營”概念進(jìn)行統(tǒng)計，目前該賽道在國內(nèi)的市場份額已經(jīng)過億，同比增長率高達(dá)440%，同時數(shù)世咨詢認(rèn)為在接世咨詢《中國數(shù)字安全產(chǎn)業(yè)年度報告2023》中的統(tǒng)計數(shù)據(jù)，同時參考金融、政府監(jiān)管、能源電力、運(yùn)營商等行業(yè)安全運(yùn)營投入、持從國內(nèi)各行業(yè)對安全有效性驗(yàn)證的需求情況來看，根據(jù)數(shù)世咨詢《能力指南-持續(xù)評估定義安全運(yùn)營》報告圖5：行業(yè)需求占比-持續(xù)評估定義安全運(yùn)營目前作為需求占比最高的行業(yè)，安全有效性驗(yàn)證的需求主要來源于實(shí)戰(zhàn)化安全運(yùn)營、實(shí)網(wǎng)攻防演練等場景，金融行業(yè)自身屬于強(qiáng)監(jiān)管行業(yè)，且內(nèi)生安全需求較高，推動整體安全建設(shè)相對較早、較快的發(fā)展，用戶安全運(yùn)營的成熟度不論從團(tuán)隊意識到實(shí)際運(yùn)營水平安全有效性驗(yàn)證對金融行業(yè)帶來的價值更多體現(xiàn)在降本增效，在無需追加人員的前提下實(shí)現(xiàn)對已有驗(yàn)證手段（人工滲透、紅藍(lán)對抗）的全面補(bǔ)充，同時指導(dǎo)來年安全建設(shè)預(yù)算方向，量化防御能力。以27%的需求占比排名第二，其有效性驗(yàn)證的需求主要以All臨潛在的國家級網(wǎng)絡(luò)攻防對抗風(fēng)險，因此通過安全有效性驗(yàn)證對自安全有效性驗(yàn)證對政府監(jiān)管行業(yè)帶來的價值是解決相關(guān)監(jiān)管單位對國家關(guān)鍵信息基礎(chǔ)設(shè)施及重要單位缺少標(biāo)準(zhǔn)化防護(hù)能力檢查評估工具的問題，能夠發(fā)現(xiàn)和整改組織單位網(wǎng)絡(luò)安全防護(hù)建設(shè)中的深作為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的代表，同時具備金融與政府監(jiān)管兩個行業(yè)的需求特點(diǎn)，無論是國家級網(wǎng)絡(luò)攻防對抗風(fēng)險，亦或?qū)崙?zhàn)化安全運(yùn)營需求，在能源電力行業(yè)都能看到，因此其成為近年來另安全有效性驗(yàn)證對能源電力行業(yè)帶來的價值主要體現(xiàn)在“自動化安全巡檢”。該行業(yè)普遍存在“業(yè)務(wù)體量巨大但安全團(tuán)隊較小”的情況，面對嚴(yán)峻的安全形勢，安全團(tuán)隊實(shí)際工作壓力很大。借助平臺自動化高效實(shí)現(xiàn)“安全有效性”巡檢，即類似自動化運(yùn)維，實(shí)現(xiàn)安全運(yùn)營常態(tài)化的“自動化巡檢”；同時第一時間可以獲得新的攻擊方式和漏作為業(yè)務(wù)連續(xù)性要求最高的行業(yè)之一，行業(yè)集中度高，集采項目金額大，因此安全有效性驗(yàn)證需求作為眾多數(shù)字安全新賽道之一，也開始逐步走進(jìn)運(yùn)營商用戶的視野，運(yùn)營商作為網(wǎng)絡(luò)通信基礎(chǔ)架構(gòu)的建設(shè)和運(yùn)營方，承擔(dān)各類骨干網(wǎng)和關(guān)鍵節(jié)點(diǎn)的通信保障，安全防護(hù)不容任何閃失，尤其面對近期勒索事件頻發(fā)、外部威脅局勢嚴(yán)峻，針對安全防護(hù)措施的可用性、可靠性、有效性檢查評估已在各類通安全有效性驗(yàn)證對運(yùn)營商行業(yè)帶來的價值主要體現(xiàn)在各省公司復(fù)雜網(wǎng)絡(luò)架構(gòu)下，布防的眾多類型的安全設(shè)備和措施是否都實(shí)時有效。集團(tuán)對各省公司的安全防護(hù)能力進(jìn)行評價或考核，并給予針對安全有效性驗(yàn)證通過最佳實(shí)踐驗(yàn)證用例的比對，或在不同網(wǎng)絡(luò)域單獨(dú)部署驗(yàn)證節(jié)點(diǎn)（攻擊角色和靶標(biāo)角色），無害化開展持續(xù)的模擬攻擊驗(yàn)證，形成自動化規(guī)則策略驗(yàn)證閉環(huán)，實(shí)現(xiàn)安全防護(hù)措施的有效性驗(yàn)證，確保網(wǎng)絡(luò)安全配置、安全設(shè)備、安全策略等按照預(yù)企業(yè)當(dāng)前已部署各類安全產(chǎn)品和平臺，涉及各類主流安全廠商作為供應(yīng)商，提供產(chǎn)品和技術(shù)服務(wù)。很大程度上，當(dāng)前依賴于這些安全產(chǎn)品的能力，實(shí)現(xiàn)對威脅和攻擊的檢測和攔截。從安全有效性驗(yàn)證的角度出發(fā)，是對當(dāng)前已部署的各類安全產(chǎn)品、平臺、規(guī)則策略等的有效性進(jìn)行驗(yàn)證評估，第三方中立性是重要支撐點(diǎn)。目前已經(jīng)有部分安全大廠關(guān)注“安全有效性驗(yàn)證”賽道，投入一些資源開拓，但對于新的方向，賽道和客戶需求還沒有標(biāo)準(zhǔn)化，大廠缺少耐心培育市場，支持力度很有限。最重要的一點(diǎn)是：第三方公正性。部分廠商既做安全防護(hù)產(chǎn)品，又做安全有效性驗(yàn)證，既做守門員，又做裁判員。該類廠商做安全有效性驗(yàn)證，評價自己的安全產(chǎn)品配置、安全有效性驗(yàn)證是比較新的技術(shù)手段，是基于自動化攻擊模擬技術(shù)框架形成的最佳實(shí)踐。區(qū)別于傳統(tǒng)防御視角，安全有效性驗(yàn)證需要對攻擊原理、攻擊手段、攻擊方式、攻擊工具以及各類漏洞利用都有深入的研究和積累。針對攻擊側(cè)的研究需要有深度的技術(shù)底蘊(yùn)和豐富的實(shí)戰(zhàn)積累，更需要投入大量時間和人力來研究落地。同時還要具備豐富的安全建設(shè)運(yùn)營經(jīng)驗(yàn)，并且能將頭部用戶先進(jìn)的安當(dāng)模擬攻擊打出，需要清晰了解甲方攔截和告警的預(yù)期結(jié)果。這需要研究各網(wǎng)絡(luò)安全廠商安全產(chǎn)品的防御機(jī)制和原理，橫向收集各網(wǎng)絡(luò)安全廠商主流安全產(chǎn)品的檢測、攔截、阻斷反饋數(shù)據(jù)，包括：響應(yīng)頁面、返回代碼、特殊返回字符或部分API接口等，這樣才能自動化的準(zhǔn)確判斷攔截、檢測結(jié)果，才能實(shí)現(xiàn)安全有效性驗(yàn)證的自動化閉環(huán)。該技術(shù)實(shí)現(xiàn)門檻較高，不僅需要有較強(qiáng)的攻擊技術(shù)能力和攻防實(shí)戰(zhàn)積累，更關(guān)鍵的是要求具備豐富的安全運(yùn)營經(jīng)驗(yàn)和視角，能夠清晰了解企業(yè)安全工作建設(shè)、安全運(yùn)營工作開展過程中，會在哪些方面存在安全措施和策略的可能失效點(diǎn)，并通過安全驗(yàn)證手段所以在考慮現(xiàn)有資源和實(shí)際需求的情況下，應(yīng)重點(diǎn)關(guān)注該領(lǐng)域安全有效性驗(yàn)證必須實(shí)現(xiàn)無害化，目的是對已經(jīng)部署的各類安全防護(hù)措施的驗(yàn)證，而不是對生產(chǎn)業(yè)務(wù)系統(tǒng)實(shí)行真實(shí)的傷害性攻擊。需要對各類攻擊手法進(jìn)行無實(shí)際傷害的模擬，同時又需要使其保留攻擊特征。驗(yàn)證節(jié)點(diǎn)使用實(shí)體靶機(jī)時，需在生產(chǎn)網(wǎng)內(nèi)申請?zhí)摂M機(jī)或者物理機(jī)，策略配置和生產(chǎn)網(wǎng)業(yè)務(wù)主機(jī)保持一致，但是不能使用真正跑業(yè)務(wù)的主機(jī)作為靶機(jī)進(jìn)行驗(yàn)證。驗(yàn)證使用的技術(shù)包括但不限于安全有效性驗(yàn)證帶來的最大改進(jìn)之一是能夠持續(xù)評估態(tài)勢的能力。它消除了單點(diǎn)時間評估的缺點(diǎn)，取而代之的是，可以以高度自動化的方式進(jìn)行驗(yàn)證，在發(fā)生配置更改或告警失效時立即通知安全安全有效性驗(yàn)證應(yīng)該以自動化為核心，構(gòu)建實(shí)戰(zhàn)化、體系化、常態(tài)化的安全有效性攻擊驗(yàn)證節(jié)點(diǎn)機(jī)制。通過在企業(yè)內(nèi)部構(gòu)造不同的模擬攻擊驗(yàn)證場景，對已部署的各類安全防護(hù)措施及規(guī)則策略開展全面的模擬攻擊驗(yàn)證，形成可量化、可持續(xù)、可運(yùn)營的安全有效性驗(yàn)證體系，實(shí)現(xiàn)自動化攻擊模擬、自動化閉環(huán)分析、自動化結(jié)果輸出。驗(yàn)證平臺的部署實(shí)施、驗(yàn)證任務(wù)的下發(fā)、驗(yàn)證動作的執(zhí)行、驗(yàn)證結(jié)果的比對、以及驗(yàn)證報告的生成等功能都應(yīng)當(dāng)是充分自動化在這些自動化能力基礎(chǔ)上，安全團(tuán)隊就可以利用累計發(fā)現(xiàn)的多個失效點(diǎn)，按照時間線維度，分解故障背后的真實(shí)原因，提高整個系統(tǒng)的彈性與韌性。且在面臨業(yè)務(wù)迭代、IT環(huán)境變化、策略規(guī)則升安全有效性驗(yàn)證不能只是單純的攻擊發(fā)出，而依賴人工進(jìn)行結(jié)果的確認(rèn)和判斷。需要基于平臺實(shí)現(xiàn)自動化的機(jī)制，從模擬攻擊的發(fā)出，到防御體系產(chǎn)生的各類攔截、阻斷、告警響應(yīng)等生成的各類日志信息，形成完整驗(yàn)證鏈路。不需要額外的人員投入，通過自動化的方式實(shí)現(xiàn)攻擊場景構(gòu)建、任務(wù)調(diào)度、事件日志獲取與分析評估，證BAS是攻防對抗層面的驗(yàn)證，通過模擬可能由黑客或不法分子實(shí)施的網(wǎng)絡(luò)攻擊，通過內(nèi)置的模擬攻擊腳本及行為，執(zhí)行正面攻防對抗的驗(yàn)證評估。從安全運(yùn)營角度來看，還需要補(bǔ)充對各類規(guī)則策略繞過的驗(yàn)證，即非攻防對抗的驗(yàn)證。如網(wǎng)絡(luò)隔離策略的驗(yàn)證，驗(yàn)通過場景的模擬和構(gòu)造實(shí)現(xiàn)自動化的對規(guī)則策略的有效性進(jìn)行驗(yàn)證。業(yè)內(nèi)大部分該領(lǐng)域的能力者會參考MITRE的ATT&CK框架等知識庫，覆蓋APT高級威脅的攻擊戰(zhàn)術(shù)、技術(shù)和程序。但除此之外，基于行業(yè)最佳實(shí)踐的驗(yàn)證用例的覆蓋與積累是安全有效性驗(yàn)證的首要關(guān)鍵成功因素。即應(yīng)當(dāng)結(jié)合國內(nèi)近幾年的兩大場景——實(shí)網(wǎng)攻防演練與數(shù)字化轉(zhuǎn)型——基于最佳實(shí)踐來組織安全有效性驗(yàn)證針對實(shí)網(wǎng)攻防演練，通過持續(xù)收集往年演練活動中的攻擊思路、攻擊工具、攻擊鏈路等要素，整理為高度仿真的驗(yàn)證用例；針對數(shù)字化轉(zhuǎn)型，重點(diǎn)考慮轉(zhuǎn)型過程中的業(yè)務(wù)上云，資產(chǎn)數(shù)字化等導(dǎo)致的攻擊面擴(kuò)大，覆蓋身份、網(wǎng)絡(luò)、存儲和控制臺訪問等關(guān)鍵點(diǎn)，避免因?yàn)樾袠I(yè)最佳實(shí)踐具備明顯的場景化特點(diǎn)，所以在某個行業(yè)頭部用戶使用較多的安全有效性驗(yàn)證產(chǎn)品，在這個行業(yè)的驗(yàn)證場景用例會更具有行業(yè)屬性，能夠?qū)⑿袠I(yè)頭部用戶的運(yùn)營經(jīng)驗(yàn)以驗(yàn)證產(chǎn)品攻防是持續(xù)對抗的過程，需要對各類攻擊有全面的深入研究和工程化實(shí)現(xiàn)。需要對最新的各類攻擊原理，攻擊手段，攻擊方式，攻擊工具，以及各類漏洞利用都有持續(xù)的，實(shí)時的研究和用例開發(fā)上線。用例的更新和上線，需要由專業(yè)化的團(tuán)隊運(yùn)營，做到7X24小時持續(xù)更新和發(fā)布，確保我行能夠第一時間對最新的攻擊進(jìn)行驗(yàn)通過安全有效性驗(yàn)證發(fā)現(xiàn)失效和各類問題后，需要給出對應(yīng)的針對性解決建議，解決建議的核心同樣應(yīng)該是來自行業(yè)最佳實(shí)踐。要求安全有效性驗(yàn)證廠商具備充分的行業(yè)安全驗(yàn)證實(shí)踐，基于眾多在明確了安全有效性驗(yàn)證的八個主要成功因素之后，這里還要重點(diǎn)厘清安全有效性驗(yàn)證與漏洞掃描、滲透測試乃至攻防演練等傳眾所周知資產(chǎn)有脆弱性（含漏洞、弱口令、未授權(quán)訪問等），因?yàn)橘Y產(chǎn)有脆弱性，所以我們部署了一系列安全防護(hù)產(chǎn)品和措施，希望能及時的檢測和阻斷攻擊，但近年來的實(shí)網(wǎng)攻防中會發(fā)現(xiàn)，經(jīng)常出現(xiàn)攻擊未檢測到、未告警，攻擊沒攔截的情況，導(dǎo)致安全風(fēng)險事件發(fā)生。因此，安全事件的發(fā)生是由兩個因素疊加形成的：資產(chǎn)針對資產(chǎn)的脆弱性，傳統(tǒng)做法是基于滲透和紅藍(lán)對抗、漏掃等發(fā)現(xiàn)一些資產(chǎn)的漏洞問題，是以漏洞視角來發(fā)現(xiàn)資產(chǎn)的脆弱性。一直以來缺少一個體系化的機(jī)制對已經(jīng)部署的各類安全防護(hù)體系的脆技術(shù)可以很好地解決。通過在企業(yè)內(nèi)部自行構(gòu)造各類模擬攻擊驗(yàn)證場景，主動觸發(fā)防御體系，主動觸發(fā)產(chǎn)生告警和攔截事件，驗(yàn)證已源害傷害系統(tǒng)的情況度段漏洞掃描：對象是各類應(yīng)用資產(chǎn)，目標(biāo)是發(fā)現(xiàn)這些應(yīng)用資產(chǎn)上是否存在已知的漏洞。主要以發(fā)包的方式通過掃描和探測，與已知安全有效性驗(yàn)證：對象是各種安全防護(hù)產(chǎn)品策略和運(yùn)營平臺，目標(biāo)是及時發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測而未檢測”的情況。通過基于BAS的自動化攻擊模擬來實(shí)現(xiàn)，通過構(gòu)造各種模擬攻擊漏洞利用、攻擊手法、攻擊工具等，來觸發(fā)安全防護(hù)的各類檢測和告警，核心是安全防護(hù)措施。從而讓安全運(yùn)營人員及時了解當(dāng)前已安全有效性驗(yàn)證與滲透測試是沒有替代性的，完全不同且可相滲透測試：是通過人工+工具的方式，挖掘業(yè)務(wù)資產(chǎn)漏洞，并找到可被利用的方式。從時間頻度來說，是偶發(fā)的，一年只有幾次。執(zhí)行滲透測試任務(wù)時，通常是會在防護(hù)措施上將攻擊源加白，避免用可以突破，就直接利用，對于潛在的可能存在其他漏洞利用就不需要關(guān)注和嘗試了，因?yàn)闈B透目標(biāo)已經(jīng)達(dá)成，且時間成本，人力成攻防演練：使用的與滲透測試的技術(shù)一部分是相同的，但是更接近真實(shí)場景，偏向于實(shí)戰(zhàn)，面對的場景復(fù)雜、技術(shù)繁多。側(cè)重黑盒方式進(jìn)行漏洞挖掘+繞過防御體系，毫無聲息達(dá)成獲取業(yè)務(wù)權(quán)限或數(shù)據(jù)的目標(biāo)。不求發(fā)現(xiàn)全部風(fēng)險點(diǎn)，因?yàn)楣魟幼髟蕉啾话l(fā)現(xiàn)的概率越大，一旦被發(fā)現(xiàn)，防守方就會把攻擊方踢出戰(zhàn)場。攻防演練的目的是檢驗(yàn)在真實(shí)攻擊中縱深防御能力、告警運(yùn)營質(zhì)量、應(yīng)急處置安全有效性驗(yàn)證：是從全覆蓋面出發(fā)結(jié)合縱深防御，對已經(jīng)部署的各類安全防護(hù)體系的驗(yàn)證。通過白盒方式觸發(fā)安全防護(hù)的各類檢測和告警，及時發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測而未檢測”的情況。面向縱深防御各個維度，實(shí)現(xiàn)體系化、標(biāo)準(zhǔn)化、自動化的對現(xiàn)有已部署的各類安全防護(hù)進(jìn)行防護(hù)有效性驗(yàn)證，給出評估度量讓安全運(yùn)營人員及時和全面的掌握現(xiàn)有安全防護(hù)水準(zhǔn)。通過持續(xù)常態(tài)化驗(yàn)證，傳統(tǒng)基于少量場景，碎片化的攻擊手法的驗(yàn)證，確實(shí)可以用戶自己做。但是，鑒于“黑盒驗(yàn)證的局限性”“人工白盒驗(yàn)證的局限性”，仍然建議專業(yè)的事交給專業(yè)的人做，何況是全覆蓋面的驗(yàn)證無法依日志做自動化的閉環(huán)匹配，這樣就不需要人工參與判斷。各類設(shè)備和策略的日志自動閉環(huán)驗(yàn)證匹配，是需要比較大的開發(fā)門檻和維護(hù)（2）安全檢測能力驗(yàn)證一來依賴很多資深的安全技術(shù)和研發(fā)參與，從投入的資源來說，廣度、深度和及時性等都會比廠商弱很多。且如果通過手動方式執(zhí)行驗(yàn)證勢必會浪費(fèi)很多時間，也無法重復(fù)執(zhí)行。而通過這種平臺化的能力，能夠快速的實(shí)現(xiàn)相關(guān)驗(yàn)證。相當(dāng)于通過有效性驗(yàn)證平臺能夠?qū)⑿袠I(yè)最關(guān)心的安全運(yùn)營場景和攻擊手法以技術(shù)手段開展有效性驗(yàn)證的總體思路是，基于安全防護(hù)措施的范圍與目標(biāo)，制定能夠觸發(fā)防護(hù)控制效果的模擬行為，結(jié)合防護(hù)措施實(shí)際的響應(yīng)結(jié)果，能夠?qū)崿F(xiàn)自動化閉環(huán)并給出驗(yàn)證結(jié)果評價?？刂拼胧┰O(shè)計的預(yù)期結(jié)果為評價基準(zhǔn)，實(shí)際攻防的結(jié)果是評價依據(jù)，達(dá)到對防護(hù)措施的客觀度量評價。通過將防護(hù)能力進(jìn)行度量可視化，將安全防護(hù)能力可以“看得見”及“可評價”，才能形安全有效性驗(yàn)證的核心邏輯是“攻擊與繞過場景構(gòu)造”和“防護(hù)響基于平臺工具，通過攻擊驗(yàn)證節(jié)點(diǎn)向被驗(yàn)證對象發(fā)起驗(yàn)證，對已部署的各類安全措施發(fā)起無害化模擬攻擊，基于日志事件的分析，判斷安全防護(hù)措施對本次驗(yàn)證的響應(yīng)情況，以評估整體防護(hù)響應(yīng)檢1.有效：對本次發(fā)起的模擬攻擊驗(yàn)證，正常檢測或阻告警信息或攔截事件，未觸發(fā)相關(guān)規(guī)則策略；或策略被成功繞過，安全有效性驗(yàn)證平臺是集安全措施展示、監(jiān)控與驗(yàn)證于一體的通過攻擊模擬驗(yàn)證，確定安全設(shè)備及規(guī)則檢測鏈路是否正常工作，對重要安全防護(hù)措施進(jìn)行過程驗(yàn)證：邊界防護(hù)、流量安全、主設(shè)備/系統(tǒng)的日志獲取和告警方式以白盒的方式進(jìn)行有效性驗(yàn)證。過程驗(yàn)證可以在第一時間內(nèi)進(jìn)行溯源，定位出現(xiàn)問題的位置，保障安結(jié)合現(xiàn)有的紅藍(lán)對抗等驗(yàn)證安全防護(hù)是否真實(shí)生效；為驗(yàn)證防護(hù)措施規(guī)則的有效性，選取以結(jié)果驗(yàn)證的方式進(jìn)行，在融合現(xiàn)有運(yùn)營措施（滲透測試、紅藍(lán)對抗、眾測、漏掃、巡檢等）的基礎(chǔ)上，新增實(shí)時動態(tài)展示安全有效性驗(yàn)證結(jié)果，第一時間掌握安全防護(hù)有效性。從防護(hù)措施分級，到防護(hù)措施展示，再到獲取驗(yàn)證監(jiān)控結(jié)果，直至最后失效措施告警，都依托于拓?fù)浣Y(jié)構(gòu)進(jìn)行可視化展示，不但可以明確現(xiàn)有安全措施依據(jù)重要程度的分級情況，還可以直觀的看安全有效性驗(yàn)證平臺可開展獨(dú)立的攻擊模擬驗(yàn)證，既可以通過也可以直接與安全設(shè)備通過syslog對接日志，來判斷安全設(shè)備監(jiān)測和防護(hù)的告警狀態(tài)，識別和驗(yàn)證安全設(shè)備的有效性與整體安全能力。通過在不同網(wǎng)絡(luò)域單獨(dú)部署攻擊驗(yàn)證節(jié)點(diǎn)和靶標(biāo)驗(yàn)證節(jié)點(diǎn)，實(shí)現(xiàn)無害化的持續(xù)攻擊驗(yàn)證，形成自動化規(guī)則策略驗(yàn)證閉環(huán)，實(shí)現(xiàn)安全防護(hù)、檢測等安全設(shè)備的有效性驗(yàn)證，確保網(wǎng)絡(luò)安全配置、安全驗(yàn)證平臺是服務(wù)端、攻擊驗(yàn)證節(jié)點(diǎn)、靶標(biāo)驗(yàn)證節(jié)點(diǎn)三部分分離1.服務(wù)端負(fù)責(zé)驗(yàn)證任務(wù)創(chuàng)建、任務(wù)調(diào)度、任務(wù)下發(fā)、驗(yàn)證結(jié)果分析及展示、靶標(biāo)驗(yàn)證節(jié)點(diǎn)和攻擊驗(yàn)證節(jié)點(diǎn)管理、驗(yàn)證場景創(chuàng)建和2.攻擊驗(yàn)證節(jié)點(diǎn)負(fù)責(zé)模擬攻擊者對目標(biāo)靶標(biāo)驗(yàn)證節(jié)點(diǎn)發(fā)起攻擊3.靶標(biāo)驗(yàn)證節(jié)點(diǎn)作為被攻擊端，用來充分驗(yàn)證安全防御檢測能力、安全策略運(yùn)行的有效性等；靶標(biāo)驗(yàn)證節(jié)點(diǎn)上無任何真實(shí)生產(chǎn)業(yè)務(wù)，但部署有和真實(shí)環(huán)境一致的安全防護(hù)措施及軟件。靶標(biāo)驗(yàn)證節(jié)步安全設(shè)備資產(chǎn)信息、同步告警日志，接收系統(tǒng)驗(yàn)證結(jié)果，判斷安安全有效性驗(yàn)證用例是對安全防護(hù)措施開展檢查與評價的最小單元。每個安全驗(yàn)證用例可能是一次入侵攻擊嘗試、惡意文件植入、危險命令執(zhí)行、系統(tǒng)賬號破解等外部入侵動作，也可能是配置文件變更、違規(guī)網(wǎng)絡(luò)連接、開發(fā)代碼包含漏洞、敏感數(shù)據(jù)泄露、違規(guī)運(yùn)維操作等違背管控紅線的違規(guī)行為。根據(jù)這種不同視角，安全用例1.基于攻擊視角的入侵攻擊模擬用例：攻基于入侵與攻擊模擬BAS技術(shù)框架構(gòu)建模擬黑客的各行為。來自外部人員的入侵攻擊與防護(hù)體系形成一種競爭對抗，規(guī)劃驗(yàn)證用例時需要把工作重心放在對攻擊手法的覆蓋度以及熱點(diǎn)攻擊行為跟蹤的及時性上。作為已知攻擊技戰(zhàn)術(shù)的集合，ATT&CK框架已成為各方評估攻防技術(shù)覆蓋情況應(yīng)用最廣泛的工具。相同的，安全有效性驗(yàn)證對攻擊技戰(zhàn)術(shù)的驗(yàn)證覆蓋情況，也同樣可參考該框?qū)τ谛屡兜募紤?zhàn)術(shù)情報或漏洞，因防守方修復(fù)需要一定時間導(dǎo)致出現(xiàn)一段窗口期。通常每逢比較嚴(yán)重的漏洞被披露時，網(wǎng)絡(luò)會出現(xiàn)大量嘗試?yán)迷摯翱谄谶M(jìn)行初步邊界突破的攻擊行為。安全驗(yàn)證用例則需要在真實(shí)攻擊者發(fā)起此類攻擊行為前，以相同的攻擊手2.基于防御視角的違規(guī)行為模擬用例：策略繞過基線檢查對于違規(guī)行為的模擬時，所面臨的最大的挑戰(zhàn)是違規(guī)動作的不這里應(yīng)優(yōu)先選擇那些對企業(yè)會產(chǎn)生較大影響的紅線規(guī)則，這樣有利于資源調(diào)配，最大化驗(yàn)證資源投入的性價比。同時可優(yōu)先選擇采取了技術(shù)控制措施的規(guī)則進(jìn)行驗(yàn)證，這類有技術(shù)驗(yàn)證目標(biāo)的驗(yàn)證用例會更有技術(shù)可落地性。面向規(guī)則的驗(yàn)證用例設(shè)計方法屬正向設(shè)計思路，即根據(jù)需要驗(yàn)證的規(guī)則模擬破壞其規(guī)則用例即可，相比較另外，對于一些主動意愿較強(qiáng)的違規(guī)行為模擬，則因相關(guān)的動作軌跡與特征本身屬于未知的狀態(tài)，此類驗(yàn)證用例設(shè)計需要更富創(chuàng)造力與想象力。因違規(guī)主體的目的是繞過各類防護(hù)規(guī)則，甚至有些人會對公司的防護(hù)策略有一定了解，譬如高權(quán)限運(yùn)維人員或者公司高管。這類驗(yàn)證用例所對抗的是各式各樣的人性與個體，其設(shè)計過程更多的需要參考業(yè)務(wù)風(fēng)控模型的建設(shè)思路，圍繞著核心業(yè)務(wù)的保障訴求，對“異?！钡臉I(yè)務(wù)操作進(jìn)行模擬。這里的異常涉及非常強(qiáng)的業(yè)務(wù)屬性，可能是一些頻率異常、時間地點(diǎn)異常或者業(yè)務(wù)邏輯上的3.對驗(yàn)證用例的結(jié)果校驗(yàn)邏輯閉環(huán)設(shè)計每個驗(yàn)證用例需要不同的技術(shù)實(shí)現(xiàn)環(huán)境，也導(dǎo)致其獲取校驗(yàn)數(shù)據(jù)的格式與方式都有所不同。對于驗(yàn)證用例需要明確如何判斷驗(yàn)證對于“預(yù)期”的設(shè)計要有處置結(jié)果、響應(yīng)覆蓋、時效延遲等不同維度的考慮。同時，在“結(jié)果”的解析過程上也需要建立對應(yīng)的規(guī)則或者校驗(yàn)邏輯首先從結(jié)果上不能出現(xiàn)模糊結(jié)論?；诠裟M的有效性驗(yàn)證結(jié)果應(yīng)該只有“有效”或者“失效”兩種結(jié)果，不能出現(xiàn)類似“可能有效”的結(jié)論。如存在數(shù)據(jù)質(zhì)量問題時，應(yīng)優(yōu)先采取數(shù)據(jù)過濾或清洗等策略，對于無法獲取到明確數(shù)據(jù)時，應(yīng)先將驗(yàn)證結(jié)果進(jìn)行無效化。對于指標(biāo)類的驗(yàn)證結(jié)果數(shù)據(jù)（如響應(yīng)時間、延遲時間）等，也需要將驗(yàn)證獲取數(shù)據(jù)形成明確的數(shù)據(jù)，也可以設(shè)置指標(biāo)數(shù)據(jù)的基在驗(yàn)證任務(wù)的執(zhí)行過程中，需要根據(jù)企業(yè)基于風(fēng)險偏好的安全驗(yàn)證需求，設(shè)置任務(wù)調(diào)度的各類策略與參數(shù)設(shè)定。根據(jù)任務(wù)執(zhí)行策略，需要以自動化批處理引擎執(zhí)行驗(yàn)證任務(wù)與度量結(jié)果的計算。任。驗(yàn)證用例范圍/場景的選擇：根據(jù)驗(yàn)證對象與期望產(chǎn)出的度量。驗(yàn)證目標(biāo)的選擇：驗(yàn)證用例通常是基于某類防護(hù)措施或者場景而設(shè)計，而具體執(zhí)行驗(yàn)證任務(wù)時需要將類型具象化到對應(yīng)的具。驗(yàn)證路徑的選擇：需要驗(yàn)證的對象與目標(biāo)，會影響驗(yàn)證任務(wù)。計劃任務(wù)策略的制定：執(zhí)行計劃策略通常包括執(zhí)行周期、執(zhí)驗(yàn)證場景是對安全驗(yàn)證訴求最直接的反映，是為了滿足實(shí)現(xiàn)安全驗(yàn)證應(yīng)用價值而組成的整合方案。安全驗(yàn)證場景是由安全驗(yàn)證用例組成，但不是單純的安全驗(yàn)證用例的排列組合。根據(jù)驗(yàn)證應(yīng)用場景下的需要，除了需具備基本的安全驗(yàn)證用例外，還需要對不同的現(xiàn)在的態(tài)勢感知都是基于攻擊視角，識別攻擊行為，針對攻擊事件進(jìn)行處置。缺乏防御視角的可視化展示，無法快速了解防御體現(xiàn)在，依據(jù)既定的批量計劃任務(wù)，安全團(tuán)隊可以每十分鐘或每小時執(zhí)行一次預(yù)設(shè)的驗(yàn)證場景，以此持續(xù)監(jiān)控不同場景下的安全性能，并及時發(fā)現(xiàn)潛在問題，例如“安全設(shè)備短暫中斷”、“實(shí)時檢測功能延遲”以及“功能模塊異?！钡?。每月，通過在現(xiàn)網(wǎng)環(huán)境中使用攻擊驗(yàn)證節(jié)點(diǎn)對靶標(biāo)驗(yàn)證節(jié)點(diǎn)發(fā)起模擬攻擊，并借助自動化閉環(huán)分析來評估結(jié)果，運(yùn)營團(tuán)隊能夠根據(jù)驗(yàn)證報告為失效策略制定改進(jìn)計劃并通過常態(tài)化的有效性驗(yàn)證，可以檢驗(yàn)安全策略在真實(shí)環(huán)境中的效能和穩(wěn)定性，形成基于攻擊效果的度量評價驗(yàn)證結(jié)果。將這些結(jié)果數(shù)據(jù)以圖形化的方式展現(xiàn)；每一個真實(shí)的防御部署可看到動態(tài)變化的防御能力，形成基于防護(hù)場景的總覽視圖，基于真實(shí)防護(hù)拓?fù)涞拇笃烈晥D，實(shí)施掌握全網(wǎng)內(nèi)的安全防御能力，實(shí)現(xiàn)“一張網(wǎng)、一張在勒索防護(hù)能力提高方面，已經(jīng)加強(qiáng)終端、網(wǎng)絡(luò)、邊界側(cè)的針對性防護(hù)措施，例如增加了防勒索模塊、增加了漏洞排查的頻率等，防護(hù)能力有了一定的提高，但效果如何？還需要建立常態(tài)化、自動化的檢查機(jī)制，不斷的發(fā)現(xiàn)脆弱點(diǎn)，及時的修正，形成螺旋式上升的局面，不斷的提高防護(hù)能力。通過模擬勒索軟件從感染植入、傳播擴(kuò)散到加密勒索這三個關(guān)鍵階段的多種行為模式，系統(tǒng)地收集已部署防御體系的攔截與告警數(shù)據(jù)。隨后，利用自動化比對技術(shù)，對這些攔截和告警結(jié)果進(jìn)行深入分析，量化評估防御體系對勒索組織各類動作與行為的有效攔截率及告警準(zhǔn)確性。真實(shí)反映企業(yè)的勒索在感染植入階段，全面模擬勒索軟件入侵的初始步驟，以檢驗(yàn)防御體系的初步響應(yīng)能力。在邊界防護(hù)層面，通過勒索常見的高危漏洞的攻擊，模擬黑客利用這些漏洞對邊界進(jìn)行驗(yàn)證。同時，在郵件安全方面，模擬多種形式的勒索病毒郵件攻擊，包括偽裝成合法郵件、附帶惡意附件或鏈接等，驗(yàn)證郵件安全效果。此外，在終端和主機(jī)層面，通過多種勒索軟件家族樣本和域名請求模擬，驗(yàn)證終進(jìn)入傳播擴(kuò)散階段，重點(diǎn)模擬勒索軟件在企業(yè)內(nèi)部網(wǎng)絡(luò)中的擴(kuò)散和蔓延能力。這包括模擬勒索軟件利用橫向移動技術(shù)、RDP3389端口進(jìn)行爆破攻擊模擬，驗(yàn)證訪問控制策略。此外，模擬勒索組織立通訊的行為，以評估防御體系對勒索軟件持續(xù)威脅的監(jiān)測和阻斷能力。同時，我們還加入了模擬批處理腳本的執(zhí)行，如移除防病毒軟件、關(guān)閉數(shù)據(jù)備份服務(wù)、拷貝敏感數(shù)據(jù)等，以測試防御體系對惡在加密勒索階段，模擬勒索軟件的核心破壞行為，以評估防御體系在最后一道防線上的表現(xiàn)。這包括模擬勒索軟件對目標(biāo)文件系統(tǒng)的加密操作、模擬鎖定與破壞、模擬數(shù)據(jù)銷毀或篡改，以驗(yàn)證終端/主機(jī)的防護(hù)能力；通過這些模擬攻擊，全面揭示防御體系在應(yīng)對在參與國家級、省級、行業(yè)的網(wǎng)絡(luò)攻防工作時，滲透測試和紅藍(lán)對抗演練已經(jīng)成為常規(guī)化的關(guān)鍵驗(yàn)證手段，用來檢驗(yàn)自身的防御效能。然而，這些手段主要集中在有限的攻擊路徑上，難以全面覆為了驗(yàn)證防御策略的有效性，須從縱深防御體系的角度出發(fā)，審視同一攻擊手段在縱深防御各個層面的檢測能力，從而識別防御體系中的薄弱環(huán)節(jié)。應(yīng)當(dāng)特別關(guān)注驗(yàn)證演練中頻繁使用的攻擊手段和關(guān)鍵環(huán)節(jié)，并根據(jù)目前所使用的設(shè)備，精心設(shè)計相應(yīng)的驗(yàn)證場景和測試用例。在正式演練開始之前，對自我安全防御的有效性進(jìn)行面對集團(tuán)型企業(yè)擁有眾多分支機(jī)構(gòu)的復(fù)雜場景，通過集團(tuán)部署的驗(yàn)證平臺，實(shí)現(xiàn)對分支機(jī)構(gòu)統(tǒng)一化、標(biāo)準(zhǔn)化驗(yàn)證動作的執(zhí)行，基于驗(yàn)證結(jié)果直觀呈現(xiàn)出不同分行防護(hù)真實(shí)情況，及時發(fā)現(xiàn)失效，有統(tǒng)一標(biāo)準(zhǔn)化驗(yàn)證：區(qū)別于傳統(tǒng)人工滲透和檢驗(yàn)的非標(biāo)準(zhǔn)化，基于平臺實(shí)現(xiàn)統(tǒng)一、標(biāo)準(zhǔn)化攻擊驗(yàn)證，實(shí)現(xiàn)各分行驗(yàn)證結(jié)果的統(tǒng)一標(biāo)體系化評價考核：基于平臺，實(shí)現(xiàn)對不同攻擊類型、繞過方式、漏洞利用等多維度攻擊向量，體系化的驗(yàn)證，能夠?qū)崿F(xiàn)對各個分支提高全集團(tuán)防護(hù)水平基線：通過標(biāo)準(zhǔn)化驗(yàn)證手段，實(shí)現(xiàn)對分支機(jī)構(gòu)的防護(hù)能力摸排，及時暴露防護(hù)風(fēng)險和問題，有針對性的提高通過有效性驗(yàn)證平臺發(fā)起的各類社工攻擊構(gòu)造，在企業(yè)內(nèi)組織人員安全意識演練，及時暴露風(fēng)險，可視化評估輸出，統(tǒng)計安全意識薄弱人員，并針對性提供防釣魚意識培訓(xùn)，從而降低因釣魚郵件通過模擬常見的APT組織手法、實(shí)戰(zhàn)攻防入侵手法等，讓安全運(yùn)營人員了解在完整的攻擊鏈路中安全防護(hù)的缺失點(diǎn)，能夠以真實(shí)事件的方式展示防御效果，讓企業(yè)管理層對安全防御有更直觀的感知。同時，可以通過手動創(chuàng)建多鏈路的用例上建立的基于多維度判斷規(guī)則，避免策略調(diào)整后出現(xiàn)非預(yù)期的失效通過對各類型敏感數(shù)據(jù)文件通過不同渠道的外發(fā)、及外發(fā)過程中各類變形和繞過手法的模擬，驗(yàn)證數(shù)據(jù)防泄漏的策略狀態(tài)、提升對敏感數(shù)據(jù)外發(fā)的檢測能力。以評估現(xiàn)有數(shù)據(jù)防泄漏安全策略在防止內(nèi)部威脅方面的有效性。通過持續(xù)的數(shù)據(jù)泄露模擬和驗(yàn)證，企業(yè)伴隨信創(chuàng)的推進(jìn)落地，企業(yè)所部署的系統(tǒng)、網(wǎng)絡(luò)、安全等產(chǎn)品陸續(xù)進(jìn)行信創(chuàng)改造的同時，也引入了信創(chuàng)相關(guān)的安全風(fēng)險。以網(wǎng)絡(luò)安全防護(hù)為例，信創(chuàng)環(huán)境下的安全防護(hù)是否與之前的部署防護(hù)效力一致是需要企業(yè)重點(diǎn)關(guān)注的方向。通過信創(chuàng)安全驗(yàn)證，可實(shí)現(xiàn)對信創(chuàng)終端防病毒/EDR、信創(chuàng)終端數(shù)據(jù)安全產(chǎn)品、信創(chuàng)主機(jī)安全產(chǎn)品等的有效性驗(yàn)證。幫助企業(yè)第一時間發(fā)現(xiàn)和優(yōu)化信創(chuàng)安全產(chǎn)品防護(hù)效力不一致、兼容性問題導(dǎo)致的告警延遲甚至丟失漏報、面對新的信由于每個企業(yè)的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、安全管理策略和技術(shù)防護(hù)策略都有所不同，因此需要根據(jù)自身的風(fēng)險偏好來開展相應(yīng)的安全有效性驗(yàn)證工作。該工作可以分為四個階段：驗(yàn)證準(zhǔn)備、驗(yàn)證執(zhí)行、結(jié)果分析和持續(xù)改進(jìn)。通過這四個階段的實(shí)施，可以確保安全驗(yàn)證任務(wù)方案需要明確具體執(zhí)行任務(wù)的計劃參數(shù)，以便驗(yàn)證任。驗(yàn)證場景：驗(yàn)證任務(wù)的執(zhí)行通常是為了滿足其中某一類場景。驗(yàn)證對象：基于不同的驗(yàn)證場景下，需要明確具體要驗(yàn)證的目標(biāo)對象。可能是基于某個物理、網(wǎng)絡(luò)范圍的全量設(shè)備，或者。驗(yàn)證網(wǎng)絡(luò)架構(gòu)：需要達(dá)到的驗(yàn)證目標(biāo)或設(shè)備的不同，會使得驗(yàn)證任務(wù)執(zhí)行的網(wǎng)絡(luò)架構(gòu)會有較大的差異，包括驗(yàn)證任務(wù)執(zhí)行的網(wǎng)絡(luò)數(shù)據(jù)流及各類驗(yàn)證資源的部署位置，會對驗(yàn)證資源投入。驗(yàn)證執(zhí)行計劃：一般驗(yàn)證任務(wù)都會按照計劃任務(wù)的形式自動化執(zhí)行，而對于驗(yàn)證計劃相關(guān)的策略中，需要明確驗(yàn)證任務(wù)執(zhí)。驗(yàn)證結(jié)果展示方式：通常驗(yàn)證產(chǎn)出的結(jié)果會形成標(biāo)準(zhǔn)化格式的數(shù)據(jù)報表或結(jié)果，但為了能夠更加符合度量結(jié)果的應(yīng)用，必在確定驗(yàn)證方案后，需要根據(jù)驗(yàn)證方案的需求準(zhǔn)備相應(yīng)的驗(yàn)證資源與驗(yàn)證環(huán)境。通常需要考慮的驗(yàn)證資源包括驗(yàn)證計算資源、驗(yàn)證網(wǎng)絡(luò)策略及其他外部資源等。對驗(yàn)證資源產(chǎn)生較大影響的因素主。對數(shù)據(jù)整合復(fù)雜度及對接解析的安全設(shè)備日志數(shù)量的需求，。驗(yàn)證目標(biāo)需覆蓋點(diǎn)位完整度的程度，會影響攻擊驗(yàn)證節(jié)點(diǎn)與。對于跨網(wǎng)絡(luò)區(qū)域的復(fù)雜驗(yàn)證場景，或者有特殊的業(yè)務(wù)訪問關(guān)。針對部分特殊的驗(yàn)證場景需要準(zhǔn)備特殊的驗(yàn)證資源。如驗(yàn)證郵件安全場景需要準(zhǔn)備個郵箱賬號、需要驗(yàn)證互聯(lián)網(wǎng)攻擊則需要公網(wǎng)資源、特定的業(yè)務(wù)規(guī)則驗(yàn)證需要具備對應(yīng)的業(yè)務(wù)數(shù)據(jù)資在執(zhí)行基于攻擊模擬的驗(yàn)證工作時，可能因?yàn)楫a(chǎn)生各類告警信息，對運(yùn)營團(tuán)隊產(chǎn)生干擾，影響對安全事件的誤判。通常在執(zhí)行驗(yàn)證任務(wù)之前，需要與安全預(yù)警處置團(tuán)隊或驗(yàn)證目標(biāo)的監(jiān)控團(tuán)隊進(jìn)行同步，對相關(guān)驗(yàn)證任務(wù)進(jìn)行加白處置或?qū)Ω婢M(jìn)行過濾。通常，用。驗(yàn)證任務(wù)執(zhí)行時間段：如果是周期性任務(wù)則需要明確一個驗(yàn)。驗(yàn)證任務(wù)發(fā)起源地址：通?？梢栽O(shè)置固定的驗(yàn)證任務(wù)發(fā)起端。驗(yàn)證任務(wù)數(shù)據(jù)包特征：可以基于模擬攻擊的攻擊特征、攻擊對于驗(yàn)證任務(wù)的過濾應(yīng)適用于事件響應(yīng)過程中，對事件研判的邏輯與規(guī)則里，是為了避免發(fā)生處置動作的誤判。不應(yīng)基于驗(yàn)證任務(wù)的特征，在驗(yàn)證目標(biāo)上進(jìn)行告警特征的匹配或建立告警模型，這在大部分的企業(yè)防護(hù)體系的設(shè)計中，會在不同層級技術(shù)架構(gòu)中設(shè)計不同方式的防護(hù)措施組合，對核心資產(chǎn)與數(shù)據(jù)形成縱深維度的防護(hù)保障。對于入侵者視角來說，也會形成需要突破或繞過各種不同的措施，形成完整的攻擊鏈條。能夠模擬這種基于全鏈路的攻擊另外，由于數(shù)據(jù)資產(chǎn)的訪問路徑不同，也會經(jīng)過不同的防護(hù)設(shè)備。即使是在相同的防護(hù)設(shè)備保護(hù)下，相關(guān)設(shè)備的策略不同也會產(chǎn)生不同的防護(hù)效果。基于這種業(yè)務(wù)數(shù)據(jù)流視角上，根據(jù)不同的防護(hù)在驗(yàn)證任務(wù)計劃執(zhí)行過程中，需要監(jiān)控任務(wù)執(zhí)行狀態(tài)是否正常完成，避免因設(shè)備性能問題、運(yùn)行環(huán)境變換、網(wǎng)絡(luò)策略阻斷、任務(wù)配置錯誤等原因?qū)е碌尿?yàn)證工作失敗的情況。對于周期性執(zhí)行的驗(yàn)證計劃任務(wù)，需要跟蹤確認(rèn)周期性任務(wù)是否執(zhí)行成功并形成了閉環(huán)。驗(yàn)證相關(guān)資源或網(wǎng)絡(luò)策略的部署過程存在錯誤，未滿足驗(yàn)證。在用例執(zhí)行過程中，觸發(fā)了網(wǎng)絡(luò)安全自動化的響應(yīng)處置機(jī)制，。驗(yàn)證目標(biāo)或驗(yàn)證設(shè)備出現(xiàn)了性能瓶頸，導(dǎo)致任務(wù)無法正常執(zhí)在首次運(yùn)行驗(yàn)證用例時，通常需要對驗(yàn)證用例執(zhí)行數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)。數(shù)據(jù)異常根本性的原因是在自動化驗(yàn)證閉環(huán)的邏輯與機(jī)制上出現(xiàn)了問題。這個過程需要有較豐富的實(shí)踐積累與調(diào)試過程，在具備了較為龐大的結(jié)果數(shù)據(jù)基礎(chǔ)能夠使結(jié)果趨于穩(wěn)定。數(shù)據(jù)異常的原因有可能是因?yàn)轵?yàn)證用例設(shè)計的問題，也有可能是對于一些特殊的防護(hù)機(jī)制或驗(yàn)證的環(huán)境出現(xiàn)了變更，原有的校驗(yàn)邏輯無法滿足通過對金融、央企、制造業(yè)等單位的調(diào)研和驗(yàn)證實(shí)踐，這里羅列出典型驗(yàn)證場景和驗(yàn)證頻率，幫助企業(yè)安全團(tuán)隊有針對性的高效3、上傳webshell攔截時檢驗(yàn)證NTA/IDS的檢測功能是否3、上傳webshell攔截時/1、內(nèi)存馬植入和新型webshell投遞時時/全1、內(nèi)存馬植入和新型webshell投遞3、容器逃逸，K8s攻擊、危險掛載時漏等為了使驗(yàn)證任務(wù)產(chǎn)出的量化結(jié)果能夠更具備治理價值，需要制定對度量結(jié)果具有參考意義的治理基線。治理基線的制定是來自驗(yàn)證工作方案與治理需求。比如，初次進(jìn)行安全能力評估時，可以借鑒行業(yè)內(nèi)的參考基準(zhǔn)數(shù)據(jù)作為治理目標(biāo)，制定優(yōu)化策略。而對于已經(jīng)處于常態(tài)化運(yùn)營的驗(yàn)證模式下，可根據(jù)自身防護(hù)水平形成一個驗(yàn)證能力度量值作為基準(zhǔn)線，持續(xù)驗(yàn)證安全能力出現(xiàn)降低或偏離的情況。運(yùn)營評價基準(zhǔn)相當(dāng)于以量化的形態(tài)展示企業(yè)的風(fēng)險偏好或風(fēng)險容忍度，并以此為基準(zhǔn)對安全防護(hù)能力進(jìn)行評價，進(jìn)而得出后續(xù)的根據(jù)驗(yàn)證任務(wù)執(zhí)行結(jié)果，可以總結(jié)排查出各類防護(hù)失效的問題。對于此類失效點(diǎn)，需要建立完整的運(yùn)營流程進(jìn)行根因分析并推動整改動作，形成完整的閉環(huán)。特別是需要關(guān)注數(shù)據(jù)展現(xiàn)有明顯的能力缺失或者突然下降的情況。通常此類問題都會衍生出如防護(hù)模塊缺失、策略出現(xiàn)重大缺陷、覆蓋度不足、防護(hù)架構(gòu)存在缺陷等較嚴(yán)重在完成各項失效點(diǎn)的修復(fù)工作后，需要通過針對性的驗(yàn)證復(fù)測來確認(rèn)修復(fù)動作是否達(dá)到了預(yù)期結(jié)果。復(fù)測驗(yàn)證作為對問題修復(fù)結(jié)在完成了一輪驗(yàn)證工作后，需要對驗(yàn)證體系跟過程進(jìn)行回顧與總結(jié)，使驗(yàn)證體系整個過程能夠持續(xù)優(yōu)化改進(jìn)。驗(yàn)證體系的優(yōu)化通。對驗(yàn)證用例執(zhí)行邏輯與技術(shù)方案進(jìn)行回顧，確認(rèn)是否有更優(yōu)。對驗(yàn)證目標(biāo)范圍進(jìn)行評估，確認(rèn)是否能夠增加更多的驗(yàn)證場。評估驗(yàn)證展現(xiàn)形式與數(shù)據(jù)格式，確認(rèn)是否有更優(yōu)的展現(xiàn)形式。在度量驗(yàn)證形成治理工具時，通過持續(xù)迭代建立基于度量結(jié)果的評價體系，是將度量結(jié)果轉(zhuǎn)化為行動指南的重要參考，也能形成對所管轄單位的管理抓手。除了前文所提及的運(yùn)營評價基線需要持續(xù)回顧進(jìn)行持續(xù)改進(jìn)外，如果基于度量結(jié)果形成評價評分機(jī)制時，也需要對評價體系進(jìn)行回顧，是評價結(jié)果的指導(dǎo)意義更符合治理訴以往，要提高安全防護(hù)能力，主要通過人工檢查或廠商推薦的方式，對人員依賴較大，缺少針對性，常常出現(xiàn)與實(shí)際情況不符、整改效果不理想的情況。通過有效性驗(yàn)證，可精準(zhǔn)到每一個攻擊手法防護(hù)是否有效，準(zhǔn)確定位安全防護(hù)的短板（能力不足）和失效點(diǎn)），第一時間了解最新的安全攻擊信息并通過安全用例自動化的在企業(yè)內(nèi)復(fù)現(xiàn)和驗(yàn)證，檢驗(yàn)企業(yè)當(dāng)前的安全防護(hù)能力；在掌握當(dāng)前安全防御能力前提下進(jìn)行針對性改進(jìn)，全面提升企業(yè)安全防護(hù)能力。發(fā)現(xiàn)安全措施和策略失效風(fēng)險所在，解決問題從而逐步提升用戶自第一時間掌握最新漏洞利用、攻擊工具和手法，自動化驗(yàn)證當(dāng)前的安全防護(hù)效力。針對安全能力失效，給出相應(yīng)加強(qiáng)和提升建議，多品牌、多版本的安全設(shè)備，通過安全有效性驗(yàn)證，拉齊安全策略基線，實(shí)現(xiàn)安全防護(hù)效果的一致性。例如分析安全工具配置或重復(fù)攻擊場景運(yùn)行，檢驗(yàn)真實(shí)的防護(hù)效力是否與預(yù)期一致，實(shí)現(xiàn)安將以往通過安全運(yùn)營人員人工驗(yàn)證轉(zhuǎn)為全自動化閉環(huán)驗(yàn)證，解決手動模擬的覆蓋度和執(zhí)行穩(wěn)定性問題，解決人工查看告警判斷失誤的壓力。同時，可有效提高驗(yàn)證效率，人工驗(yàn)證主要由安全規(guī)則梳理、手動攻擊模擬驗(yàn)證、人工查看安全設(shè)備和規(guī)則觸發(fā)情況，效率低，見效慢，自動化驗(yàn)證可以極大提高驗(yàn)證效率，過去這些安全設(shè)備需要投入3個人全職監(jiān)控安全設(shè)備及策略運(yùn)行狀況，現(xiàn)在只需要1個人兼職即可完成。持續(xù)性的7x24小時全天候驗(yàn)證評估，幫助用戶先于攻擊者發(fā)現(xiàn)安全策略失效點(diǎn)，縮短失效點(diǎn)存在點(diǎn)時間周通過安全有效性驗(yàn)證，可以清晰的將當(dāng)前安全能力的實(shí)際狀況進(jìn)行呈現(xiàn)，并且未來隨著問題整改帶來的安全能力提升，用戶持續(xù)的驗(yàn)證可以得到數(shù)據(jù)累積，通過不斷的自我完善會得到一個安全能力上升的趨勢值，可清晰地把安全團(tuán)隊工作價值量化呈現(xiàn)。且可讓管理層清晰地了解，公司整體實(shí)際安全防護(hù)能力是什么樣、可抵御驗(yàn)證數(shù)據(jù)給出量化的、可視化的安全全貌、安全指標(biāo)，指導(dǎo)安全運(yùn)營投入，安全投入回報可見，有針對性的、有方向的投入和強(qiáng)驗(yàn)證的直觀數(shù)據(jù)，可清晰了解安全防護(hù)能力對各類攻擊的實(shí)際抵御情況如何，哪些可檢測、哪些不可檢測，一目了然，讓安全管理做到“心中有數(shù)”。也可回應(yīng)管理層對防護(hù)成效的疑慮：安全防對分支機(jī)構(gòu)和子公司、海外機(jī)構(gòu)的防護(hù)能力進(jìn)行評估，過去只能通過人工檢查或者問詢方式執(zhí)行，對人力水平要求較高，且無法驗(yàn)證真實(shí)性。依托安全有效性驗(yàn)證的能力，7×24小時常態(tài)化評估分支機(jī)構(gòu)、子公司及海外機(jī)構(gòu)安全防護(hù)力，以實(shí)戰(zhàn)化維度快速精準(zhǔn)實(shí)時上收分支機(jī)構(gòu)數(shù)據(jù)，了解各分支安全驗(yàn)證狀態(tài)，掌握安全防護(hù)能力，及時給出支持與指導(dǎo)?；诹炕臄?shù)據(jù)統(tǒng)計實(shí)現(xiàn)對各分集團(tuán)級用戶的安全管理部門（總部、風(fēng)險管理部）可以通過安全有效性驗(yàn)證發(fā)現(xiàn)的問題作為監(jiān)管的依據(jù)，從而對下屬單位或者其當(dāng)前我國金融行業(yè)業(yè)務(wù)已經(jīng)高度信息化、自動化、流程化，為用戶提供的所有服務(wù)和日常運(yùn)營基本都依賴信息系統(tǒng)開展。而作為強(qiáng)監(jiān)管行業(yè)，銀行正常展業(yè)需要具備一定的信息化治理能力與信息科技風(fēng)險管理能力。同樣，作為信息化程度高，涉及業(yè)務(wù)與數(shù)據(jù)敏感，銀行業(yè)也面臨著嚴(yán)峻的內(nèi)外部威脅。銀行業(yè)網(wǎng)絡(luò)安全工作起步較早，等級保護(hù)與監(jiān)管部門的各類措施落實(shí)，已奠定了基于縱深防御體系的安全建設(shè)基礎(chǔ)。通過持續(xù)的安全運(yùn)營，定期開展?jié)B透測試與攻防對抗模擬演練，銀行業(yè)普遍已具備了較全面的技術(shù)、流程與在實(shí)際開展攻防演練或日常運(yùn)營工作中，總是存在因各類問題引發(fā)的業(yè)務(wù)資產(chǎn)未覆蓋、設(shè)備常年失效而未知等較低級的安全防護(hù)失效點(diǎn)，導(dǎo)致整個防護(hù)體系的失守。公司已建立了完整的運(yùn)維巡檢的工作流程，也通過運(yùn)維平臺會實(shí)時監(jiān)控設(shè)備運(yùn)行狀態(tài)。但在對過往安全失效情況進(jìn)行追蹤溯源后發(fā)現(xiàn)，大量因IT或業(yè)務(wù)變更、人員操作不當(dāng)、防護(hù)架構(gòu)或設(shè)備存在缺陷等原因無法用現(xiàn)有能力或技術(shù)手段解決。而此類問題被紕漏多次后，安全防護(hù)的真實(shí)能力被受。公司對已部署安全設(shè)備日常巡檢通常是關(guān)注性能與設(shè)備運(yùn)行狀態(tài)，但仍會出現(xiàn)防護(hù)設(shè)備失效的情況。此外，眾多安全設(shè)備的策略配置與使用過程中，難以保持安全能力持續(xù)生效，缺少。依據(jù)“以攻促防”的工作理念，公司定期會開展內(nèi)部與外部的紅藍(lán)對抗演練，對產(chǎn)品也會持續(xù)開展?jié)B透測試。另外，也會每年開展內(nèi)控自查、風(fēng)險評估自查等動作對安全防護(hù)能力作驗(yàn)證，但這些手段都耗費(fèi)資源較大，且不太適用于持續(xù)性的日常。在開展安全運(yùn)營持續(xù)優(yōu)化的工作時難以形成度量評價，安全防護(hù)整個狀態(tài)與能力處于不可見的狀態(tài)，運(yùn)營日常工作缺少指導(dǎo)。領(lǐng)導(dǎo)層也多次提到對于安全度量的訴求，在治理與決策中根據(jù)客戶的具體痛點(diǎn)與業(yè)務(wù)場景，分析當(dāng)前的網(wǎng)絡(luò)布防情況與運(yùn)營體系進(jìn)行了確認(rèn)調(diào)研，并基于離朱有效性驗(yàn)證平臺的能力設(shè)計了完整的驗(yàn)證方案。將基于實(shí)戰(zhàn)模擬的攻擊驗(yàn)證用例結(jié)合各個不同的驗(yàn)證場景，對驗(yàn)證邏輯與架構(gòu)進(jìn)行部署搭建，通過全自動的閉環(huán)驗(yàn)證任務(wù)邏輯下，形成各種維度的數(shù)據(jù)產(chǎn)出支撐各個應(yīng)用場景的實(shí)），通過公網(wǎng)攻擊驗(yàn)證節(jié)點(diǎn)每月對所有的互聯(lián)網(wǎng)暴露的業(yè)務(wù)資產(chǎn)執(zhí)行少量的驗(yàn)證用例，通過邊界阻斷以及告警的情況確認(rèn)網(wǎng)站是否處于正常的安全保護(hù)下（IPS、WAF、NTA等對互聯(lián)網(wǎng)資產(chǎn)建立攻擊面管理能力，避免違規(guī)操作、運(yùn)營不當(dāng)、架構(gòu)變更等導(dǎo)致的互將各類不同場景下的安全驗(yàn)證用例的結(jié)果進(jìn)行模型統(tǒng)計與度量，形成基于實(shí)際攻防能力的量化數(shù)據(jù)結(jié)果。度量結(jié)果對應(yīng)到公司的運(yùn)營與考核體系當(dāng)中，在整個運(yùn)營優(yōu)化過程中形成圍繞指標(biāo)的優(yōu)化工作方法，并以指標(biāo)結(jié)果開展對人員組織（包含外部供應(yīng)商）的管理在持續(xù)的有效性驗(yàn)證監(jiān)控的工作中，隨著安全能力值的突然變化，發(fā)現(xiàn)了各類安全設(shè)備故障點(diǎn)。其中除了設(shè)備性能故障、業(yè)務(wù)突增等原因外，也發(fā)現(xiàn)了日志丟失、日志延遲等隱蔽性較強(qiáng)的問題。部分故障發(fā)現(xiàn)問題后立即完成了修復(fù)，另也啟動了對設(shè)備擴(kuò)容的采從安全有效性驗(yàn)證完成部署開展第一次驗(yàn)證時，安全整體防護(hù)能力為78%的防護(hù)有效率，通過持續(xù)運(yùn)營的策略調(diào)優(yōu)，安全防護(hù)能力提升為92%，各個設(shè)備獨(dú)立的防護(hù)能力提升累積達(dá)到了176%。將各個防護(hù)策略與規(guī)則的效果直接量化展示后，直觀的對需要優(yōu)化安全團(tuán)隊自兩年前開始采用開源軟件Suricata進(jìn)行流量異常監(jiān)測設(shè)備的自研。自研設(shè)備投產(chǎn)后苦于無法對產(chǎn)品能力進(jìn)行能力評估，無法看到產(chǎn)品實(shí)際效果。在安全驗(yàn)證平臺上線后，運(yùn)營團(tuán)隊圍繞著安全驗(yàn)證對自研流量探針的驗(yàn)證結(jié)果進(jìn)行產(chǎn)品與規(guī)則優(yōu)化，產(chǎn)品檢測能力自最初的32%提升到了78%。驗(yàn)證度量結(jié)果，形成了將安全防護(hù)能力的度量量化評價能力。指標(biāo)數(shù)據(jù)應(yīng)用于對防護(hù)短板的優(yōu)化依據(jù)、運(yùn)營策略調(diào)整參考以及運(yùn)營決策治理工作中的抓手。對分子公司與機(jī)構(gòu)的安全評估中，也成為了經(jīng)過數(shù)十年的發(fā)展和演變，某能源企業(yè)已成為我國重要的骨干型大規(guī)模集團(tuán)化公司。涉獵能源、投資、物流等多元化綜合性業(yè)務(wù)的經(jīng)營。企業(yè)經(jīng)營持續(xù)向好，伴隨著業(yè)務(wù)的快速發(fā)展和各分子公司的規(guī)?；瘮U(kuò)張，網(wǎng)絡(luò)安全風(fēng)險和問題已成為擺在管理者面前的重要課題。企業(yè)長期以來高度重視網(wǎng)絡(luò)安全的建設(shè)和應(yīng)用，從早期的以到基于縱深防御體系各類安全產(chǎn)品和平臺的層層部署，再到安全運(yùn)營和威脅情報聯(lián)動實(shí)現(xiàn)的基于平臺的各類安全編排自動化與響應(yīng)，企業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營單位，面臨著非常大的網(wǎng)絡(luò)安全防護(hù)壓力，每年都需要承擔(dān)國家重大事項工作期間的網(wǎng)絡(luò)安全保障任務(wù)。其中，近些年定期開展的國家護(hù)網(wǎng)行動的工作期間，都會作為每年全公司網(wǎng)絡(luò)安全最重要的保障任務(wù)之一。企業(yè)也會每年開展企業(yè)每年為迎接重保及護(hù)網(wǎng)工作需要投入大量的人員與經(jīng)歷對現(xiàn)有防護(hù)體系進(jìn)行摸排。在以往的摸排工作中，主要是圍繞著資產(chǎn)側(cè)的脆弱項進(jìn)行排查，對各個分子公司眾多防護(hù)設(shè)備策略及防御體系的有效性確認(rèn)一直是個盲區(qū)。之后開展的模擬攻防中依舊會暴露出各種問題，出現(xiàn)多個分子公司被突破的情況。在對各種問題復(fù)盤的過程中，發(fā)現(xiàn)很多的問題不是出在資源本身的漏洞問題上，而是因很多運(yùn)營過程中存在的人為失誤或配置不當(dāng)導(dǎo)致的防護(hù)體系未能。在護(hù)網(wǎng)與重保工作前的安全問題排查整改中，通過安全驗(yàn)證工具對現(xiàn)有所有安全設(shè)備防護(hù)能力進(jìn)行全面的排查，對防護(hù)體系中所存在的安全失效風(fēng)險進(jìn)行識別，作為整體排查整改工作。建立覆蓋主要防護(hù)設(shè)備與業(yè)務(wù)網(wǎng)絡(luò)區(qū)域的安全能力持續(xù)驗(yàn)證能力，避免在重保及護(hù)網(wǎng)期間安全防護(hù)能力突然出現(xiàn)失效的情。在重保與護(hù)網(wǎng)期間持續(xù)跟蹤最新熱點(diǎn)TTP情報，并基于自動化安全能力驗(yàn)證能力快速開展安全攻擊行為的防護(hù)缺口排查。根據(jù)企業(yè)實(shí)際縱深防御架構(gòu)的情況，在互聯(lián)網(wǎng)外側(cè)及內(nèi)部網(wǎng)絡(luò)分別部署了安全驗(yàn)證資源，發(fā)起對各類驗(yàn)證場景的模擬攻擊。同時形成自動化閉環(huán)驗(yàn)證能力，形成排查工作的結(jié)果依據(jù)，也作為后續(xù)持續(xù)監(jiān)控的自動化手段。另外，根據(jù)內(nèi)部網(wǎng)絡(luò)區(qū)域不同的安全策略的情況，分別部署了多個驗(yàn)證靶機(jī)作為實(shí)時開展驗(yàn)證工作的攻擊目標(biāo)，以降低對生產(chǎn)業(yè)務(wù)的影響。驗(yàn)證工作主要通過不同的場景覆蓋成，也有一部分是域名HTTPS證書未提前卸載導(dǎo)致全是加密。WAF策略開啟寬松，對一些常見的漏洞利用和繞過手法無法有效的檢測攔截，邊界防護(hù)中對漏洞利用攻擊的感知有較大?？偛考胺止镜牟糠至髁堪踩珯z測設(shè)備處理流量穩(wěn)定性不足，。發(fā)現(xiàn)內(nèi)部某網(wǎng)絡(luò)區(qū)域的交換機(jī)鏡像配置存在遺漏的情況，對。整體的防護(hù)措施上，對隱秘通信隧道、端口轉(zhuǎn)發(fā)類的情況預(yù)。發(fā)現(xiàn)郵件安全網(wǎng)關(guān)無法對投遞的rar壓縮包格式的遠(yuǎn)控木馬根據(jù)重點(diǎn)保障期間的工作部署要求，企業(yè)部署落實(shí)了不同運(yùn)營保障團(tuán)隊的工作要求，包括期間對安全配置與規(guī)則變更提出了更嚴(yán)格的流程管控，以確保排查整改后的安全能力持續(xù)有效。而作為輔助性監(jiān)控手段，增加了對安全防護(hù)情況實(shí)時巡檢監(jiān)控的措施，未發(fā)現(xiàn)因特殊情況下安全設(shè)備突然失效的情況出現(xiàn)。巡檢監(jiān)控整體策略。以單個安全驗(yàn)證用例每天一次周期性驗(yàn)證遍歷所有的驗(yàn)證靶?；隍?yàn)證研判標(biāo)準(zhǔn)覆蓋WAF、IPS、IDS、NTA、HIDS、。在事件運(yùn)營過程中，事先協(xié)商攻擊驗(yàn)證節(jié)點(diǎn)IP地址以及告在開展內(nèi)部攻防演練之前，僅使用一周的時間就完成了對安全防護(hù)措施的有效性驗(yàn)證工作。通過安全驗(yàn)證與內(nèi)部資產(chǎn)脆弱項工作根據(jù)在事前部署的安全監(jiān)控巡檢方案，持續(xù)對安全設(shè)備進(jìn)行驗(yàn)證確認(rèn)，確保了所有安全設(shè)備與保護(hù)措施能夠持續(xù)有效。在攻防演練、護(hù)網(wǎng)以及重保期間，發(fā)生過多起安全設(shè)備告警鏈路異常情況，護(hù)網(wǎng)期間頻繁出現(xiàn)新的攻擊手法與情報，企業(yè)已形成了完整的基于情報進(jìn)行封堵-驗(yàn)證的策略變更流程，確保整個護(hù)網(wǎng)期間的封在集團(tuán)范圍內(nèi)形成對各管轄分子公司的全網(wǎng)聯(lián)防聯(lián)控統(tǒng)管，形成基于攻擊效果的度量評價驗(yàn)證結(jié)果，實(shí)施掌握全網(wǎng)內(nèi)的安全防御防御的邊界不斷擴(kuò)大，每年的網(wǎng)絡(luò)防御成本也在上升。兩部委檢查考核、集團(tuán)監(jiān)管及創(chuàng)新要求、以及自身安全運(yùn)營需求，讓省公司運(yùn)營商企業(yè)開始考慮如何通過新技術(shù)方向能更好的在運(yùn)營效率和效果為此，某企業(yè)提出了安全防御有效性驗(yàn)證平臺新建項目的建設(shè)需求，在有效性、實(shí)時性、可用性等維度全面驗(yàn)證和監(jiān)測企業(yè)內(nèi)各種安全部署，從實(shí)戰(zhàn)攻防對抗角度開展持續(xù)性模擬攻擊驗(yàn)證，確保安全防護(hù)策略有效運(yùn)行；以自動化攻擊驗(yàn)證閉環(huán)為核心，保障縱深WAF已部署，但沒有將應(yīng)用全部納入，部分網(wǎng)站的策略未開已配置了規(guī)則策略，但實(shí)際攻防中并沒有生效，導(dǎo)致防護(hù)效果面對已部署的各類安全產(chǎn)品、規(guī)則策略，出現(xiàn)最新漏洞利用和攻擊事件是否能監(jiān)控到？安全防護(hù)能力現(xiàn)狀能不能量化