【知其安數(shù)世咨詢】安全有效性驗證能力白皮書

安全有效性驗證能力白皮書CybersecurityValidation 4 7 8 8 9 從互聯(lián)網(wǎng)業(yè)務(wù)邊界安全防護、到流量安全、主機安全、終端安全、郵件安全，從共享威脅情報，到統(tǒng)一運營管理，從用戶行為管網(wǎng)絡(luò)安全行業(yè)“最大的那條魚”，安全運營囊括了防護、檢測、響應(yīng)、恢復(fù)等各個階段，涵蓋了從工具、平臺、人到管理與流程的全部要素?？梢哉f安全運營既蘊含著安全建設(shè)過往發(fā)展的歷史，也代伴隨企業(yè)部署眾多安全防護產(chǎn)品的同時，在各類攻防對抗、紅藍演練中依然會暴露出各種問題，導(dǎo)致邊界被突破、權(quán)限被獲取，數(shù)據(jù)被泄露，靶標(biāo)被拿下甚至發(fā)生真實的信息安全事件，嚴(yán)重影響生產(chǎn)業(yè)務(wù)安全。為此，面對當(dāng)前已部署的各類安全防護措施，企業(yè)1.已部署的各類安全防護措施和基線是否有效？是否按照預(yù)期大多存在不同程度的“失去安全防護效力的情況”，這被稱之為造成防護失效的原因中，90%難以通過日常巡檢或依靠人工排查的方式發(fā)現(xiàn)異常，這些安全能力失效往往是在真實事件發(fā)生時才受重視或被感知。通過對大量案例和數(shù)據(jù)的分析，發(fā)現(xiàn)企業(yè)防護失針對各類安全防護必然存在失效或防護效力不及預(yù)期的問題，作為監(jiān)管側(cè)需要抓手，實現(xiàn)體系化、標(biāo)準(zhǔn)化的執(zhí)行監(jiān)督檢查職責(zé)，及時發(fā)現(xiàn)和暴露組織單位安全防護的失效情況，聯(lián)防聯(lián)控，降低行業(yè)整體風(fēng)險。作為承擔(dān)安全防護主體責(zé)任的企業(yè)單位，應(yīng)當(dāng)在常態(tài)化安全防護中持續(xù)檢驗和評估自身安全防御能力，及時發(fā)現(xiàn)防護和檢測缺失點，提升網(wǎng)絡(luò)安全整體防護能力。為此，“安全有效性驗證”作為全新的檢查評價機制應(yīng)運而生，既可以實現(xiàn)對企業(yè)單位已部署安全防護措施的自動化巡檢核查，又可以作為監(jiān)管單位的有效抓手。通過對安全設(shè)備、平臺、意識、流程等安全要素的有效性進行驗證、度量，安全運營體系中的短板得以暴露，安全運營的價值得以體現(xiàn)。驗證是手段，度量是價值?？梢哉f，安全運營的靈魂即是驗證與度量。安全有效性驗證使得安全運營最重要的一塊拼圖得以近兩年來，業(yè)內(nèi)已經(jīng)先后涌現(xiàn)出專門滿足這一需求的初創(chuàng)安全企業(yè)，逐漸形成了安全有效性驗證的創(chuàng)新賽道。在數(shù)世咨詢發(fā)布的了初步闡述。本報告將對“持續(xù)評估定義安全運營”中的主要技術(shù)路報告由北京知其安科技有限公司（下文簡稱“知其安”）與北京勘誤與交流溝通請聯(lián)系郵箱：liuchenyu@為保持本報告內(nèi)容的統(tǒng)一性，這里先列出業(yè)內(nèi)目前常見的一些相關(guān)術(shù)語及其描述，如安全有效性驗證、BAS、攻擊驗證節(jié)點、靶?安全有效性驗證（CybersecurityValidati安全有效性驗證是通過入侵與攻擊模擬技術(shù)，構(gòu)造各類型實戰(zhàn)攻擊手法，對企業(yè)已部署的各類安全防護措施及規(guī)則策略開展全面的模擬攻擊驗證，通過對攻擊結(jié)果的匯集分析評估網(wǎng)絡(luò)安全縱深防以模擬仿真的體系化安全攻擊手段，評估驗證安全運營體系發(fā)現(xiàn)威脅的能力。單獨描述BAS時，BAS可視為獨立產(chǎn)品，而對于承擔(dān)模擬攻擊者執(zhí)行攻擊的角色，發(fā)起各類攻擊驗證動作。根據(jù)不同的驗證場景，攻擊驗證節(jié)點的部署點可位于云端、互聯(lián)網(wǎng)、承擔(dān)被攻擊或攻擊指向的角色，提供被攻擊后的響應(yīng)和反饋，以及攻擊過程中的相關(guān)記錄和信息反饋?？梢允荱RL/IP（虛擬靶負責(zé)接收上述各類節(jié)點的回傳數(shù)據(jù)，通過結(jié)合SIEM/SOC/態(tài)定，并基于行業(yè)最佳實踐的驗證知識庫進行比對，對判定結(jié)果中的2017年，Gartner在發(fā)布的《面向威脅技術(shù)的成熟度曲線》（HypeCycleforThreat-FacingTechnologies）中首次出現(xiàn)BAS入侵與攻擊模擬（BreachandAttackSimulation）概念，2021及2022年，“Gartner在《2021年八大安全和風(fēng)險管理趨勢》、2021及2022《安全運營技術(shù)成熟度曲線》等報告中，連續(xù)提到BAS技術(shù)的必要性，預(yù)測BAS將成為IT安全建設(shè)重要技術(shù)手段?！?023年，Gartner最新的2023年網(wǎng)絡(luò)安全趨勢提到的9大趨勢中，“CybersecurityValidation網(wǎng)絡(luò)安全驗證”成為重要元素之一，從BAS技術(shù)框架的提出，到網(wǎng)絡(luò)安全驗證，真正落地實現(xiàn)圖3Garnter報告摘錄在Gartner《2024安全和風(fēng)險管理技術(shù)路線圖》中，BAS同樣被認(rèn)為對企業(yè)具有高價值且處于快速發(fā)展成熟階段。代表企業(yè)有AttackIQ、Cymulate、SafeBreach以及被Google收購的Mandiant等。在2024年7月最新發(fā)布的《HypeCycleforSecurityOperations，2024》中，BAS與Autonomouspenetrationtestingandredteaming等概念一起，被合并入對抗性暴露驗證（AdversarialExposureValidation-AEV），由此，BAS的落腳點由模擬（simulation）升級為驗證（validation），朝著效果與價值的方向更進一步。此外，合并后新命名的AEV處在成熟度參照上述國外各個相關(guān)概念的演進，據(jù)數(shù)世咨詢調(diào)研，目前國內(nèi)相關(guān)能力企業(yè)的基因有行業(yè)最佳實踐、自動化滲透、仿真靶場等在實際交付時，會根據(jù)不同水平的機構(gòu)用戶需求，結(jié)合成不同的解在金融等行業(yè)有多年深耕經(jīng)驗積累的安全創(chuàng)業(yè)團隊，憑借其核心成員在一線安全運營場景中的行業(yè)最佳實踐，積累了大量從日常安全運營、實網(wǎng)演習(xí)、重保演練、實戰(zhàn)攻防中提煉總結(jié)出的驗證用例，這些用例在同行業(yè)同場景中有非常高的驗證“命中率”，加以自動化的驗證平臺，可以有效發(fā)現(xiàn)同行業(yè)機構(gòu)用戶的失效點，提升其安全運營整體有效性，為同行業(yè)機構(gòu)用戶提供持續(xù)的有效性驗證能階段，也引入了威脅情報、攻擊面管理等新的技術(shù)能力，其特點是能夠以外部攻擊者視角對機構(gòu)用戶的實際業(yè)務(wù)系統(tǒng)發(fā)起攻擊，進而通過殺傷鏈上的信息搜集、漏洞利用、跳板終端、網(wǎng)絡(luò)節(jié)點、主機應(yīng)用等環(huán)節(jié)，深入到內(nèi)網(wǎng)業(yè)務(wù)主機，可以一定程度替代人工滲透的“仿真靶場”大多由網(wǎng)絡(luò)靶場、數(shù)字靶場賽道的企業(yè)發(fā)展而來，其優(yōu)勢在于對機構(gòu)用戶現(xiàn)行安全運營體系中網(wǎng)絡(luò)架構(gòu)、終端系統(tǒng)等運行環(huán)境的高度仿真。結(jié)合多年多項賽事中所積累的攻防技戰(zhàn)法轉(zhuǎn)化而來的驗證劇本，該路線在安全運營體系中，特別是安全運營團隊的人員能力有明顯的驗證效果，可以有效發(fā)現(xiàn)運營團隊的響應(yīng)短不論采用哪種技術(shù)路線，國內(nèi)這一賽道的共同特點是都更為貼近用戶的實際需求：一方面，已經(jīng)有較多安全廠商推出了自動化滲透測試產(chǎn)品，在實網(wǎng)攻防演練中配合攻擊隊已有較廣泛應(yīng)用；另一方面，安全有效性驗證開始進入市場普遍接受和快速發(fā)展的階段，越來越多的安全運營團隊開始通過自動化的驗證，用以評估當(dāng)前的防御能力與實際效果。代表行業(yè)有金融、監(jiān)管、能源電力、運營商等，下一小節(jié)將針對各行業(yè)的需求分別敘述，接下來，我們先看下在數(shù)世咨詢發(fā)布的《能力指南-持續(xù)評估定義安全運營》報告中，數(shù)世咨詢將自動化滲透測試、安全有效性驗證等細分領(lǐng)域統(tǒng)一以“持續(xù)評估定義安全運營”概念進行統(tǒng)計，目前該賽道在國內(nèi)的市場份額已經(jīng)過億，同比增長率高達440%，同時數(shù)世咨詢認(rèn)為在接世咨詢《中國數(shù)字安全產(chǎn)業(yè)年度報告2023》中的統(tǒng)計數(shù)據(jù)，同時參考金融、政府監(jiān)管、能源電力、運營商等行業(yè)安全運營投入、持從國內(nèi)各行業(yè)對安全有效性驗證的需求情況來看，根據(jù)數(shù)世咨詢《能力指南-持續(xù)評估定義安全運營》報告圖5：行業(yè)需求占比-持續(xù)評估定義安全運營目前作為需求占比最高的行業(yè)，安全有效性驗證的需求主要來源于實戰(zhàn)化安全運營、實網(wǎng)攻防演練等場景，金融行業(yè)自身屬于強監(jiān)管行業(yè)，且內(nèi)生安全需求較高，推動整體安全建設(shè)相對較早、較快的發(fā)展，用戶安全運營的成熟度不論從團隊意識到實際運營水平安全有效性驗證對金融行業(yè)帶來的價值更多體現(xiàn)在降本增效，在無需追加人員的前提下實現(xiàn)對已有驗證手段（人工滲透、紅藍對抗）的全面補充，同時指導(dǎo)來年安全建設(shè)預(yù)算方向，量化防御能力。以27%的需求占比排名第二，其有效性驗證的需求主要以All臨潛在的國家級網(wǎng)絡(luò)攻防對抗風(fēng)險，因此通過安全有效性驗證對自安全有效性驗證對政府監(jiān)管行業(yè)帶來的價值是解決相關(guān)監(jiān)管單位對國家關(guān)鍵信息基礎(chǔ)設(shè)施及重要單位缺少標(biāo)準(zhǔn)化防護能力檢查評估工具的問題，能夠發(fā)現(xiàn)和整改組織單位網(wǎng)絡(luò)安全防護建設(shè)中的深作為關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的代表，同時具備金融與政府監(jiān)管兩個行業(yè)的需求特點，無論是國家級網(wǎng)絡(luò)攻防對抗風(fēng)險，亦或?qū)崙?zhàn)化安全運營需求，在能源電力行業(yè)都能看到，因此其成為近年來另安全有效性驗證對能源電力行業(yè)帶來的價值主要體現(xiàn)在“自動化安全巡檢”。該行業(yè)普遍存在“業(yè)務(wù)體量巨大但安全團隊較小”的情況，面對嚴(yán)峻的安全形勢，安全團隊實際工作壓力很大。借助平臺自動化高效實現(xiàn)“安全有效性”巡檢，即類似自動化運維，實現(xiàn)安全運營常態(tài)化的“自動化巡檢”；同時第一時間可以獲得新的攻擊方式和漏作為業(yè)務(wù)連續(xù)性要求最高的行業(yè)之一，行業(yè)集中度高，集采項目金額大，因此安全有效性驗證需求作為眾多數(shù)字安全新賽道之一，也開始逐步走進運營商用戶的視野，運營商作為網(wǎng)絡(luò)通信基礎(chǔ)架構(gòu)的建設(shè)和運營方，承擔(dān)各類骨干網(wǎng)和關(guān)鍵節(jié)點的通信保障，安全防護不容任何閃失，尤其面對近期勒索事件頻發(fā)、外部威脅局勢嚴(yán)峻，針對安全防護措施的可用性、可靠性、有效性檢查評估已在各類通安全有效性驗證對運營商行業(yè)帶來的價值主要體現(xiàn)在各省公司復(fù)雜網(wǎng)絡(luò)架構(gòu)下，布防的眾多類型的安全設(shè)備和措施是否都實時有效。集團對各省公司的安全防護能力進行評價或考核，并給予針對安全有效性驗證通過最佳實踐驗證用例的比對，或在不同網(wǎng)絡(luò)域單獨部署驗證節(jié)點（攻擊角色和靶標(biāo)角色），無害化開展持續(xù)的模擬攻擊驗證，形成自動化規(guī)則策略驗證閉環(huán)，實現(xiàn)安全防護措施的有效性驗證，確保網(wǎng)絡(luò)安全配置、安全設(shè)備、安全策略等按照預(yù)企業(yè)當(dāng)前已部署各類安全產(chǎn)品和平臺，涉及各類主流安全廠商作為供應(yīng)商，提供產(chǎn)品和技術(shù)服務(wù)。很大程度上，當(dāng)前依賴于這些安全產(chǎn)品的能力，實現(xiàn)對威脅和攻擊的檢測和攔截。從安全有效性驗證的角度出發(fā)，是對當(dāng)前已部署的各類安全產(chǎn)品、平臺、規(guī)則策略等的有效性進行驗證評估，第三方中立性是重要支撐點。目前已經(jīng)有部分安全大廠關(guān)注“安全有效性驗證”賽道，投入一些資源開拓，但對于新的方向，賽道和客戶需求還沒有標(biāo)準(zhǔn)化，大廠缺少耐心培育市場，支持力度很有限。最重要的一點是：第三方公正性。部分廠商既做安全防護產(chǎn)品，又做安全有效性驗證，既做守門員，又做裁判員。該類廠商做安全有效性驗證，評價自己的安全產(chǎn)品配置、安全有效性驗證是比較新的技術(shù)手段，是基于自動化攻擊模擬技術(shù)框架形成的最佳實踐。區(qū)別于傳統(tǒng)防御視角，安全有效性驗證需要對攻擊原理、攻擊手段、攻擊方式、攻擊工具以及各類漏洞利用都有深入的研究和積累。針對攻擊側(cè)的研究需要有深度的技術(shù)底蘊和豐富的實戰(zhàn)積累，更需要投入大量時間和人力來研究落地。同時還要具備豐富的安全建設(shè)運營經(jīng)驗，并且能將頭部用戶先進的安當(dāng)模擬攻擊打出，需要清晰了解甲方攔截和告警的預(yù)期結(jié)果。這需要研究各網(wǎng)絡(luò)安全廠商安全產(chǎn)品的防御機制和原理，橫向收集各網(wǎng)絡(luò)安全廠商主流安全產(chǎn)品的檢測、攔截、阻斷反饋數(shù)據(jù)，包括：響應(yīng)頁面、返回代碼、特殊返回字符或部分API接口等，這樣才能自動化的準(zhǔn)確判斷攔截、檢測結(jié)果，才能實現(xiàn)安全有效性驗證的自動化閉環(huán)。該技術(shù)實現(xiàn)門檻較高，不僅需要有較強的攻擊技術(shù)能力和攻防實戰(zhàn)積累，更關(guān)鍵的是要求具備豐富的安全運營經(jīng)驗和視角，能夠清晰了解企業(yè)安全工作建設(shè)、安全運營工作開展過程中，會在哪些方面存在安全措施和策略的可能失效點，并通過安全驗證手段所以在考慮現(xiàn)有資源和實際需求的情況下，應(yīng)重點關(guān)注該領(lǐng)域安全有效性驗證必須實現(xiàn)無害化，目的是對已經(jīng)部署的各類安全防護措施的驗證，而不是對生產(chǎn)業(yè)務(wù)系統(tǒng)實行真實的傷害性攻擊。需要對各類攻擊手法進行無實際傷害的模擬，同時又需要使其保留攻擊特征。驗證節(jié)點使用實體靶機時，需在生產(chǎn)網(wǎng)內(nèi)申請?zhí)摂M機或者物理機，策略配置和生產(chǎn)網(wǎng)業(yè)務(wù)主機保持一致，但是不能使用真正跑業(yè)務(wù)的主機作為靶機進行驗證。驗證使用的技術(shù)包括但不限于安全有效性驗證帶來的最大改進之一是能夠持續(xù)評估態(tài)勢的能力。它消除了單點時間評估的缺點，取而代之的是，可以以高度自動化的方式進行驗證，在發(fā)生配置更改或告警失效時立即通知安全安全有效性驗證應(yīng)該以自動化為核心，構(gòu)建實戰(zhàn)化、體系化、常態(tài)化的安全有效性攻擊驗證節(jié)點機制。通過在企業(yè)內(nèi)部構(gòu)造不同的模擬攻擊驗證場景，對已部署的各類安全防護措施及規(guī)則策略開展全面的模擬攻擊驗證，形成可量化、可持續(xù)、可運營的安全有效性驗證體系，實現(xiàn)自動化攻擊模擬、自動化閉環(huán)分析、自動化結(jié)果輸出。驗證平臺的部署實施、驗證任務(wù)的下發(fā)、驗證動作的執(zhí)行、驗證結(jié)果的比對、以及驗證報告的生成等功能都應(yīng)當(dāng)是充分自動化在這些自動化能力基礎(chǔ)上，安全團隊就可以利用累計發(fā)現(xiàn)的多個失效點，按照時間線維度，分解故障背后的真實原因，提高整個系統(tǒng)的彈性與韌性。且在面臨業(yè)務(wù)迭代、IT環(huán)境變化、策略規(guī)則升安全有效性驗證不能只是單純的攻擊發(fā)出，而依賴人工進行結(jié)果的確認(rèn)和判斷。需要基于平臺實現(xiàn)自動化的機制，從模擬攻擊的發(fā)出，到防御體系產(chǎn)生的各類攔截、阻斷、告警響應(yīng)等生成的各類日志信息，形成完整驗證鏈路。不需要額外的人員投入，通過自動化的方式實現(xiàn)攻擊場景構(gòu)建、任務(wù)調(diào)度、事件日志獲取與分析評估，證BAS是攻防對抗層面的驗證，通過模擬可能由黑客或不法分子實施的網(wǎng)絡(luò)攻擊，通過內(nèi)置的模擬攻擊腳本及行為，執(zhí)行正面攻防對抗的驗證評估。從安全運營角度來看，還需要補充對各類規(guī)則策略繞過的驗證，即非攻防對抗的驗證。如網(wǎng)絡(luò)隔離策略的驗證，驗通過場景的模擬和構(gòu)造實現(xiàn)自動化的對規(guī)則策略的有效性進行驗證。業(yè)內(nèi)大部分該領(lǐng)域的能力者會參考MITRE的ATT&CK框架等知識庫，覆蓋APT高級威脅的攻擊戰(zhàn)術(shù)、技術(shù)和程序。但除此之外，基于行業(yè)最佳實踐的驗證用例的覆蓋與積累是安全有效性驗證的首要關(guān)鍵成功因素。即應(yīng)當(dāng)結(jié)合國內(nèi)近幾年的兩大場景——實網(wǎng)攻防演練與數(shù)字化轉(zhuǎn)型——基于最佳實踐來組織安全有效性驗證針對實網(wǎng)攻防演練，通過持續(xù)收集往年演練活動中的攻擊思路、攻擊工具、攻擊鏈路等要素，整理為高度仿真的驗證用例；針對數(shù)字化轉(zhuǎn)型，重點考慮轉(zhuǎn)型過程中的業(yè)務(wù)上云，資產(chǎn)數(shù)字化等導(dǎo)致的攻擊面擴大，覆蓋身份、網(wǎng)絡(luò)、存儲和控制臺訪問等關(guān)鍵點，避免因為行業(yè)最佳實踐具備明顯的場景化特點，所以在某個行業(yè)頭部用戶使用較多的安全有效性驗證產(chǎn)品，在這個行業(yè)的驗證場景用例會更具有行業(yè)屬性，能夠?qū)⑿袠I(yè)頭部用戶的運營經(jīng)驗以驗證產(chǎn)品攻防是持續(xù)對抗的過程，需要對各類攻擊有全面的深入研究和工程化實現(xiàn)。需要對最新的各類攻擊原理，攻擊手段，攻擊方式，攻擊工具，以及各類漏洞利用都有持續(xù)的，實時的研究和用例開發(fā)上線。用例的更新和上線，需要由專業(yè)化的團隊運營，做到7X24小時持續(xù)更新和發(fā)布，確保我行能夠第一時間對最新的攻擊進行驗通過安全有效性驗證發(fā)現(xiàn)失效和各類問題后，需要給出對應(yīng)的針對性解決建議，解決建議的核心同樣應(yīng)該是來自行業(yè)最佳實踐。要求安全有效性驗證廠商具備充分的行業(yè)安全驗證實踐，基于眾多在明確了安全有效性驗證的八個主要成功因素之后，這里還要重點厘清安全有效性驗證與漏洞掃描、滲透測試乃至攻防演練等傳眾所周知資產(chǎn)有脆弱性（含漏洞、弱口令、未授權(quán)訪問等），因為資產(chǎn)有脆弱性，所以我們部署了一系列安全防護產(chǎn)品和措施，希望能及時的檢測和阻斷攻擊，但近年來的實網(wǎng)攻防中會發(fā)現(xiàn)，經(jīng)常出現(xiàn)攻擊未檢測到、未告警，攻擊沒攔截的情況，導(dǎo)致安全風(fēng)險事件發(fā)生。因此，安全事件的發(fā)生是由兩個因素疊加形成的：資產(chǎn)針對資產(chǎn)的脆弱性，傳統(tǒng)做法是基于滲透和紅藍對抗、漏掃等發(fā)現(xiàn)一些資產(chǎn)的漏洞問題，是以漏洞視角來發(fā)現(xiàn)資產(chǎn)的脆弱性。一直以來缺少一個體系化的機制對已經(jīng)部署的各類安全防護體系的脆技術(shù)可以很好地解決。通過在企業(yè)內(nèi)部自行構(gòu)造各類模擬攻擊驗證場景，主動觸發(fā)防御體系，主動觸發(fā)產(chǎn)生告警和攔截事件，驗證已源害傷害系統(tǒng)的情況度段漏洞掃描：對象是各類應(yīng)用資產(chǎn)，目標(biāo)是發(fā)現(xiàn)這些應(yīng)用資產(chǎn)上是否存在已知的漏洞。主要以發(fā)包的方式通過掃描和探測，與已知安全有效性驗證：對象是各種安全防護產(chǎn)品策略和運營平臺，目標(biāo)是及時發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測而未檢測”的情況。通過基于BAS的自動化攻擊模擬來實現(xiàn)，通過構(gòu)造各種模擬攻擊漏洞利用、攻擊手法、攻擊工具等，來觸發(fā)安全防護的各類檢測和告警，核心是安全防護措施。從而讓安全運營人員及時了解當(dāng)前已安全有效性驗證與滲透測試是沒有替代性的，完全不同且可相滲透測試：是通過人工+工具的方式，挖掘業(yè)務(wù)資產(chǎn)漏洞，并找到可被利用的方式。從時間頻度來說，是偶發(fā)的，一年只有幾次。執(zhí)行滲透測試任務(wù)時，通常是會在防護措施上將攻擊源加白，避免用可以突破，就直接利用，對于潛在的可能存在其他漏洞利用就不需要關(guān)注和嘗試了，因為滲透目標(biāo)已經(jīng)達成，且時間成本，人力成攻防演練：使用的與滲透測試的技術(shù)一部分是相同的，但是更接近真實場景，偏向于實戰(zhàn)，面對的場景復(fù)雜、技術(shù)繁多。側(cè)重黑盒方式進行漏洞挖掘+繞過防御體系，毫無聲息達成獲取業(yè)務(wù)權(quán)限或數(shù)據(jù)的目標(biāo)。不求發(fā)現(xiàn)全部風(fēng)險點，因為攻擊動作越多被發(fā)現(xiàn)的概率越大，一旦被發(fā)現(xiàn)，防守方就會把攻擊方踢出戰(zhàn)場。攻防演練的目的是檢驗在真實攻擊中縱深防御能力、告警運營質(zhì)量、應(yīng)急處置安全有效性驗證：是從全覆蓋面出發(fā)結(jié)合縱深防御，對已經(jīng)部署的各類安全防護體系的驗證。通過白盒方式觸發(fā)安全防護的各類檢測和告警，及時發(fā)現(xiàn)“應(yīng)告警而未告警”“應(yīng)檢測而未檢測”的情況。面向縱深防御各個維度，實現(xiàn)體系化、標(biāo)準(zhǔn)化、自動化的對現(xiàn)有已部署的各類安全防護進行防護有效性驗證，給出評估度量讓安全運營人員及時和全面的掌握現(xiàn)有安全防護水準(zhǔn)。通過持續(xù)常態(tài)化驗證，傳統(tǒng)基于少量場景，碎片化的攻擊手法的驗證，確實可以用戶自己做。但是，鑒于“黑盒驗證的局限性”“人工白盒驗證的局限性”，仍然建議專業(yè)的事交給專業(yè)的人做，何況是全覆蓋面的驗證無法依日志做自動化的閉環(huán)匹配，這樣就不需要人工參與判斷。各類設(shè)備和策略的日志自動閉環(huán)驗證匹配，是需要比較大的開發(fā)門檻和維護（2）安全檢測能力驗證一來依賴很多資深的安全技術(shù)和研發(fā)參與，從投入的資源來說，廣度、深度和及時性等都會比廠商弱很多。且如果通過手動方式執(zhí)行驗證勢必會浪費很多時間，也無法重復(fù)執(zhí)行。而通過這種平臺化的能力，能夠快速的實現(xiàn)相關(guān)驗證。相當(dāng)于通過有效性驗證平臺能夠?qū)⑿袠I(yè)最關(guān)心的安全運營場景和攻擊手法以技術(shù)手段開展有效性驗證的總體思路是，基于安全防護措施的范圍與目標(biāo)，制定能夠觸發(fā)防護控制效果的模擬行為，結(jié)合防護措施實際的響應(yīng)結(jié)果，能夠?qū)崿F(xiàn)自動化閉環(huán)并給出驗證結(jié)果評價?？刂拼胧┰O(shè)計的預(yù)期結(jié)果為評價基準(zhǔn)，實際攻防的結(jié)果是評價依據(jù)，達到對防護措施的客觀度量評價。通過將防護能力進行度量可視化，將安全防護能力可以“看得見”及“可評價”，才能形安全有效性驗證的核心邏輯是“攻擊與繞過場景構(gòu)造”和“防護響基于平臺工具，通過攻擊驗證節(jié)點向被驗證對象發(fā)起驗證，對已部署的各類安全措施發(fā)起無害化模擬攻擊，基于日志事件的分析，判斷安全防護措施對本次驗證的響應(yīng)情況，以評估整體防護響應(yīng)檢1.有效：對本次發(fā)起的模擬攻擊驗證，正常檢測或阻告警信息或攔截事件，未觸發(fā)相關(guān)規(guī)則策略；或策略被成功繞過，安全有效性驗證平臺是集安全措施展示、監(jiān)控與驗證于一體的通過攻擊模擬驗證，確定安全設(shè)備及規(guī)則檢測鏈路是否正常工作，對重要安全防護措施進行過程驗證：邊界防護、流量安全、主設(shè)備/系統(tǒng)的日志獲取和告警方式以白盒的方式進行有效性驗證。過程驗證可以在第一時間內(nèi)進行溯源，定位出現(xiàn)問題的位置，保障安結(jié)合現(xiàn)有的紅藍對抗等驗證安全防護是否真實生效；為驗證防護措施規(guī)則的有效性，選取以結(jié)果驗證的方式進行，在融合現(xiàn)有運營措施（滲透測試、紅藍對抗、眾測、漏掃、巡檢等）的基礎(chǔ)上，新增實時動態(tài)展示安全有效性驗證結(jié)果，第一時間掌握安全防護有效性。從防護措施分級，到防護措施展示，再到獲取驗證監(jiān)控結(jié)果，直至最后失效措施告警，都依托于拓撲結(jié)構(gòu)進行可視化展示，不但可以明確現(xiàn)有安全措施依據(jù)重要程度的分級情況，還可以直觀的看安全有效性驗證平臺可開展獨立的攻擊模擬驗證，既可以通過也可以直接與安全設(shè)備通過syslog對接日志，來判斷安全設(shè)備監(jiān)測和防護的告警狀態(tài)，識別和驗證安全設(shè)備的有效性與整體安全能力。通過在不同網(wǎng)絡(luò)域單獨部署攻擊驗證節(jié)點和靶標(biāo)驗證節(jié)點，實現(xiàn)無害化的持續(xù)攻擊驗證，形成自動化規(guī)則策略驗證閉環(huán)，實現(xiàn)安全防護、檢測等安全設(shè)備的有效性驗證，確保網(wǎng)絡(luò)安全配置、安全驗證平臺是服務(wù)端、攻擊驗證節(jié)點、靶標(biāo)驗證節(jié)點三部分分離1.服務(wù)端負責(zé)驗證任務(wù)創(chuàng)建、任務(wù)調(diào)度、任務(wù)下發(fā)、驗證結(jié)果分析及展示、靶標(biāo)驗證節(jié)點和攻擊驗證節(jié)點管理、驗證場景創(chuàng)建和2.攻擊驗證節(jié)點負責(zé)模擬攻擊者對目標(biāo)靶標(biāo)驗證節(jié)點發(fā)起攻擊3.靶標(biāo)驗證節(jié)點作為被攻擊端，用來充分驗證安全防御檢測能力、安全策略運行的有效性等；靶標(biāo)驗證節(jié)點上無任何真實生產(chǎn)業(yè)務(wù)，但部署有和真實環(huán)境一致的安全防護措施及軟件。靶標(biāo)驗證節(jié)步安全設(shè)備資產(chǎn)信息、同步告警日志，接收系統(tǒng)驗證結(jié)果，判斷安安全有效性驗證用例是對安全防護措施開展檢查與評價的最小單元。每個安全驗證用例可能是一次入侵攻擊嘗試、惡意文件植入、危險命令執(zhí)行、系統(tǒng)賬號破解等外部入侵動作，也可能是配置文件變更、違規(guī)網(wǎng)絡(luò)連接、開發(fā)代碼包含漏洞、敏感數(shù)據(jù)泄露、違規(guī)運維操作等違背管控紅線的違規(guī)行為。根據(jù)這種不同視角，安全用例1.基于攻擊視角的入侵攻擊模擬用例：攻基于入侵與攻擊模擬BAS技術(shù)框架構(gòu)建模擬黑客的各行為。來自外部人員的入侵攻擊與防護體系形成一種競爭對抗，規(guī)劃驗證用例時需要把工作重心放在對攻擊手法的覆蓋度以及熱點攻擊行為跟蹤的及時性上。作為已知攻擊技戰(zhàn)術(shù)的集合，ATT&CK框架已成為各方評估攻防技術(shù)覆蓋情況應(yīng)用最廣泛的工具。相同的，安全有效性驗證對攻擊技戰(zhàn)術(shù)的驗證覆蓋情況，也同樣可參考該框?qū)τ谛屡兜募紤?zhàn)術(shù)情報或漏洞，因防守方修復(fù)需要一定時間導(dǎo)致出現(xiàn)一段窗口期。通常每逢比較嚴(yán)重的漏洞被披露時，網(wǎng)絡(luò)會出現(xiàn)大量嘗試?yán)迷摯翱谄谶M行初步邊界突破的攻擊行為。安全驗證用例則需要在真實攻擊者發(fā)起此類攻擊行為前，以相同的攻擊手2.基于防御視角的違規(guī)行為模擬用例：策略繞過基線檢查對于違規(guī)行為的模擬時，所面臨的最大的挑戰(zhàn)是違規(guī)動作的不這里應(yīng)優(yōu)先選擇那些對企業(yè)會產(chǎn)生較大影響的紅線規(guī)則，這樣有利于資源調(diào)配，最大化驗證資源投入的性價比。同時可優(yōu)先選擇采取了技術(shù)控制措施的規(guī)則進行驗證，這類有技術(shù)驗證目標(biāo)的驗證用例會更有技術(shù)可落地性。面向規(guī)則的驗證用例設(shè)計方法屬正向設(shè)計思路，即根據(jù)需要驗證的規(guī)則模擬破壞其規(guī)則用例即可，相比較另外，對于一些主動意愿較強的違規(guī)行為模擬，則因相關(guān)的動作軌跡與特征本身屬于未知的狀態(tài)，此類驗證用例設(shè)計需要更富創(chuàng)造力與想象力。因違規(guī)主體的目的是繞過各類防護規(guī)則，甚至有些人會對公司的防護策略有一定了解，譬如高權(quán)限運維人員或者公司高管。這類驗證用例所對抗的是各式各樣的人性與個體，其設(shè)計過程更多的需要參考業(yè)務(wù)風(fēng)控模型的建設(shè)思路，圍繞著核心業(yè)務(wù)的保障訴求，對“異?！钡臉I(yè)務(wù)操作進行模擬。這里的異常涉及非常強的業(yè)務(wù)屬性，可能是一些頻率異常、時間地點異?；蛘邩I(yè)務(wù)邏輯上的3.對驗證用例的結(jié)果校驗邏輯閉環(huán)設(shè)計每個驗證用例需要不同的技術(shù)實現(xiàn)環(huán)境，也導(dǎo)致其獲取校驗數(shù)據(jù)的格式與方式都有所不同。對于驗證用例需要明確如何判斷驗證對于“預(yù)期”的設(shè)計要有處置結(jié)果、響應(yīng)覆蓋、時效延遲等不同維度的考慮。同時，在“結(jié)果”的解析過程上也需要建立對應(yīng)的規(guī)則或者校驗邏輯首先從結(jié)果上不能出現(xiàn)模糊結(jié)論?；诠裟M的有效性驗證結(jié)果應(yīng)該只有“有效”或者“失效”兩種結(jié)果，不能出現(xiàn)類似“可能有效”的結(jié)論。如存在數(shù)據(jù)質(zhì)量問題時，應(yīng)優(yōu)先采取數(shù)據(jù)過濾或清洗等策略，對于無法獲取到明確數(shù)據(jù)時，應(yīng)先將驗證結(jié)果進行無效化。對于指標(biāo)類的驗證結(jié)果數(shù)據(jù)（如響應(yīng)時間、延遲時間）等，也需要將驗證獲取數(shù)據(jù)形成明確的數(shù)據(jù)，也可以設(shè)置指標(biāo)數(shù)據(jù)的基在驗證任務(wù)的執(zhí)行過程中，需要根據(jù)企業(yè)基于風(fēng)險偏好的安全驗證需求，設(shè)置任務(wù)調(diào)度的各類策略與參數(shù)設(shè)定。根據(jù)任務(wù)執(zhí)行策略，需要以自動化批處理引擎執(zhí)行驗證任務(wù)與度量結(jié)果的計算。任。驗證用例范圍/場景的選擇：根據(jù)驗證對象與期望產(chǎn)出的度量。驗證目標(biāo)的選擇：驗證用例通常是基于某類防護措施或者場景而設(shè)計，而具體執(zhí)行驗證任務(wù)時需要將類型具象化到對應(yīng)的具。驗證路徑的選擇：需要驗證的對象與目標(biāo)，會影響驗證任務(wù)。計劃任務(wù)策略的制定：執(zhí)行計劃策略通常包括執(zhí)行周期、執(zhí)驗證場景是對安全驗證訴求最直接的反映，是為了滿足實現(xiàn)安全驗證應(yīng)用價值而組成的整合方案。安全驗證場景是由安全驗證用例組成，但不是單純的安全驗證用例的排列組合。根據(jù)驗證應(yīng)用場景下的需要，除了需具備基本的安全驗證用例外，還需要對不同的現(xiàn)在的態(tài)勢感知都是基于攻擊視角，識別攻擊行為，針對攻擊事件進行處置。缺乏防御視角的可視化展示，無法快速了解防御體現(xiàn)在，依據(jù)既定的批量計劃任務(wù)，安全團隊可以每十分鐘或每小時執(zhí)行一次預(yù)設(shè)的驗證場景，以此持續(xù)監(jiān)控不同場景下的安全性能，并及時發(fā)現(xiàn)潛在問題，例如“安全設(shè)備短暫中斷”、“實時檢測功能延遲”以及“功能模塊異?！钡?。每月，通過在現(xiàn)網(wǎng)環(huán)境中使用攻擊驗證節(jié)點對靶標(biāo)驗證節(jié)點發(fā)起模擬攻擊，并借助自動化閉環(huán)分析來評估結(jié)果，運營團隊能夠根據(jù)驗證報告為失效策略制定改進計劃并通過常態(tài)化的有效性驗證，可以檢驗安全策略在真實環(huán)境中的效能和穩(wěn)定性，形成基于攻擊效果的度量評價驗證結(jié)果。將這些結(jié)果數(shù)據(jù)以圖形化的方式展現(xiàn)；每一個真實的防御部署可看到動態(tài)變化的防御能力，形成基于防護場景的總覽視圖，基于真實防護拓撲的大屏視圖，實施掌握全網(wǎng)內(nèi)的安全防御能力，實現(xiàn)“一張網(wǎng)、一張在勒索防護能力提高方面，已經(jīng)加強終端、網(wǎng)絡(luò)、邊界側(cè)的針對性防護措施，例如增加了防勒索模塊、增加了漏洞排查的頻率等，防護能力有了一定的提高，但效果如何？還需要建立常態(tài)化、自動化的檢查機制，不斷的發(fā)現(xiàn)脆弱點，及時的修正，形成螺旋式上升的局面，不斷的提高防護能力。通過模擬勒索軟件從感染植入、傳播擴散到加密勒索這三個關(guān)鍵階段的多種行為模式，系統(tǒng)地收集已部署防御體系的攔截與告警數(shù)據(jù)。隨后，利用自動化比對技術(shù)，對這些攔截和告警結(jié)果進行深入分析，量化評估防御體系對勒索組織各類動作與行為的有效攔截率及告警準(zhǔn)確性。真實反映企業(yè)的勒索在感染植入階段，全面模擬勒索軟件入侵的初始步驟，以檢驗防御體系的初步響應(yīng)能力。在邊界防護層面，通過勒索常見的高危漏洞的攻擊，模擬黑客利用這些漏洞對邊界進行驗證。同時，在郵件安全方面，模擬多種形式的勒索病毒郵件攻擊，包括偽裝成合法郵件、附帶惡意附件或鏈接等，驗證郵件安全效果。此外，在終端和主機層面，通過多種勒索軟件家族樣本和域名請求模擬，驗證終進入傳播擴散階段，重點模擬勒索軟件在企業(yè)內(nèi)部網(wǎng)絡(luò)中的擴散和蔓延能力。這包括模擬勒索軟件利用橫向移動技術(shù)、RDP3389端口進行爆破攻擊模擬，驗證訪問控制策略。此外，模擬勒索組織立通訊的行為，以評估防御體系對勒索軟件持續(xù)威脅的監(jiān)測和阻斷能力。同時，我們還加入了模擬批處理腳本的執(zhí)行，如移除防病毒軟件、關(guān)閉數(shù)據(jù)備份服務(wù)、拷貝敏感數(shù)據(jù)等，以測試防御體系對惡在加密勒索階段，模擬勒索軟件的核心破壞行為，以評估防御體系在最后一道防線上的表現(xiàn)。這包括模擬勒索軟件對目標(biāo)文件系統(tǒng)的加密操作、模擬鎖定與破壞、模擬數(shù)據(jù)銷毀或篡改，以驗證終端/主機的防護能力；通過這些模擬攻擊，全面揭示防御體系在應(yīng)對在參與國家級、省級、行業(yè)的網(wǎng)絡(luò)攻防工作時，滲透測試和紅藍對抗演練已經(jīng)成為常規(guī)化的關(guān)鍵驗證手段，用來檢驗自身的防御效能。然而，這些手段主要集中在有限的攻擊路徑上，難以全面覆為了驗證防御策略的有效性，須從縱深防御體系的角度出發(fā)，審視同一攻擊手段在縱深防御各個層面的檢測能力，從而識別防御體系中的薄弱環(huán)節(jié)。應(yīng)當(dāng)特別關(guān)注驗證演練中頻繁使用的攻擊手段和關(guān)鍵環(huán)節(jié)，并根據(jù)目前所使用的設(shè)備，精心設(shè)計相應(yīng)的驗證場景和測試用例。在正式演練開始之前，對自我安全防御的有效性進行面對集團型企業(yè)擁有眾多分支機構(gòu)的復(fù)雜場景，通過集團部署的驗證平臺，實現(xiàn)對分支機構(gòu)統(tǒng)一化、標(biāo)準(zhǔn)化驗證動作的執(zhí)行，基于驗證結(jié)果直觀呈現(xiàn)出不同分行防護真實情況，及時發(fā)現(xiàn)失效，有統(tǒng)一標(biāo)準(zhǔn)化驗證：區(qū)別于傳統(tǒng)人工滲透和檢驗的非標(biāo)準(zhǔn)化，基于平臺實現(xiàn)統(tǒng)一、標(biāo)準(zhǔn)化攻擊驗證，實現(xiàn)各分行驗證結(jié)果的統(tǒng)一標(biāo)體系化評價考核：基于平臺，實現(xiàn)對不同攻擊類型、繞過方式、漏洞利用等多維度攻擊向量，體系化的驗證，能夠?qū)崿F(xiàn)對各個分支提高全集團防護水平基線：通過標(biāo)準(zhǔn)化驗證手段，實現(xiàn)對分支機構(gòu)的防護能力摸排，及時暴露防護風(fēng)險和問題，有針對性的提高通過有效性驗證平臺發(fā)起的各類社工攻擊構(gòu)造，在企業(yè)內(nèi)組織人員安全意識演練，及時暴露風(fēng)險，可視化評估輸出，統(tǒng)計安全意識薄弱人員，并針對性提供防釣魚意識培訓(xùn)，從而降低因釣魚郵件通過模擬常見的APT組織手法、實戰(zhàn)攻防入侵手法等，讓安全運營人員了解在完整的攻擊鏈路中安全防護的缺失點，能夠以真實事件的方式展示防御效果，讓企業(yè)管理層對安全防御有更直觀的感知。同時，可以通過手動創(chuàng)建多鏈路的用例上建立的基于多維度判斷規(guī)則，避免策略調(diào)整后出現(xiàn)非預(yù)期的失效通過對各類型敏感數(shù)據(jù)文件通過不同渠道的外發(fā)、及外發(fā)過程中各類變形和繞過手法的模擬，驗證數(shù)據(jù)防泄漏的策略狀態(tài)、提升對敏感數(shù)據(jù)外發(fā)的檢測能力。以評估現(xiàn)有數(shù)據(jù)防泄漏安全策略在防止內(nèi)部威脅方面的有效性。通過持續(xù)的數(shù)據(jù)泄露模擬和驗證，企業(yè)伴隨信創(chuàng)的推進落地，企業(yè)所部署的系統(tǒng)、網(wǎng)絡(luò)、安全等產(chǎn)品陸續(xù)進行信創(chuàng)改造的同時，也引入了信創(chuàng)相關(guān)的安全風(fēng)險。以網(wǎng)絡(luò)安全防護為例，信創(chuàng)環(huán)境下的安全防護是否與之前的部署防護效力一致是需要企業(yè)重點關(guān)注的方向。通過信創(chuàng)安全驗證，可實現(xiàn)對信創(chuàng)終端防病毒/EDR、信創(chuàng)終端數(shù)據(jù)安全產(chǎn)品、信創(chuàng)主機安全產(chǎn)品等的有效性驗證。幫助企業(yè)第一時間發(fā)現(xiàn)和優(yōu)化信創(chuàng)安全產(chǎn)品防護效力不一致、兼容性問題導(dǎo)致的告警延遲甚至丟失漏報、面對新的信由于每個企業(yè)的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、安全管理策略和技術(shù)防護策略都有所不同，因此需要根據(jù)自身的風(fēng)險偏好來開展相應(yīng)的安全有效性驗證工作。該工作可以分為四個階段：驗證準(zhǔn)備、驗證執(zhí)行、結(jié)果分析和持續(xù)改進。通過這四個階段的實施，可以確保安全驗證任務(wù)方案需要明確具體執(zhí)行任務(wù)的計劃參數(shù)，以便驗證任。驗證場景：驗證任務(wù)的執(zhí)行通常是為了滿足其中某一類場景。驗證對象：基于不同的驗證場景下，需要明確具體要驗證的目標(biāo)對象?？赡苁腔谀硞€物理、網(wǎng)絡(luò)范圍的全量設(shè)備，或者。驗證網(wǎng)絡(luò)架構(gòu)：需要達到的驗證目標(biāo)或設(shè)備的不同，會使得驗證任務(wù)執(zhí)行的網(wǎng)絡(luò)架構(gòu)會有較大的差異，包括驗證任務(wù)執(zhí)行的網(wǎng)絡(luò)數(shù)據(jù)流及各類驗證資源的部署位置，會對驗證資源投入。驗證執(zhí)行計劃：一般驗證任務(wù)都會按照計劃任務(wù)的形式自動化執(zhí)行，而對于驗證計劃相關(guān)的策略中，需要明確驗證任務(wù)執(zhí)。驗證結(jié)果展示方式：通常驗證產(chǎn)出的結(jié)果會形成標(biāo)準(zhǔn)化格式的數(shù)據(jù)報表或結(jié)果，但為了能夠更加符合度量結(jié)果的應(yīng)用，必在確定驗證方案后，需要根據(jù)驗證方案的需求準(zhǔn)備相應(yīng)的驗證資源與驗證環(huán)境。通常需要考慮的驗證資源包括驗證計算資源、驗證網(wǎng)絡(luò)策略及其他外部資源等。對驗證資源產(chǎn)生較大影響的因素主。對數(shù)據(jù)整合復(fù)雜度及對接解析的安全設(shè)備日志數(shù)量的需求，。驗證目標(biāo)需覆蓋點位完整度的程度，會影響攻擊驗證節(jié)點與。對于跨網(wǎng)絡(luò)區(qū)域的復(fù)雜驗證場景，或者有特殊的業(yè)務(wù)訪問關(guān)。針對部分特殊的驗證場景需要準(zhǔn)備特殊的驗證資源。如驗證郵件安全場景需要準(zhǔn)備個郵箱賬號、需要驗證互聯(lián)網(wǎng)攻擊則需要公網(wǎng)資源、特定的業(yè)務(wù)規(guī)則驗證需要具備對應(yīng)的業(yè)務(wù)數(shù)據(jù)資在執(zhí)行基于攻擊模擬的驗證工作時，可能因為產(chǎn)生各類告警信息，對運營團隊產(chǎn)生干擾，影響對安全事件的誤判。通常在執(zhí)行驗證任務(wù)之前，需要與安全預(yù)警處置團隊或驗證目標(biāo)的監(jiān)控團隊進行同步，對相關(guān)驗證任務(wù)進行加白處置或?qū)Ω婢M行過濾。通常，用。驗證任務(wù)執(zhí)行時間段：如果是周期性任務(wù)則需要明確一個驗。驗證任務(wù)發(fā)起源地址：通?？梢栽O(shè)置固定的驗證任務(wù)發(fā)起端。驗證任務(wù)數(shù)據(jù)包特征：可以基于模擬攻擊的攻擊特征、攻擊對于驗證任務(wù)的過濾應(yīng)適用于事件響應(yīng)過程中，對事件研判的邏輯與規(guī)則里，是為了避免發(fā)生處置動作的誤判。不應(yīng)基于驗證任務(wù)的特征，在驗證目標(biāo)上進行告警特征的匹配或建立告警模型，這在大部分的企業(yè)防護體系的設(shè)計中，會在不同層級技術(shù)架構(gòu)中設(shè)計不同方式的防護措施組合，對核心資產(chǎn)與數(shù)據(jù)形成縱深維度的防護保障。對于入侵者視角來說，也會形成需要突破或繞過各種不同的措施，形成完整的攻擊鏈條。能夠模擬這種基于全鏈路的攻擊另外，由于數(shù)據(jù)資產(chǎn)的訪問路徑不同，也會經(jīng)過不同的防護設(shè)備。即使是在相同的防護設(shè)備保護下，相關(guān)設(shè)備的策略不同也會產(chǎn)生不同的防護效果。基于這種業(yè)務(wù)數(shù)據(jù)流視角上，根據(jù)不同的防護在驗證任務(wù)計劃執(zhí)行過程中，需要監(jiān)控任務(wù)執(zhí)行狀態(tài)是否正常完成，避免因設(shè)備性能問題、運行環(huán)境變換、網(wǎng)絡(luò)策略阻斷、任務(wù)配置錯誤等原因?qū)е碌尿炞C工作失敗的情況。對于周期性執(zhí)行的驗證計劃任務(wù)，需要跟蹤確認(rèn)周期性任務(wù)是否執(zhí)行成功并形成了閉環(huán)。驗證相關(guān)資源或網(wǎng)絡(luò)策略的部署過程存在錯誤，未滿足驗證。在用例執(zhí)行過程中，觸發(fā)了網(wǎng)絡(luò)安全自動化的響應(yīng)處置機制，。驗證目標(biāo)或驗證設(shè)備出現(xiàn)了性能瓶頸，導(dǎo)致任務(wù)無法正常執(zhí)在首次運行驗證用例時，通常需要對驗證用例執(zhí)行數(shù)據(jù)的準(zhǔn)確性進行校驗。數(shù)據(jù)異常根本性的原因是在自動化驗證閉環(huán)的邏輯與機制上出現(xiàn)了問題。這個過程需要有較豐富的實踐積累與調(diào)試過程，在具備了較為龐大的結(jié)果數(shù)據(jù)基礎(chǔ)能夠使結(jié)果趨于穩(wěn)定。數(shù)據(jù)異常的原因有可能是因為驗證用例設(shè)計的問題，也有可能是對于一些特殊的防護機制或驗證的環(huán)境出現(xiàn)了變更，原有的校驗邏輯無法滿足通過對金融、央企、制造業(yè)等單位的調(diào)研和驗證實踐，這里羅列出典型驗證場景和驗證頻率，幫助企業(yè)安全團隊有針對性的高效3、上傳webshell攔截時檢驗證NTA/IDS的檢測功能是否3、上傳webshell攔截時/1、內(nèi)存馬植入和新型webshell投遞時時/全1、內(nèi)存馬植入和新型webshell投遞3、容器逃逸，K8s攻擊、危險掛載時漏等為了使驗證任務(wù)產(chǎn)出的量化結(jié)果能夠更具備治理價值，需要制定對度量結(jié)果具有參考意義的治理基線。治理基線的制定是來自驗證工作方案與治理需求。比如，初次進行安全能力評估時，可以借鑒行業(yè)內(nèi)的參考基準(zhǔn)數(shù)據(jù)作為治理目標(biāo)，制定優(yōu)化策略。而對于已經(jīng)處于常態(tài)化運營的驗證模式下，可根據(jù)自身防護水平形成一個驗證能力度量值作為基準(zhǔn)線，持續(xù)驗證安全能力出現(xiàn)降低或偏離的情況。運營評價基準(zhǔn)相當(dāng)于以量化的形態(tài)展示企業(yè)的風(fēng)險偏好或風(fēng)險容忍度，并以此為基準(zhǔn)對安全防護能力進行評價，進而得出后續(xù)的根據(jù)驗證任務(wù)執(zhí)行結(jié)果，可以總結(jié)排查出各類防護失效的問題。對于此類失效點，需要建立完整的運營流程進行根因分析并推動整改動作，形成完整的閉環(huán)。特別是需要關(guān)注數(shù)據(jù)展現(xiàn)有明顯的能力缺失或者突然下降的情況。通常此類問題都會衍生出如防護模塊缺失、策略出現(xiàn)重大缺陷、覆蓋度不足、防護架構(gòu)存在缺陷等較嚴(yán)重在完成各項失效點的修復(fù)工作后，需要通過針對性的驗證復(fù)測來確認(rèn)修復(fù)動作是否達到了預(yù)期結(jié)果。復(fù)測驗證作為對問題修復(fù)結(jié)在完成了一輪驗證工作后，需要對驗證體系跟過程進行回顧與總結(jié)，使驗證體系整個過程能夠持續(xù)優(yōu)化改進。驗證體系的優(yōu)化通。對驗證用例執(zhí)行邏輯與技術(shù)方案進行回顧，確認(rèn)是否有更優(yōu)。對驗證目標(biāo)范圍進行評估，確認(rèn)是否能夠增加更多的驗證場。評估驗證展現(xiàn)形式與數(shù)據(jù)格式，確認(rèn)是否有更優(yōu)的展現(xiàn)形式。在度量驗證形成治理工具時，通過持續(xù)迭代建立基于度量結(jié)果的評價體系，是將度量結(jié)果轉(zhuǎn)化為行動指南的重要參考，也能形成對所管轄單位的管理抓手。除了前文所提及的運營評價基線需要持續(xù)回顧進行持續(xù)改進外，如果基于度量結(jié)果形成評價評分機制時，也需要對評價體系進行回顧，是評價結(jié)果的指導(dǎo)意義更符合治理訴以往，要提高安全防護能力，主要通過人工檢查或廠商推薦的方式，對人員依賴較大，缺少針對性，常常出現(xiàn)與實際情況不符、整改效果不理想的情況。通過有效性驗證，可精準(zhǔn)到每一個攻擊手法防護是否有效，準(zhǔn)確定位安全防護的短板（能力不足）和失效點），第一時間了解最新的安全攻擊信息并通過安全用例自動化的在企業(yè)內(nèi)復(fù)現(xiàn)和驗證，檢驗企業(yè)當(dāng)前的安全防護能力；在掌握當(dāng)前安全防御能力前提下進行針對性改進，全面提升企業(yè)安全防護能力。發(fā)現(xiàn)安全措施和策略失效風(fēng)險所在，解決問題從而逐步提升用戶自第一時間掌握最新漏洞利用、攻擊工具和手法，自動化驗證當(dāng)前的安全防護效力。針對安全能力失效，給出相應(yīng)加強和提升建議，多品牌、多版本的安全設(shè)備，通過安全有效性驗證，拉齊安全策略基線，實現(xiàn)安全防護效果的一致性。例如分析安全工具配置或重復(fù)攻擊場景運行，檢驗真實的防護效力是否與預(yù)期一致，實現(xiàn)安將以往通過安全運營人員人工驗證轉(zhuǎn)為全自動化閉環(huán)驗證，解決手動模擬的覆蓋度和執(zhí)行穩(wěn)定性問題，解決人工查看告警判斷失誤的壓力。同時，可有效提高驗證效率，人工驗證主要由安全規(guī)則梳理、手動攻擊模擬驗證、人工查看安全設(shè)備和規(guī)則觸發(fā)情況，效率低，見效慢，自動化驗證可以極大提高驗證效率，過去這些安全設(shè)備需要投入3個人全職監(jiān)控安全設(shè)備及策略運行狀況，現(xiàn)在只需要1個人兼職即可完成。持續(xù)性的7x24小時全天候驗證評估，幫助用戶先于攻擊者發(fā)現(xiàn)安全策略失效點，縮短失效點存在點時間周通過安全有效性驗證，可以清晰的將當(dāng)前安全能力的實際狀況進行呈現(xiàn)，并且未來隨著問題整改帶來的安全能力提升，用戶持續(xù)的驗證可以得到數(shù)據(jù)累積，通過不斷的自我完善會得到一個安全能力上升的趨勢值，可清晰地把安全團隊工作價值量化呈現(xiàn)。且可讓管理層清晰地了解，公司整體實際安全防護能力是什么樣、可抵御驗證數(shù)據(jù)給出量化的、可視化的安全全貌、安全指標(biāo)，指導(dǎo)安全運營投入，安全投入回報可見，有針對性的、有方向的投入和強驗證的直觀數(shù)據(jù)，可清晰了解安全防護能力對各類攻擊的實際抵御情況如何，哪些可檢測、哪些不可檢測，一目了然，讓安全管理做到“心中有數(shù)”。也可回應(yīng)管理層對防護成效的疑慮：安全防對分支機構(gòu)和子公司、海外機構(gòu)的防護能力進行評估，過去只能通過人工檢查或者問詢方式執(zhí)行，對人力水平要求較高，且無法驗證真實性。依托安全有效性驗證的能力，7×24小時常態(tài)化評估分支機構(gòu)、子公司及海外機構(gòu)安全防護力，以實戰(zhàn)化維度快速精準(zhǔn)實時上收分支機構(gòu)數(shù)據(jù)，了解各分支安全驗證狀態(tài)，掌握安全防護能力，及時給出支持與指導(dǎo)?；诹炕臄?shù)據(jù)統(tǒng)計實現(xiàn)對各分集團級用戶的安全管理部門（總部、風(fēng)險管理部）可以通過安全有效性驗證發(fā)現(xiàn)的問題作為監(jiān)管的依據(jù)，從而對下屬單位或者其當(dāng)前我國金融行業(yè)業(yè)務(wù)已經(jīng)高度信息化、自動化、流程化，為用戶提供的所有服務(wù)和日常運營基本都依賴信息系統(tǒng)開展。而作為強監(jiān)管行業(yè)，銀行正常展業(yè)需要具備一定的信息化治理能力與信息科技風(fēng)險管理能力。同樣，作為信息化程度高，涉及業(yè)務(wù)與數(shù)據(jù)敏感，銀行業(yè)也面臨著嚴(yán)峻的內(nèi)外部威脅。銀行業(yè)網(wǎng)絡(luò)安全工作起步較早，等級保護與監(jiān)管部門的各類措施落實，已奠定了基于縱深防御體系的安全建設(shè)基礎(chǔ)。通過持續(xù)的安全運營，定期開展?jié)B透測試與攻防對抗模擬演練，銀行業(yè)普遍已具備了較全面的技術(shù)、流程與在實際開展攻防演練或日常運營工作中，總是存在因各類問題引發(fā)的業(yè)務(wù)資產(chǎn)未覆蓋、設(shè)備常年失效而未知等較低級的安全防護失效點，導(dǎo)致整個防護體系的失守。公司已建立了完整的運維巡檢的工作流程，也通過運維平臺會實時監(jiān)控設(shè)備運行狀態(tài)。但在對過往安全失效情況進行追蹤溯源后發(fā)現(xiàn)，大量因IT或業(yè)務(wù)變更、人員操作不當(dāng)、防護架構(gòu)或設(shè)備存在缺陷等原因無法用現(xiàn)有能力或技術(shù)手段解決。而此類問題被紕漏多次后，安全防護的真實能力被受。公司對已部署安全設(shè)備日常巡檢通常是關(guān)注性能與設(shè)備運行狀態(tài)，但仍會出現(xiàn)防護設(shè)備失效的情況。此外，眾多安全設(shè)備的策略配置與使用過程中，難以保持安全能力持續(xù)生效，缺少。依據(jù)“以攻促防”的工作理念，公司定期會開展內(nèi)部與外部的紅藍對抗演練，對產(chǎn)品也會持續(xù)開展?jié)B透測試。另外，也會每年開展內(nèi)控自查、風(fēng)險評估自查等動作對安全防護能力作驗證，但這些手段都耗費資源較大，且不太適用于持續(xù)性的日常。在開展安全運營持續(xù)優(yōu)化的工作時難以形成度量評價，安全防護整個狀態(tài)與能力處于不可見的狀態(tài)，運營日常工作缺少指導(dǎo)。領(lǐng)導(dǎo)層也多次提到對于安全度量的訴求，在治理與決策中根據(jù)客戶的具體痛點與業(yè)務(wù)場景，分析當(dāng)前的網(wǎng)絡(luò)布防情況與運營體系進行了確認(rèn)調(diào)研，并基于離朱有效性驗證平臺的能力設(shè)計了完整的驗證方案。將基于實戰(zhàn)模擬的攻擊驗證用例結(jié)合各個不同的驗證場景，對驗證邏輯與架構(gòu)進行部署搭建，通過全自動的閉環(huán)驗證任務(wù)邏輯下，形成各種維度的數(shù)據(jù)產(chǎn)出支撐各個應(yīng)用場景的實），通過公網(wǎng)攻擊驗證節(jié)點每月對所有的互聯(lián)網(wǎng)暴露的業(yè)務(wù)資產(chǎn)執(zhí)行少量的驗證用例，通過邊界阻斷以及告警的情況確認(rèn)網(wǎng)站是否處于正常的安全保護下（IPS、WAF、NTA等對互聯(lián)網(wǎng)資產(chǎn)建立攻擊面管理能力，避免違規(guī)操作、運營不當(dāng)、架構(gòu)變更等導(dǎo)致的互將各類不同場景下的安全驗證用例的結(jié)果進行模型統(tǒng)計與度量，形成基于實際攻防能力的量化數(shù)據(jù)結(jié)果。度量結(jié)果對應(yīng)到公司的運營與考核體系當(dāng)中，在整個運營優(yōu)化過程中形成圍繞指標(biāo)的優(yōu)化工作方法，并以指標(biāo)結(jié)果開展對人員組織（包含外部供應(yīng)商）的管理在持續(xù)的有效性驗證監(jiān)控的工作中，隨著安全能力值的突然變化，發(fā)現(xiàn)了各類安全設(shè)備故障點。其中除了設(shè)備性能故障、業(yè)務(wù)突增等原因外，也發(fā)現(xiàn)了日志丟失、日志延遲等隱蔽性較強的問題。部分故障發(fā)現(xiàn)問題后立即完成了修復(fù)，另也啟動了對設(shè)備擴容的采從安全有效性驗證完成部署開展第一次驗證時，安全整體防護能力為78%的防護有效率，通過持續(xù)運營的策略調(diào)優(yōu)，安全防護能力提升為92%，各個設(shè)備獨立的防護能力提升累積達到了176%。將各個防護策略與規(guī)則的效果直接量化展示后，直觀的對需要優(yōu)化安全團隊自兩年前開始采用開源軟件Suricata進行流量異常監(jiān)測設(shè)備的自研。自研設(shè)備投產(chǎn)后苦于無法對產(chǎn)品能力進行能力評估，無法看到產(chǎn)品實際效果。在安全驗證平臺上線后，運營團隊圍繞著安全驗證對自研流量探針的驗證結(jié)果進行產(chǎn)品與規(guī)則優(yōu)化，產(chǎn)品檢測能力自最初的32%提升到了78%。驗證度量結(jié)果，形成了將安全防護能力的度量量化評價能力。指標(biāo)數(shù)據(jù)應(yīng)用于對防護短板的優(yōu)化依據(jù)、運營策略調(diào)整參考以及運營決策治理工作中的抓手。對分子公司與機構(gòu)的安全評估中，也成為了經(jīng)過數(shù)十年的發(fā)展和演變，某能源企業(yè)已成為我國重要的骨干型大規(guī)模集團化公司。涉獵能源、投資、物流等多元化綜合性業(yè)務(wù)的經(jīng)營。企業(yè)經(jīng)營持續(xù)向好，伴隨著業(yè)務(wù)的快速發(fā)展和各分子公司的規(guī)?；瘮U張，網(wǎng)絡(luò)安全風(fēng)險和問題已成為擺在管理者面前的重要課題。企業(yè)長期以來高度重視網(wǎng)絡(luò)安全的建設(shè)和應(yīng)用，從早期的以到基于縱深防御體系各類安全產(chǎn)品和平臺的層層部署，再到安全運營和威脅情報聯(lián)動實現(xiàn)的基于平臺的各類安全編排自動化與響應(yīng)，企業(yè)作為關(guān)鍵基礎(chǔ)設(shè)施的運營單位，面臨著非常大的網(wǎng)絡(luò)安全防護壓力，每年都需要承擔(dān)國家重大事項工作期間的網(wǎng)絡(luò)安全保障任務(wù)。其中，近些年定期開展的國家護網(wǎng)行動的工作期間，都會作為每年全公司網(wǎng)絡(luò)安全最重要的保障任務(wù)之一。企業(yè)也會每年開展企業(yè)每年為迎接重保及護網(wǎng)工作需要投入大量的人員與經(jīng)歷對現(xiàn)有防護體系進行摸排。在以往的摸排工作中，主要是圍繞著資產(chǎn)側(cè)的脆弱項進行排查，對各個分子公司眾多防護設(shè)備策略及防御體系的有效性確認(rèn)一直是個盲區(qū)。之后開展的模擬攻防中依舊會暴露出各種問題，出現(xiàn)多個分子公司被突破的情況。在對各種問題復(fù)盤的過程中，發(fā)現(xiàn)很多的問題不是出在資源本身的漏洞問題上，而是因很多運營過程中存在的人為失誤或配置不當(dāng)導(dǎo)致的防護體系未能。在護網(wǎng)與重保工作前的安全問題排查整改中，通過安全驗證工具對現(xiàn)有所有安全設(shè)備防護能力進行全面的排查，對防護體系中所存在的安全失效風(fēng)險進行識別，作為整體排查整改工作。建立覆蓋主要防護設(shè)備與業(yè)務(wù)網(wǎng)絡(luò)區(qū)域的安全能力持續(xù)驗證能力，避免在重保及護網(wǎng)期間安全防護能力突然出現(xiàn)失效的情。在重保與護網(wǎng)期間持續(xù)跟蹤最新熱點TTP情報，并基于自動化安全能力驗證能力快速開展安全攻擊行為的防護缺口排查。根據(jù)企業(yè)實際縱深防御架構(gòu)的情況，在互聯(lián)網(wǎng)外側(cè)及內(nèi)部網(wǎng)絡(luò)分別部署了安全驗證資源，發(fā)起對各類驗證場景的模擬攻擊。同時形成自動化閉環(huán)驗證能力，形成排查工作的結(jié)果依據(jù)，也作為后續(xù)持續(xù)監(jiān)控的自動化手段。另外，根據(jù)內(nèi)部網(wǎng)絡(luò)區(qū)域不同的安全策略的情況，分別部署了多個驗證靶機作為實時開展驗證工作的攻擊目標(biāo)，以降低對生產(chǎn)業(yè)務(wù)的影響。驗證工作主要通過不同的場景覆蓋成，也有一部分是域名HTTPS證書未提前卸載導(dǎo)致全是加密。WAF策略開啟寬松，對一些常見的漏洞利用和繞過手法無法有效的檢測攔截，邊界防護中對漏洞利用攻擊的感知有較大?？偛考胺止镜牟糠至髁堪踩珯z測設(shè)備處理流量穩(wěn)定性不足，。發(fā)現(xiàn)內(nèi)部某網(wǎng)絡(luò)區(qū)域的交換機鏡像配置存在遺漏的情況，對。整體的防護措施上，對隱秘通信隧道、端口轉(zhuǎn)發(fā)類的情況預(yù)。發(fā)現(xiàn)郵件安全網(wǎng)關(guān)無法對投遞的rar壓縮包格式的遠控木馬根據(jù)重點保障期間的工作部署要求，企業(yè)部署落實了不同運營保障團隊的工作要求，包括期間對安全配置與規(guī)則變更提出了更嚴(yán)格的流程管控，以確保排查整改后的安全能力持續(xù)有效。而作為輔助性監(jiān)控手段，增加了對安全防護情況實時巡檢監(jiān)控的措施，未發(fā)現(xiàn)因特殊情況下安全設(shè)備突然失效的情況出現(xiàn)。巡檢監(jiān)控整體策略。以單個安全驗證用例每天一次周期性驗證遍歷所有的驗證靶?；隍炞C研判標(biāo)準(zhǔn)覆蓋WAF、IPS、IDS、NTA、HIDS、。在事件運營過程中，事先協(xié)商攻擊驗證節(jié)點IP地址以及告在開展內(nèi)部攻防演練之前，僅使用一周的時間就完成了對安全防護措施的有效性驗證工作。通過安全驗證與內(nèi)部資產(chǎn)脆弱項工作根據(jù)在事前部署的安全監(jiān)控巡檢方案，持續(xù)對安全設(shè)備進行驗證確認(rèn)，確保了所有安全設(shè)備與保護措施能夠持續(xù)有效。在攻防演練、護網(wǎng)以及重保期間，發(fā)生過多起安全設(shè)備告警鏈路異常情況，護網(wǎng)期間頻繁出現(xiàn)新的攻擊手法與情報，企業(yè)已形成了完整的基于情報進行封堵-驗證的策略變更流程，確保整個護網(wǎng)期間的封在集團范圍內(nèi)形成對各管轄分子公司的全網(wǎng)聯(lián)防聯(lián)控統(tǒng)管，形成基于攻擊效果的度量評價驗證結(jié)果，實施掌握全網(wǎng)內(nèi)的安全防御防御的邊界不斷擴大，每年的網(wǎng)絡(luò)防御成本也在上升。兩部委檢查考核、集團監(jiān)管及創(chuàng)新要求、以及自身安全運營需求，讓省公司運營商企業(yè)開始考慮如何通過新技術(shù)方向能更好的在運營效率和效果為此，某企業(yè)提出了安全防御有效性驗證平臺新建項目的建設(shè)需求，在有效性、實時性、可用性等維度全面驗證和監(jiān)測企業(yè)內(nèi)各種安全部署，從實戰(zhàn)攻防對抗角度開展持續(xù)性模擬攻擊驗證，確保安全防護策略有效運行；以自動化攻擊驗證閉環(huán)為核心，保障縱深WAF已部署，但沒有將應(yīng)用全部納入，部分網(wǎng)站的策略未開已配置了規(guī)則策略，但實際攻防中并沒有生效，導(dǎo)致防護效果面對已部署的各類安全產(chǎn)品、規(guī)則策略，出現(xiàn)最新漏洞利用和攻擊事件是否能監(jiān)控到？安全防護能力現(xiàn)狀能不能量化