《数字安全能力指南》持续评估定义安全运营

© 北京数字世界咨询有限公司 2023.11《数字安全能力指南》持续评估定义安全运营Continuous Evaluation defines Security Operation © 北京数字世界咨询有限公司 2023.11《数字安全能力指南》持续评估定义安全运营Continuous Evaluation defines Security Operation 数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础，来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师 刘宸宇 首席分析师 李少鹏 分析团队： 数世智库 数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。 违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目 录前言 ............................................................................................. 1关键发现 ....................................................................................... 3概念描述 ....................................................................................... 5 什么是持续评估定义安全运营 ......................................................... 5 与安全运营的关系 ........................................................................... 6市场现状 ....................................................................................... 8 市场概况 ....................................................................................... 8 能力企业 ....................................................................................... 9 能力基因 .................................................................................... 15 行业需求 .................................................................................... 16关键能力 .................................................................................... 18 安全评估验证用例的积累 ............................................................... 18 对海量攻击的提炼与用例转化 ......................................................... 19 持续评估的自动化程度 .................................................................. 20未来展望 .................................................................................... 21 目 录附录 持续评估定义安全运营行业案例 ............................................. 22 某大型金融机构用户案例(该案例由360 数字安全提供) ........................ 22 某大型集团用户案例(该案例由矢安科技提供) .................................... 27 某银行有效性验证案例(该案例由知其安提供) .................................... 31 • 持续评估定义安全运营•1前 言 随着数字世界的临近，数字安全能力体系从建设阶段向运营阶段过渡，安全运营的效果开始成为用户关心的核心问题，即从“有没有”到“行不行”，再到“好不好”。因此，对安全能力的评估与验证成为国内安全从业者——特别是安全运营人员——越来越多讨论的话题。 这一现象背后，首先有政策的因素，例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中；其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平，用户自身的安全评估验证需求已经自然而然发展出来；第三，这也与国际局势的变化直接相关，国家级 APT 威胁使得“安全”二字提升到了“网络战”的高度，攻击之前自我评估，威胁之侧持续评估，成为了实战化需求下安全运营的必修课。 在这样的背景下，近几年国内出现了多家专门满足这一需求的初创安全企业，不少传统综合安全大厂也内部蕴育出了相关的产线能力，业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。 然而，话题热度之后更加应当看清的是，目前国内的安全建设水平仍然有明显的不均衡特点：一是区域不均衡，北上广深成渝西安以及 GDP 排名较靠前的省份城市，安全建设水平相对较高；二是行业不均衡，金融、运营商、电力能源等关基行业已经走在了前面，但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度；三是即便同行业内，其头部、腰部及以下机构用户，安全能力也存在着明显的不均衡。 由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来，因此这一新赛道的供需双方，目前还只集中在“不均衡”发展的“头部”群体中。那么，腰部及以下的机构用户就不需要评估与验证能力吗？ 2 答案是显然的，当然需要。只不过，因为这类用户的“安全家底”本身就比较薄，因此不必像“头部”一样做得那么重，只需要标准化或最小化的评估验证能力即可。 因此，无论用户规模大小，无论用户处在头部腰部甚至以下，评估与验证都不是为了给用户“找麻烦”，而是要在传统的安全能力建设之外（绝不限于设备采购、产品部署、驻场服务），使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全运营”的下限，并且持续提升这个“下限”，也就是说，将评估与验证能力与安全运营同步建设，同步提升！ 用持续的评估，重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。 鉴于此，数世咨询撰写本报告，希望能抛砖引玉，对这一领域的产业现状做出初步调研与阐述。 ※ 报告勘误与交流沟通请联系主笔分析师：刘宸宇 liuchenyu@dwcon.cn • 持续评估定义安全运营•3 关键发现 ● 数字安全能力体系从建设阶段向运营阶段过渡，安全运营的效果开始成为用户关心的核心问题，即从“有没有”到“行不行”，再到“好不好”。 ● 入侵攻击模拟与安全有效性验证评估的都是安全运营的下限，提升的是 MTTD/MTTR 的整体效能。 ● 持续评估能力帮助机构用户发现已部署的安全产品和配置、以及构建的安全纵深防御体系的有效点、失效点与空白点。 ● 持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议，量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。 ● 持续评估作为验证与度量的手段，同步参与安全体系的建设。参与度越高，越能有效助力体系建设，提升安全运营能力。 ● 持续评估定义安全运营这一细分领域 2022 年的市场规模已过亿元。预计 2023 年将达到 3 亿元。 ● 持续评估定义安全运营，行业需求占比排在前四位的是：金融、政府监管、能源电力、运营商。 ● 持续评估定义安全运营的三大关键能力：安全评估验证用例的积累、持续评估的自动化程度、对海量攻击的提炼与用例转化。 ● 持续评估用例的更新，应支持订阅式推送与开放式更新等多种方式，满足用户对最新威胁的验证与自定义用例验证等需求。 4 ● 短期内，持续评估定义安全运营的采购方将以关基行业中的头部客户为主。 ● 中期来看，持续评估定义安全运营将带有显著的行业特征。 ● 未来，持续评估与验证能力将成为安全运营的试金石。让安全运营实现从“小作坊”到“工业化”的进阶。 从“有没有”到“行不行”，再到“好不好”，持续评估将成为安全运营的试金石。——数世咨询 • 持续评估定义安全运营•5概念描述什么是持续评估定义安全运营 本报告中的“持续评估定义安全运营” (Continuous Evaluation defines Security Operation) 是指：是指基于实战化最佳实践用例，对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作，并提供合理化改进建议，进而提升安全运营整体效能的解决方案。 “持续评估定义安全运营”的核心价值在于，通过持续评估帮助机构用户发现已部署安全产品、以及构建的安全纵深防御体系的有效点、失效点与空白点，以持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议，以量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。 与“持续评估定义安全运营”相关的一些概念： ● 入侵攻击模拟（Breach Attack Simulation - BAS） BAS 以模拟仿真的体系化安全攻击手段，评估验证整个安全运营体系发现威胁的能力，发现的是安全运营的短板，弥补的是安全运营的弱点，提升的是安全运营的下限； ● 安全有效性验证（Cybersecurity Validation - CV）安全有效性验证用到了 BAS 技术，但不仅限于 BAS，在攻击模拟之外，CV 还会对网络、终端等 IT 环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证，因此 CV 重点还会关注安全的一致性，例如通过自动化审计方式对安全设备的策略进行验证；与 BAS 一样，CV 提升的也是安全运营的下限； 6 ● 持续自动化红队（Continuous Automated Red Teaming – CART） CART 提供的是持续发现潜在攻击路径、对抗 APT 攻击、提升安全意识等更高阶安全运营需求的能力，提升的是安全运营的上限；CART 与上述两项是互补关系，稍有交叉，都无法替代对方。与安全运营的关系 正如前言中所述，持续评估作为验证与度量的手段，同步参与安全体系的建设。参与度越高，越能有效助力体系