對(duì)抗性暴露面驗(yàn)證：中國企業(yè)網(wǎng)絡(luò)安全主動(dòng)防御的進(jìn)階之路

企業(yè)機(jī)構(gòu)要求安全領(lǐng)導(dǎo)者必須不斷優(yōu)化安全控制，滿足合規(guī)標(biāo)準(zhǔn)以及監(jiān)管要求。其中，對(duì)抗性暴露面驗(yàn)證是一種主動(dòng)安全評(píng)估方法，驗(yàn)證是持續(xù)威脅暴露面管理（CTEM）等更廣泛的暴露面管理流程和計(jì)劃中的一個(gè)重要步驟。

圖1簡要介紹了持續(xù)威脅暴露面管理，驗(yàn)證是這一流程中的第四步。

隨著對(duì)抗性暴露面驗(yàn)證市場(chǎng)的發(fā)展，一些供應(yīng)商可能會(huì)專注于涵蓋所有用例，另一些可能選擇支持其傳統(tǒng)市場(chǎng)中的用例。目前，中國市場(chǎng)上尚未出現(xiàn)具備所有能力的綜合性對(duì)抗性暴露面驗(yàn)證工具。

通過高度自動(dòng)化和一致的攻擊模擬，對(duì)抗性暴露面驗(yàn)證允許用戶驗(yàn)證、評(píng)估和持續(xù)優(yōu)化安全措施的有效性，包括切實(shí)增強(qiáng)預(yù)防、檢測(cè)和響應(yīng)能力。對(duì)抗性暴露面驗(yàn)證通過提供攻擊場(chǎng)景、安全技術(shù)棧、人員和流程方面的反饋，提升防御安全團(tuán)隊(duì)的工作效率（見圖2）。

對(duì)于中國的CIO（首席信息官）和安全領(lǐng)導(dǎo)者來說，對(duì)抗性暴露面驗(yàn)證提供了對(duì)漏洞和安全控制的主動(dòng)驗(yàn)證，有利于保持策略的一致性，從而有效預(yù)防和應(yīng)對(duì)威脅。未來，該技術(shù)將在中國的紅隊(duì)測(cè)試、安全決策、合規(guī)監(jiān)管等方面發(fā)揮重要作用，甚至可能降低網(wǎng)絡(luò)安全保險(xiǎn)的保費(fèi)。

中國的企業(yè)機(jī)構(gòu)多年來一直在進(jìn)行滲透測(cè)試和紅隊(duì)測(cè)試。雖然滲透測(cè)試和紅隊(duì)測(cè)試通過專家的人為干預(yù)為企業(yè)機(jī)構(gòu)提供了量身定制的深入安全態(tài)勢(shì)洞察，但對(duì)抗性暴露面驗(yàn)證提供了一種更持續(xù)的自動(dòng)驗(yàn)證方法，具有更高的可擴(kuò)展性、更頻繁的評(píng)估頻次，且需要的人工參與程度更低。企業(yè)機(jī)構(gòu)在手動(dòng)執(zhí)行安全驗(yàn)證時(shí)遇到的挑戰(zhàn)包括：

●   依賴個(gè)人判斷和經(jīng)驗(yàn)，可能導(dǎo)致結(jié)果不完整。

●   測(cè)試人員需要具備較高的能力，而無論企業(yè)機(jī)構(gòu)通過內(nèi)部構(gòu)建還是第三方采購來獲取這些能力，都會(huì)導(dǎo)致高昂的成本。

●   定期驗(yàn)證的較低驗(yàn)證頻率無法應(yīng)對(duì)新出現(xiàn)的安全威脅，可能導(dǎo)致發(fā)現(xiàn)和應(yīng)對(duì)安全暴露的延遲。

在中國市場(chǎng)，許多企業(yè)機(jī)構(gòu)仍然使用人工主導(dǎo)的安全驗(yàn)證服務(wù)，通過增加驗(yàn)證頻率或細(xì)化驗(yàn)證范圍來提升驗(yàn)證的有效性。此外，對(duì)自動(dòng)化和一致的安全驗(yàn)證需求日益增長，促進(jìn)了對(duì)抗性暴露面驗(yàn)證技術(shù)的發(fā)展。

中國市場(chǎng)在快速推進(jìn)數(shù)字化轉(zhuǎn)型的同時(shí)，也伴隨著獨(dú)特的監(jiān)管和網(wǎng)絡(luò)安全挑戰(zhàn)。對(duì)抗性暴露面驗(yàn)證代表著中國網(wǎng)絡(luò)安全測(cè)試和驗(yàn)證方法的重大進(jìn)步。基于Gartner與中國客戶的互動(dòng)，對(duì)抗性暴露面驗(yàn)證技術(shù)的主要使用者為安全成熟度較高的企業(yè)機(jī)構(gòu)，尤其是在金融、電信、互聯(lián)網(wǎng)、智能制造和能源等領(lǐng)域。對(duì)抗性暴露面驗(yàn)證可以幫助中國CIO量化安全投資成果，減少風(fēng)險(xiǎn)暴露面，改善防御態(tài)勢(shì)。