2022年10月10日,全球權(quán)威的IT研究機構(gòu)Gartner®發(fā)布“2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線(Hype Cycle™ for Security in China, 2022)”報告,華云安在攻擊面管理(Attack Surface Management,簡稱ASM)和入侵和攻擊模擬 (Breach and Attack Simulation,簡稱BAS) 兩個領(lǐng)域被列為代表廠商。
值得一提的是,華云安是唯一雙領(lǐng)域入選《Hype Cycle for Security in China, 2022》的初創(chuàng)企業(yè)。本次認可凸顯了華云安在ASM與BAS方面的技術(shù)創(chuàng)新與最佳實踐的價值。
ASM與BAS,全球數(shù)字安全的熱點創(chuàng)新方向
技術(shù)成熟度曲線(Hype Cycle)是企業(yè)用來評估新科技的可見度,決定是否采用新科技的一種工具。Gartner依其專業(yè)分析預(yù)測與推論各種新科技的成熟演變速度及要達到成熟所需的時間,具體可分為:技術(shù)萌芽期、期望膨脹期、泡沫破裂谷底期、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期5個生命周期階段。
在Gartner發(fā)布的《Hype Cycle for Security Operations, 2022》中,以及本次發(fā)布的“2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線(Hype Cycle for Security in China, 2022),攻擊面管理(ASM)和入侵與攻擊模擬(BAS)被視為推動網(wǎng)絡(luò)安全運營技術(shù)創(chuàng)新的關(guān)鍵技術(shù)。同時,國內(nèi)多家權(quán)威機構(gòu)相繼發(fā)布的相關(guān)報告中也將ASM和BAS列為2022十大創(chuàng)新方向之一。從中可以看出ASM和BAS已是全球范圍公認的創(chuàng)新方向。
當(dāng)下,全球正經(jīng)歷數(shù)字化革命浪潮,網(wǎng)絡(luò)安全亦面臨復(fù)雜性、艱巨性、多元化的挑戰(zhàn)。數(shù)字化時代之下需要數(shù)字化的安全,基于攻擊者視角構(gòu)建新一代數(shù)字化安全方案是必然趨勢。華云安在ASM和BAS兩個領(lǐng)域入選《Hype Cycle for Security in China, 2022》,得益于華云安基于實戰(zhàn)、面向數(shù)字安全的持續(xù)技術(shù)創(chuàng)新與行業(yè)實踐。
ASM:以攻擊者視角構(gòu)建內(nèi)外部的資產(chǎn)安全性平臺
伴隨著企業(yè)網(wǎng)復(fù)雜程度的大大提升,識別網(wǎng)絡(luò)資產(chǎn),了解資產(chǎn)的脆弱性和潛在的攻擊方式尤為重要。
在《Hype Cycle for Security in China, 2022》中,Gartner指出ASM使企業(yè)從內(nèi)部管理和外部攻擊者的角度,解決資產(chǎn)和漏洞可視化的難題,并對資源進行優(yōu)先配置,以修復(fù)或緩解最有可能受攻擊的問題。ASM幫助安全和風(fēng)險管理(SRM)團隊識別潛在的攻擊路徑,并指導(dǎo)開展安全控制措施的改進和調(diào)整,提高整體安全防御水平。
作為中國攻擊面管理市場的引領(lǐng)者,華云安持續(xù)構(gòu)建基于云原生架構(gòu)的安全能力平臺,通過微服務(wù)的方式提供原子化安全能力,滿足于不同規(guī)模企業(yè)、不同應(yīng)用場景下攻擊面管理需求。深厚的技術(shù)積淀和行業(yè)實踐使華云安成為國內(nèi)攻擊面管理技術(shù)理念和產(chǎn)品實踐的領(lǐng)先廠商。
華云安認為,在攻擊面管理基石之上,通過創(chuàng)新的多維度資產(chǎn)識別、自動化漏洞驗證、擴展安全情報等技術(shù),共同實現(xiàn)新一代的企業(yè)全面風(fēng)險管理系統(tǒng)。作為國內(nèi)首家聚焦攻擊面管理的網(wǎng)絡(luò)安全公司,華云安提出以攻擊者視角構(gòu)建涵蓋數(shù)字資產(chǎn)管理、自動化測試、優(yōu)先級評估、情報預(yù)警、快速處置五個步驟的數(shù)字安全攻擊面管理體系。
華云安重新定義了數(shù)字化時代的資產(chǎn)管理、漏洞管理、情報協(xié)同和響應(yīng)處置,推出了基于云原生模塊化架構(gòu)的攻擊面管理解決方案,以網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)、外部攻擊面管理(EASM)、入侵和攻擊模擬(BAS)等典型場景,研發(fā)了靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理系統(tǒng)(Ai·Vul)、靈知·互聯(lián)網(wǎng)情報監(jiān)測預(yù)警中心(Ai·Radar)、靈刃·智能滲透與攻擊模擬系統(tǒng)(Ai·Bot)等產(chǎn)品,以檢測發(fā)現(xiàn),分析研判,情報預(yù)警,響應(yīng)處置四大環(huán)節(jié)幫助企業(yè)應(yīng)對數(shù)字化時代下企業(yè)安全得新風(fēng)險,打造數(shù)字化時代數(shù)字安全風(fēng)險管控的完整解決方案。
BAS:以持續(xù)的攻擊模擬驗證安全防御體系有效性
在《Hype Cycle for Security in China, 2022》中,Gartner將入侵和攻擊模擬進行定義:認為通過自動化模擬外部和內(nèi)部、橫向移動和數(shù)據(jù)泄露等威脅向量,使企業(yè)更好地了解其安全薄弱點。BAS是對紅隊或滲透測試的補充,但并不能完全取代兩者。
攻擊面的發(fā)現(xiàn)需要持續(xù)的攻擊模擬來實現(xiàn)對內(nèi)部安全防御的有效性驗證。華云安靈刃·智能滲透與攻擊模擬系統(tǒng)(Ai·Bot)以攻擊視角通過對抗性手段發(fā)現(xiàn)企業(yè)真實攻擊面,通過模擬攻擊者對目標(biāo)網(wǎng)絡(luò)環(huán)境進行安全測試,找到系統(tǒng)中可能存在的弱點,包括漏洞、信息泄露、安全防護不當(dāng)?shù)认盗邪踩珕栴},并通過智能分析引擎將攻擊鏈路直觀呈現(xiàn)給企業(yè)用戶,幫助用戶了解自身安全防御的脆弱性。讓用戶直觀了解在真實對抗環(huán)境下的安全弱點和企業(yè)運營響應(yīng)機制的有效性,實現(xiàn)深度挖掘企業(yè)數(shù)字資產(chǎn)攻擊面的目標(biāo)。
同時,華云安創(chuàng)新性的將情報和圖譜模型能力運用在BAS和CART技術(shù)上,實現(xiàn)用人工智能驅(qū)動的模擬迭代攻擊測試,實現(xiàn)對敏感數(shù)據(jù)、憑證信息、源代碼、供應(yīng)鏈等外源弱點與內(nèi)部戰(zhàn)法模型的結(jié)合,以業(yè)務(wù)角度進行攻擊影響進行評價。
華云安:構(gòu)建面向?qū)崙?zhàn)的網(wǎng)絡(luò)安全對抗防御體系
從“漏洞管理”到“攻擊面管理”,華云安在堅持做面向未來的網(wǎng)絡(luò)安全技術(shù)創(chuàng)新者的同時,也是將創(chuàng)新技術(shù)應(yīng)用與實踐的深耕者。公司成立三年以來,已擁有一百多項人工智能相關(guān)專利,及三十多項自主知識產(chǎn)權(quán),并先后承擔(dān)了多項國家重點研發(fā)計劃和重大工程建設(shè),產(chǎn)品在政府、電力、金融、教育、醫(yī)療等行業(yè)得到廣泛應(yīng)用。
作為國內(nèi)首家專注于攻擊面管理的網(wǎng)絡(luò)安全公司,華云安以攻擊者視角構(gòu)建數(shù)字化網(wǎng)絡(luò)攻擊面管理產(chǎn)品解決方案,以CAASM+EASM+BAS三大產(chǎn)品體系引領(lǐng)國內(nèi)外攻擊面管理(ASM)市場發(fā)展,為網(wǎng)信、工信等國家網(wǎng)絡(luò)安全相關(guān)主管部門及電力、金融、能源、交通、通信、教育、醫(yī)療等重要關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)提供技術(shù)支撐與網(wǎng)絡(luò)安全保障服務(wù)。未來,華云安將持續(xù)致力于為新形勢下的網(wǎng)絡(luò)安全關(guān)鍵信息基礎(chǔ)設(shè)施保護作出自身的貢獻!
參考文獻:
Gartner,Hype Cycle for Security in China, 2022, 10 October 2022.
Gartner免責(zé)聲明:
Gartner未在其報告中支持任何廠商、產(chǎn)品或服務(wù),也并不建議技術(shù)用戶只選擇有最高評分或其它特征的廠商。Gartner研究出版物代表的是Gartner研究機構(gòu)的意見,不應(yīng)解釋為對事實的陳述。Gartner對與本研究有關(guān)的所有明示或暗示的保證概不負責(zé),包括對適銷性或特定用途的適用性的任何保證。Gartner和Hype Cycle是Gartner有限公司和/或其附屬公司在美國及全球的注冊商標(biāo)和服務(wù)商標(biāo),經(jīng)許可在此使用。保留所有權(quán)利。
