日前,全球IT研究机构Gartner发布“2023中国网络安全技术成熟度曲线(Hype Cycle for Security in China, 2023)”报告,华云安作为攻击面管理(Attack Surface Management,简称ASM)及入侵和攻击模拟 (Breach and Attack Simulation,简称BAS) 两个领域代表厂商入选此报告。
Gartner网络安全技术成熟度曲线被视为业界权威的技术风向标,在其基础上的“中国网络安全技术成熟度曲线”收录了当年度中国网络安全领域最具竞争力的前沿技术。华云安凭借在ASM与BAS双领域的技术创新与实践,连续两年入选“中国网络安全技术成熟度曲线”报告。
攻击面管理(Attack Surface Management)
在此份报告中,Gartner认为攻击表面管理(ASM)涉及到部署的人员、流程、技术和服务的组合,以持续地发现、存储和管理组织的资产。这些资产可能是内部和外部的,并构成数字风险。ASM可以帮助组织克服持久的资产可见性和脆弱性挑战。攻击面的可见性有助于减少恶意威胁行为者可能利用的资产暴露。
华云安是国内最早聚焦于攻击面管理的网络安全公司之一。2021年,华云安率先提出以攻击者视角构建攻击面管理产品解决方案,通过检测发现、分析研判、情报预警、响应处置四大环节,打造攻击面管理产品体系。2022年,华云安重磅发布基于云原生架构的攻击面管理产品解决方案,将定位内部资产攻击面管理的灵洞·网络资产攻击面管理系统Ai·Vul、定位外部资产攻击面管理的灵知·互联网情报监测预警中心Ai·Radar、定位入侵和攻击模拟的灵刃·智能渗透与攻击模拟系统Ai·Bot的三款核心产品相互联动,基于攻防视角从CAASM、EASM、BAS等不同维度共同实现数字安全的风险管控。
2023年,华云安基于攻击者视角构建完整的安全验证产品与服务体系,包括定位于CAASM的灵洞·网络资产攻击面管理Ai.Vul,定位于EASM的灵知·互联网监测预警中心Ai.Radar,定位于BAS的灵刃·智能渗透与攻击模拟Ai.Bot、渗透测试即服务、红队服务,为客户带来深度挖掘与管理完整攻击面的能力。至此,华云安已构建了基于攻击者视角从检测到分析到响应的攻击面管理完整的闭环体系。
入侵和攻击模拟(Breach and Attack Simulation)
Gartner认为入侵和攻击模拟技术允许企业通过自动连续测试横向移动和数据泄露等威胁向量,获得更好的安全姿态弱点的可见性。BAS通过测试组织检测来自SaaS平台、软件代理和虚拟机运行的模拟攻击组合的能力来验证组织的安全姿态。
华云安是业界较早探索入侵和攻击模拟技术的网络安全企业之一,灵刃·智能渗透与攻击模拟Ai.Bot是华云安定位于入侵和攻击模拟的具有核心竞争力的自研产品。灵刃Ai.Bot沉淀攻防专家经验,对目标网络持续开展无害化的智能渗透和攻击模拟验证,确保安全防护策略有效运行;并结合ATT&CK安全框架各战术及最新攻击技术,验证边界突破、内网横向移动等多种攻击场景下的安全防护体系的防御、响应能力,协助用户持续优化和补齐安全防护体系,持续推动企业安全防护实战化发展。
目前,灵刃Ai·Bot已应用于有一定安全能力的政府、能源、金融等一系列关键信息基础设施行业,为众多行业客户提供持续性的智能化渗透测试服务。
暴露管理(Exposure Management)
报告中,Gartner首次将暴露管理(Exposure Management)纳入观察,虽暂未列出代表厂商,但也颇受瞩目。暴露管理(Exposure Management)由一系列流程和技术组成,允许组织持续和一致地评估可见性,并验证组织数字资产的可访问性和脆弱性。在实际操作层面,应由一个有效的持续威胁暴露管理(CTEM)计划管理推进。
在同期发布的《2024十大战略科技趋势(Top Strategic Technology Trends for 2024)》中,Gartner定义持续威胁暴露管理(CTEM)是一种使企业机构能够持续而统一地评估企业数字与物理资产可访问性、暴露情况和可利用性的务实系统性方法。根据威胁载体或业务项目(而非基础设施组件)调整CTEM评估和修复范围不仅能发现漏洞,还能发现无法修补的威胁。Gartner预测,到2026 年,根据 CTEM 计划确定安全投资优先级别的企业机构将减少三分之二的漏洞。
作为国内率先全面推进CTEM的厂商,华云安致力于以平台化理念为用户提供全面的CTEM解决方案,整合分散在诸如攻击面管理(ASM)、脆弱性评估(VA)及入侵与攻击模拟(BAS)等各类工具中的数据,为企业机构创建一个持续动态的组织暴露面视图,帮助企业机构掌握安全态势。
网络安全验证(Cybersecurity Validations)
同CTEM一样,网络安全验证(CV)也是Gartner在今年频繁提及的一项解决方案,或可期待纳入明年的技术成熟度曲线。
根据Gartner定义,安全验证(CV)是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已识别的威胁暴露面,测试安全防御系统和机制将如何反应。Gartner预测,到2026年,超过40%的企业机构(包括三分之二的中型企业)将依靠整合平台进行网络安全验证评估。
基于Gartner方法论,华云安通过自身的积累,网络安全验证(CV)变成产品、技术和服务,并付诸落地实践。站在攻击者视角,华云安从安全攻击面验证、安全有效性验证、安全一致性验证、事件响应效率验证和安全成熟度持续改进五个方面实现持续的网络安全验证,帮助用户掌握全面、真实的安全态势。
华云安连续两年入选Gartner“中国网络安全技术成熟度曲线”报告,成为攻击面管理(ASM)及入侵和攻击模拟 (BAS) 双领域代表厂商。作为国内专注于攻击面管理的网络安全公司,华云安将基于攻防视角构建新一代网络安全对抗防御体系,通过原子化安全能力平台,面向资产攻击面管理、外部攻击面管理、入侵和攻击面模拟等不同场景,为国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业的数字化转型提供敏捷、弹性、高效的数字安全能力,助力客户构建稳固安全的数字底座,为中国的数字经济发展贡献力量。
声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。