作者:Gartner高级研究总监 赵宇
企业机构要求安全领导者必须不断优化安全控制,满足合规标准以及监管要求。其中,对抗性暴露面验证是一种主动安全评估方法,验证是持续威胁暴露面管理(CTEM)等更广泛的暴露面管理流程和计划中的一个重要步骤。
图1简要介绍了持续威胁暴露面管理,验证是这一流程中的第四步。
随着对抗性暴露面验证市场的发展,一些供应商可能会专注于涵盖所有用例,另一些可能选择支持其传统市场中的用例。目前,中国市场上尚未出现具备所有能力的综合性对抗性暴露面验证工具。
通过高度自动化和一致的攻击模拟,对抗性暴露面验证允许用户验证、评估和持续优化安全措施的有效性,包括切实增强预防、检测和响应能力。对抗性暴露面验证通过提供攻击场景、安全技术栈、人员和流程方面的反馈,提升防御安全团队的工作效率(见图2)。
对于中国的CIO(首席信息官)和安全领导者来说,对抗性暴露面验证提供了对漏洞和安全控制的主动验证,有利于保持策略的一致性,从而有效预防和应对威胁。未来,该技术将在中国的红队测试、安全决策、合规监管等方面发挥重要作用,甚至可能降低网络安全保险的保费。
中国的企业机构多年来一直在进行渗透测试和红队测试。虽然渗透测试和红队测试通过专家的人为干预为企业机构提供了量身定制的深入安全态势洞察,但对抗性暴露面验证提供了一种更持续的自动验证方法,具有更高的可扩展性、更频繁的评估频次,且需要的人工参与程度更低。企业机构在手动执行安全验证时遇到的挑战包括:
依赖个人判断和经验,可能导致结果不完整。
测试人员需要具备较高的能力,而无论企业机构通过内部构建还是第三方采购来获取这些能力,都会导致高昂的成本。
定期验证的较低验证频率无法应对新出现的安全威胁,可能导致发现和应对安全暴露的延迟。
在中国市场,许多企业机构仍然使用人工主导的安全验证服务,通过增加验证频率或细化验证范围来提升验证的有效性。此外,对自动化和一致的安全验证需求日益增长,促进了对抗性暴露面验证技术的发展。
中国市场在快速推进数字化转型的同时,也伴随着独特的监管和网络安全挑战。对抗性暴露面验证代表着中国网络安全测试和验证方法的重大进步。基于Gartner与中国客户的互动,对抗性暴露面验证技术的主要使用者为安全成熟度较高的企业机构,尤其是在金融、电信、互联网、智能制造和能源等领域。对抗性暴露面验证可以帮助中国CIO量化安全投资成果,减少风险暴露面,改善防御态势。
