而大多数时候,企业从大量安全咨询报告中得到的,只是一长串存在问题的列表,关于如何分辨哪些漏洞会产生重大危害、如何修复、从哪开始,以及遭遇攻击怎么做才是有效的应对等等,却内容寥寥。
安全服务仅是一堆关于存在风险的报告吗?安全服务仅是一系列工具+人工的服务项目吗?在长亭科技日前举办的2021年新品升级发布会上,安全419听取到这家以攻防见长的安全企业的一套新模式——用“量化”的方式来做安全服务。
从单点到“量化” 安全服务三步进阶
长亭科技是业内比较典型的以攻防技术起家的公司,其战队常年霸榜国内外各大CTF的前列。据长亭科技联合创始人、首席安全研究员杨坤介绍,在创业初期,长亭科技提供的安全服务是直接输出其攻防能力,帮助企业解决单点的安全问题。逐步累积下来,对应到企业业务开发全生命周期的每个节点上,他们都有相应的安全服务可提供。
此后,随着我国大型攻防演练的规模化和普及化,长亭科技开始参与到企业重要时期的安全建设中,解决的不仅是单一的问题,而是跟客户并肩作战,深入到组织内部去发现和解决系统性的问题。也正是这一阶段的安全服务形态,让杨坤意识到,企业要能够抵御长期的威胁,需要长久持续地去建设自身的安全能力,并且不断升级、不断改善,而非依赖厂商一次一次地解决单点的问题。
到了这一步,杨坤就一直在思考,能不能依托自身的硬核攻防能力,赋能企业中长期的安全建设?即,向客户输出体系化的而非单点的安全能力,通过转化的方式帮助企业构建自身的安全能力。
长亭科技给出的答案是,用“量化”的安全服务来解决当前企业安全建设的困境。
什么是“量化”的安全服务?
这个问题需要从安全的本质和使命来剖析。安全的本质是攻防两端持续不断的对抗,不存在一直有效的攻击,同样也不存在一劳永逸的防护。攻击技术的演进是其中最重要的驱动力,而技术一直在发生变化,相对不变的是能力——为了保护特定对象不受到侵害应具备的安全能力,而这也是安全的使命。
而且,攻防具有不对等的特性,因为攻击只需要找一个点就可突破,而防守需要面面俱到。这样易攻难守的局面促使大家想要建立体系化的防御,才能应对不断变化升级的攻击技术。
这也带来了很大的困境,大部分企业面对系统化的安全建设工程时,其实并不清楚到底要建设哪些项目,实施步骤顺序是怎样的,这些不同的能力做到什么程度才能有效抵御攻击。
杨坤认为,矛盾的源头在于缺乏一个“度量”的体系,因为无法量化企业当前的安全建设处于什么水平,所以也无法确定接下来的安全建设目标,也就无法落实应该做什么、先做什么再做什么等一系列难落地、难执行的问题。
长亭科技为此研究设计了一个企业攻防能力成熟度评估模型,来量化企业的整体安全能力。首先,企业需要知道应对实战化的威胁都需要哪些能力,所以模型从防护角度拆解出四大基础能力——攻击预防能力、防御加固能力、事件检测能力和事件响应能力,并加上外围的三个能力中心——对应能力、反制能力、关联分析能力,基于以上四大基础能力来不断进行改进、反馈和提升。
进一步,通过参考ATTACK攻击矩阵,模型将上述七大能力继续细分,拆解成数十个更细致的能力单元,把攻击视角的知识应用到防守上,以覆盖市面上所有已知的攻击行为。
而对应到每一项能力单元,模型从人员、制度流程、技术平台三个维度设定了相应的评估细则,帮助企业评估每一项能力当前所达到的级别。据杨坤介绍,该评估细则融入了长亭科技多年来深耕一线的实际攻防经验,其中包含对应的技术手段、描述性的要求、安全建设要素等等,并通过参考CMMI(Capability Maturity Model Integration,能力成熟度模型集成),将其绘制成多维的雷达图,能够非常直观、定量地来展示一个企业当前应对网络攻击的防护能力处于一个什么样的水平。
有了这样一套评估企业攻防能力成熟度的工具之后,不仅能了解企业自身的安全能力水平,也能把握行业的平均水位及业内优秀企业的情况,以此有的放矢地指导、规划企业中长期的安全建设。
攻防能力得到量化的同时,安全建设还面临一个很实际的难点——大部分企业的安全人员能力不足,急需提升。长亭科技同样用度量的方式设计了一套“安道场”能力提升综合解决方案,包含“红蓝赛”安全训练课程体系、人才能力KSA度量方案等等,能够对安全人员学习的能力做一个量化的评估,更好地指导企业培养安全人才,以此来帮助企业打造安全“健身房”。
杨坤表示,度量体系让企业安全建设这种原本抽象的事情被看见、被具象、可量化、可扩展。通过评估度量,定性定量,了解现状;再通过运作运营,持续优化,不断修修正。掌握攻防的本质,预见能力建设的阶梯,一步一步脚踏实地建设是实现目标的最佳路径。
京公网安备 11010802033237号
