随着网络入侵事件的激增,以及对抗性技术的迅猛发展,我们发现传统的安全评估方法已经难以跟上时代的步伐。这些方法的局限性开始超越它们所带来的价值,企业采用它们往往只是为了满足合规要求,而非真正为了识别和解决安全弱点。
许多组织已经认识到,传统的安全评估方法,如简单识别系统和网络漏洞,或重复典型攻击场景,已经无法应对日益复杂的安全挑战。免杀型恶意软件的不断增加,这类恶意软件旨在有计划地针对和破坏企业现有的安全防御体系,同时保持隐蔽性,这进一步凸显了传统方法的不足。因此,具有前瞻性的企业已经开始转向安全验证(Cybersecurity Validation)技术,以应对这些挑战。与传统方法不同,安全验证技术能够根据最新的受害者威胁情报,将安全措施持续自动暴露于各种以最新攻击手法为主的网络攻击模拟之中,测试它们对复杂的、全攻杀链的防护能力。
与传统方法相比,安全验证能够提供可靠且数据驱动的安全验证,并为企业提供明确的缓解建议。它消除了不确定性,明确告诉企业如果安全投资未能达到预期效果时的应对策略。本文全面分析了安全验证 与 传统安全评估方法的区别。
免杀型恶意软件使用次数每年增加333%。
现代网络威胁形势发生了巨大变化,复杂而隐蔽的“免杀型”恶意软件使得传统的威胁检测与评估技术越来越力不从心,难以提供反映真实世界安全威胁的准确评估。
例如,识别和利用漏洞的渗透测试无法模拟攻击者的整个攻击策略,防御措施的有效性可能无法在特定情况下得到验证。虽然红队能以攻击者为中心,对组织的安全态势进行评估,但其耗费资源强度大、执行频率低(每年一到两次)。而安全产品的配置可能长期有误,不能及时得到优化,甚至无法应对新威胁。同样,尽管漏洞评估是自动化的,但它的作用范围也仅限于网络、软件和系统,不能验证潜在漏洞的可利用性,评估其对业务的影响。
为应对这些挑战,安全验证(Cybersecurity Validation)技术一跃成为卓越的安全验证解决方案。安全验证利用连续的自动的APT攻击场景进行攻击模拟,模仿整个攻杀链的全过程,弥补了传统方法的局限性。这些模拟可识别安全态势中的各种缺陷与弱点,针对企业特定的需求提供即时可行的缓解建议,能够从预防和检测两个层面出发,对当前安全运维的有效性、安全措施的有效性、安全运营的有效性进行明确的、有数据支持的评估,有效量化实际风险并传达给决策者。这是获得持续支持,提升企业在实战中安全防御的有效性的关键。在本文中,我们将针对五个不同类别的传统安全评估方法进行对比分析,说明为什么 安全验证代表了新型的安全实践之一。
在分析的 600,000 个恶意软件样本中,有 26% 被认定为免杀行,它们会主动发现并绕过已实施的安全防御。
安全评估方法
安全评估主要评价组织的安全措施防范网络威胁的有效性,全面检查威胁检测性和防御性安全解决方案,以确保它们的正确配置、优化和运行,在攻击者进行攻击前、中、后发挥应有的作用。
以下是最常用的安全评估方法。
• 红队
红队是一种先进的对抗性方法,用于评估组织安全措施的稳健性。通过采用真实世界攻击者的视角,红队成员使用类似的战术、技术和程序(TTPs)来策划网络攻击。这些活动以组织的网络、系统、应用程序和物理安全防御为目标,发现潜在的攻击载体和路径,拿下关键资产,如域控制器 (DC)。
• 渗透测试
渗透测试是种有针对性的安全评估方法,用于识别和利用系统或应用程序中的特定漏洞,重点是通过技术评估发现和减少安全缺陷。虽然它能详细了解单个系统或应用的安全性,但与红队等更广泛、更具战略性的安全评估不同,它侧重于即时漏洞,而不是组织的整体防御能力。
• 漏洞评估
漏洞评估实际上是个系统化的过程,旨在识别、量化系统或应用中的漏洞并确定其优先级。它通常包括扫描网络、系统和应用程序,以检测软件缺陷、补丁缺失、配置错误和网络应用程序漏洞等漏洞。漏洞评估的主要目的是确定信息系统中存在哪些弱点,攻击者有可能利用这些弱点进行未经授权的访问、破坏服务等。
• 安全验证(Cybersecurity Validation)
安全验证是新型的安全评估方法,它利用自动化来模拟针对组织安全防御体系的各种网络攻击。它系统化、实战化地模拟从过往攻击事件中收集到的攻击者的技术手法,在真实环境中进行模拟的结果将能真实体现有安全防御体系对黑客攻击的有效程度并找出弱点。通过持续测试,安全验证 使企业能够实时洞察其威胁状况,促进主动防御的增强和事件响应策略的完善。通过模拟各种攻击场景(如 钓鱼、边界突破、提权、横向移动、C&C回连、和数据外渗等等),让企业能够了解自身在攻击者整个攻击链的各个阶段的威胁检测、狩猎能力以准确快速地响应;此外,安全验证 评估生成的详细报告与缓解建议有助于根据风险严重程度确定修复工作的优先级。
比较分析:传统安全评估方法与安全验证
本节将介绍我们的比较分析所依据的七个主要特点。
· 自动化自动化减少了对人工参与攻击过程的需求,让企业将有限的人员集中用于处理更关键的问题上,这种战略性的重新分配提高了效率,保证企业始终关注关键领域。· 持续评估组织的安全基础架构在不断演变,安全产品频繁更新、配置变化、引入或取消安全措施。与此同时,威胁也越来越复杂。因此,持续的安全评估对于有效应对这些变化至关重要。· 评估安全产品企业部署了大量安全产品措施作为深度防御战略的一部分,每种产品都有不同的抵御网络攻击的能力,这些产品通常用于不同的网络和位置。由于安全防御的有效性是由其最薄弱的因素决定的,因此安全评估方法应全面测试整个安全基础设施,发现和解决所有弱点。· 可行的解决措施评估后,安全团队需要获得明确的指导。发现风险与问题,不去修复,就会损害评估的价值。因此,安全评估方法应提供即时、可操作的缓解建议,使得企业尽快实施操作,排除风险。· 评估范围评估整个网络攻杀链非常重要,它可以让企业识别和排除攻杀链中的潜在攻击载体。扫描从初始侦察到数据外泄这一系列威胁,企业可以全面了解不同攻击阶段的自身安全防御的弱点。这种全面的安全评估方法可为企业提供稳健的保护,主动预防攻击者入侵,并尽早在潜伏阶段发现攻击者,切断攻击链,维护组织防御系统的完整性。· 新威胁检测安全评估方法应支撑企业能够在最短时间内检测到新威胁,帮助企业持续有效应对愈加复杂的网络安全威胁。这种能力可以在攻击者利用漏洞和薄弱环节前迅速发现它们,确保安全控制措施的稳健性和有效性。快速检测新威胁有助于保持安全防御的完整性,在不断变化的网络安全环境中保护组织资产,维护信任。因此攻击库的更新与攻击手法自定义添加的能力尤为重要。· 无风险评估安全评估的进行不能给企业带来新风险和业务上的干扰,避免出现评估中断,影响企业运营的有效进行,导致收入损失。确保这些评估的连续性、全面性,可让企业有效识别和解决安全弱点,防范潜在威胁,但又确保安全性。
93% 的安全专业人员认为,自动化将使他们的工作与生活越来越平衡(比如:可以正常参与部门团建活动、长假不需值班)。他们希望自动化能帮助团队提高生产力、节省时间、优化性能和可靠性。72% 的网络安全领导者认为威胁形势正变得更具挑战性。
1. 自动化
通过自动持续测试横向移动和数据外渗等威胁载体,安全验证使企业能够更好地了解其安全态势的薄弱环节。
自动化减轻了有限人力的压力和安全团队的负担。它简化了安全评估,优化了资源使用,将精力集中在关键任务上。这样既能增强安全态势,又不会增加工作量。
安全验证安全验证 是一种可自动进行安全评估的技术,允许企业在没有人工参与攻击过程的情况下模拟针对其防御系统的网络攻击。如果配置正确,它可以自动模拟攻击库中的最新威胁和最新攻击手法,为验证安全防御提供易于使用的编排方法。渗透测试这种非自动化方法的成功很大程度上取决于测试人员的技能和专业知识。然而,测试人员可能无法应用以前学到的所有攻击方法。此外,由于无法评估代码、反编译程序和网络服务等所有系统组件,测试人员无法提供全面的见解,这与自动化工具所能达到的效果截然不同。红队红队是一种通过内部人员或外包模拟真实世界威胁的演练方法。然而,无论由谁执行,这种评估方式都需要大量资源。由于缺乏端到端自动化,要持续重复演练难度极大,因此难以评估环境变化对安全态势的影响,更难确认持续安全防御能力的情况。漏洞评估这种自动方法为检测已知漏洞提供了直接、可调度的方法。它效率高,能在数小时内提供结果,而且不需要专业知识。与渗透测试相比,它往往能为企业提供更具成本效益的解决方案。2. 持续评估
通过持续评估可减少84% 初始访问阶段黑客成功打点的安全事件。
安全评估是一种持续性的做法,以帮助组织在新威胁、安全产品变化以及安全产措施的增添上保持领先地位。
安全验证安全验证提供全天候、365 天不间断的安全评估方法,帮助企业识别解决功能不全、性能不佳或配置错误的防御产品。相比间断性的安全评估方法,这种持续的评估方式能显著降低成本。红队从本质上讲,持续的红队评估是不可行的,因为它需要有专业知识的人员耗费大量资源精心策划来模拟真实的网络攻击。红队对人工和成本的要求都非常高,而且持续评估不仅可能会消耗资源,还可能扰乱原系统的运行。渗透测试由于渗透测试有范围限制,且需要大量的准备工作,因此无法持续进行。它需要深入了解目标系统,模拟攻击手法,发现和利用弱点。这个过程高度依赖专业知识,需要针对每个环境进行定制,不适合长期自动化评估。漏洞评估理想的漏洞评估能够利用自动化工具持续扫描和评估系统的安全漏洞。这种方法能让企业快速识别修复其网络、系统或软件应用程序中的安全漏洞。一个组织的纵深防御策略只有在对其安全产品进行彻底的、持续的有效性验证,确保每一层功能完美协调的情况下才是稳健的。(网络、应用、数据、主机)
3. 评估安全产品
41% 的攻击绕过了 IPS、NGFW 或 WAF 或 防病毒等安全防御产吕。
验证必须明确现有的安全产品和其应对威胁的准备情况,确定优先次序,了解已识别的风险。
安全验证安全验证 解决方案能够无缝集成各种预防和检测技术,增强企业的深度防御战略。它们涵盖网络层(如防火墙、IPS/IDS、NTA、DNS安全)、主机层(如 AV、 EDR、HIPS/HIDS)、应用层(如 WAF、RASP、ESG、AD 安全)和数据层(如 DLP)以及 SIEM 等跨层解决方案,根据数据深入了解安全措施的有效性。红队红队可以模拟攻击评估安全产品的有效性,但因明确每个潜在攻击路径都需要大量资源,所以红队无法检查所有安全解决方案。这种方法能够识别关键的攻击载体,将它们串联起来发现攻击路径,但不能审核每项安全产品。渗透测试渗透测试主动利用漏洞来评估系统的安全性,但它不能详尽分析所有已实施的安全解决方案。这种方法具有很强的针对性,只能有限的范围和时间内攻破特定的组件或系统,因此它可能无法发现组织整个安全环境中的每一个潜在弱点。漏洞评估漏洞评估能够发现系统或网络基础设施的薄弱环节,但不能评估现有安全产品的有效性。它的主要目的是识别潜在的攻击载体,确定补救工作的优先次序,而不是进行各种类别产品的有效性验证或安全评估。
4. 可行的解决措施
关键严重性漏洞的平均修复时间(MTTR)是65天。
安全评估方法不仅要识别安全弱点,还要提供可行的缓解建议,增强组织的安全防御能力。
安全验证安全验证 技术能够针对每种模拟威胁提供可行的缓解建议,这些建议不仅包括普通供应商(比如 安全产品),也包括了特定供应商(比如 SOC 平台、SOAR 平台),还包括自身运维团队或企业安全策略及制度。这就减少了防御团队进行缓解研究的时间,让团队能快速稳健地改善安全态势,使用不同的、可落地的策略来应对那些攻击场景。红队红队演习能促使组织的安全团队根据系统漏洞采取解决措施。然而,这些建议往往缺乏深度和具体性,只是提供了一个总体方向,不能提供处理攻击或漏洞的详细步骤。渗透测试渗透测试往往缺乏可行的洞察。测试人员虽然可能发现关键漏洞,但他们无法提供解决措施的指导。企业认识到了系统安全漏洞,但却没有解决这些问题详细的方案,解决/修复计划的责任负担只能转嫁给内部团队。漏洞评估漏洞评估通常不提供具体的缓解策略。这种方法只考虑发现安全漏洞,而不是提供直接解决方案。如果没有解决措施的指导,安全团队在确定优先级和有效解决漏洞方面可能会面临挑战,从而有可能削弱企业在实战中的安全防御能力。安全验证的攻击模拟模拟了新出现的威胁和完整的攻杀链,精确定位安全产品不足的关键攻击向量,使安全专业人员能够在攻击产生破坏影响前切断攻击链。
5. 评估范围
安全防御无法预防44% 的多阶段攻击。在应对复杂的攻击场景时,当前的防御策略存在重多不足。
范围决定了安全产品评估的深度。广泛的评估范围可保证组织能根据具体情况确定其安全状况中的安全弱点,尽快采取补救措施。
安全验证安全验证 可以模拟黑客的整个攻杀链,从初始访问开始执行权限升级、凭据访问、横向移动和数据加密等技术。借助与 MITRE ATT&CK 等相对应的攻击战术与技术,安全验证 能让企业评估针对每个攻击步骤的防御能力,识别和消除潜在风险。红队红队人员的任务目标是访问特定目标,他们会设计一系列攻击载体来实现这一特定目标。这种做法侧重于实现目标的关键攻击路径。它不涉及全面的安全评估,也无法揭示特定目标所有攻击路径,红队通常只能证明一条路径可达成目标,而许多其他路径则未被发现,即便发现了其他路径也有可能留下它做为下一次评估时使用。渗透测试由于在预定义的范围内工作,渗透测试无法发现攻击者可能利用的所有漏洞。例如,如果测试仅以管理银行卡支付的 IT 基础设施为目标,则对组织整体安全防御能力的了解有限,可能导致对其安全态势的评估质量缺乏全面性。漏洞评估漏洞评估的范围比渗透测试更广,但重点是识别已知的安全弱点,而不是利用这些弱点。这种方法能够识别和量化漏洞,让组织了解其面临的潜在威胁。
6. 24 小时内检测新威胁
只有 29% 的安全专业人员表示他们信任现有的威胁检测手段。
当外部新威胁攻击组织,或公司的产品中出现新的0 day 漏洞时,测试其安全防御有效性至关重要。安全验证安全验证 能够持续更新由专业人员收集到的受害者威胁情报。即使外部出现了重大的0 day 漏洞的 POC,安全验证 产品也应能在24小时内将相应的攻击手法更新或自定义添加到攻击库中,帮助企业迅速测试其对潜在的漏洞攻击的防御能力。红队红队人员可以通过开展 CTI 研究、挖掘漏洞数据库或潜伏在地下黑客论坛来学习新的攻击技术。然而,要保证24小时攻击模拟,就必须一直进行红队演习,这是很难实现的。渗透测试渗透测试的人员还可以迅速了解新的攻击技术,但往往无法进行24小时测试,因为渗透测试需要事先确定测试的范围,既无法做到及时性,也会降低测试的有效性。漏洞评估漏洞评估主要依赖自动漏洞扫描仪,其数据库会根据新发现的漏洞进行更新。不过需要注意的是,这些更新一般不会在发现漏洞后的24小时内实施,如 CVE。
7. 无风险评估
30% 的成功入侵来源于滥用有效账户凭证,这也是网络犯罪分子最常见的切入点之一。
安全评估方法应对运行环境没有风险,以确保不会干扰业务流程,损害系统完整性。
安全验证安全验证技术在可控环境中进行安全、无干扰地进行攻击模拟,但同时这些攻击模拟又可以穿越现有环境中的各种防御手段。在将攻击手法添加到攻击库之前,技术人员会进行安全和性能测试,确认模拟功能正常,不会造成意外的系统或网络攻击扩散或破坏,确保企业日常工作流程不会中断,系统性能不受影响。红队红队采用的是以攻击者为中心的方法,通常会优先考虑隐蔽性。如果不能及时地解除他们对环境所做的改变,可能会在无意中引入新的攻击载体,让环境更加脆弱。渗透测试由于采用了较为激进的方法来识别和利用漏洞,渗透测试具有一定的破坏性,但通常它被提前约定进行约束或在靶场中进行,因此它通常不会过于考虑干扰或网络载荷都带来的问题。漏洞评估漏洞评估安全无风险,不会危及被测系统的运行完整性或安全性,非侵入式扫描技术,可在不干扰系统正常运行的情况下找出弱点。
总结
在当今的数字时代,采取有力的安全措施比以往任何时候都更为重要。网络威胁的演变,尤其是复杂的免杀型恶意软件的崛起,要求企业转变模式评估安全态势。因此,面对复杂的网络威胁,红队、渗透测试和漏洞评估等传统安全评估方法虽然很有价值,但还远远不够。
| 安全验证 | 红队 | 渗透测试 | 漏洞评估 | |
| 自动化 | √ | × | × | √ |
| 持续评估 | √ | × | × | √ |
| 评估安全控制 | √ | 部分 | × | × |
| 可行的解决措施 | 即用的解决措施 | 有限的一般性建议 | 有限的一般性建议 | 有限的一般性建议 |
| 评估范围 | 全攻杀链 | 受预定目标限制 | 受预定范围限制 | 受预定范围限制 |
| 快速响应新威胁 | 24 小时内检测新威胁 | 下次演练前无法检测 | 下次演练前无法检测 | 3-5天内检测新威胁 |
| 无风险评估 | √ | × | × | √ |
安全验证技术已成为应对这些挑战的重要解决方案。与传统方法不同,安全验证可针对各种网络威胁,为各类安全防御措施进行持续的自动测试。这种方法不仅能识别整个网络攻杀链中预防和检测的薄弱点,还能针对这些薄弱点提供具体可行的缓解建议。安全验证能够持续不断地模拟真实世界的攻击,确保针对已知和新出现的威胁测试安全措施的有效性。此外,安全验证的自动化运行大大减轻了安全团队的负担,让团队专注于优先解决措施,而不是不断应对新威胁。
对比分析表明,在当今的威胁环境中,安全验证是最出色的验证方法。通过在所有安全层提供持续、自动和全面的评估,安全验证可确保企业在攻击者利用安全漏洞之前迅速识别,减轻负面影响。这种积极主动的整体安全验证方法不仅能跟上网络威胁的步伐,还能保持领先地位,确保安全防御系统不断优化,随时准备抵御新的挑战。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
