在国际复杂态势和数字化的经济发展的驱动下,关键信息基础设施(以下简称:关基)的安全运营逐步走向实战化、体系化和常态化。。如何通过体系化验证评估找出薄弱项,检验安全措施有效性,并不断迭代安全技术和管理手段,成为关基单位安全防护的一项重点工作。
在国际上,Gartner发布的2023年9大主要网络安全趋势,将安全验证评估纳入到了主要趋势之一。据Gartner预测,到2026年,将有超过40%的组织会依靠集成平台来进行网络安全验证评估。
等级2.0中明确要求定时进行全面安全检查,今年5月真正开始实施的《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)也提出,在关基建设、改造、升级等环节采取测试、评审、攻防演练等多种形式验证。
自2016年起,实网攻防演练作为检验并提高关基单位的网络安全防护水平和应急处置能力的手段之一,逐步实现常态化。同时各地也纷纷开始组织专项行动提升网络安全防护能力。这使得关基单位纷纷开展活动前夕的“自我评估、自我修复”工作。
越来越多的关基单位意识到验证评估是安全运营的一种“刚需”能力,在员工网络安全意识提升、网络基础防护手段增强、系统达到基础合规能力等方面也取得了一定成效,但在实际在做的工作开展过程中,仍面临诸多挑战:
:一是普遍缺乏适应新发展新要求的专业化人才,更难以组织起体系化的安全人才团队;二是现阶段的验证评估手段过于依赖攻击成员的自身能力,而用户缺乏有效的手段评估人员的实战水平。
:目前的验证评估以人员访谈和配置核查为主,缺少实战化、自动化的验证方法。对于新型攻击手段、攻击工具等,若只靠人手动评估,时效性、准确性等都难以保证。
:关基单位也进行了渗透测试、攻防演练等实战化验证评估的探索,然而渗透测试时间短,攻防演练频次少,难以持续进行高频自查,导致评估的可持续性有限、评估报告的“质保期”很短。
:多为单一维度的安全状态评估,以目标系统或应用发掘漏洞为主,缺少对网络安全的全局视角,无法对防护体系进行客观全面以及场景化的验证。
人员、业务系统、安全体系作为三大关键要素,贯穿关基网络安全规划、建设、运营的全生命周期。赛宁网安从保护用户核心业务的方面出发,为用户更好的提供“人员-系统-体系”三维一体的综合验证评估方案。助力关基单位强化安全风险动态评估机制,扭转“头疼医头、脚疼医脚”的局面,实现对关基安全防线的全面“体检”,并提供详细的可视化“体检报告”,帮助关基单位查缺补漏,最终达到“以评促建”、提升整体安全防御能力的目的。
人是安全的核心。赛宁网安依照国家相关法律和法规要求,依托自主研发的数字孪生靶场,基于关基单位实际业务场景构建网络安全测评内容,打造体系化测评的实战环境。通过课程学习、自主训练、能力认证等方式,帮助安全人员提高网络安全意识、补足安全技能短板、掌握专业化安全能力。
安全设备策略配置松动、更新不及时、功能局限、能力不够以及网络配置的漏洞等一直是关基单位安全运营面临的卡脖子问题。赛宁网安基于等保2.0、关保要求等有关标准,从供应链安全、业务安全、业务管理等方面出发,联动如源代码检测、运行环境检验测试、系统漏洞检测、数据安全检测等安全能力,持续验证关基设施网络和系统安全,保障业务连续运行,切实提升用户安全防护能力。
安全体系验证是针对关基单位整个安全体系范围终端、设备、组网等设备资产“从点到面”的体系化、场景化验证,通过模拟攻击的方式在现网环境的安全防御效果做验证。可按照每个用户实际的需求,构建不一样的攻击验证场景,在不影响业务的前提下,进行自动化和常态化的多维验证,量化安全风险并给出安全加固建议,提升用户防御体系的有效性。
赛宁网安作为实网攻防演练的领跑者,始终致力于攻防两端能力的建设,将实战中积累的业务经验转化为安全运营产品和服务,从攻击者的视角出发,利用综合安全验证评估等多种方式,帮助关基单位构建主动、持续、有效的安全运营体系,保障关基安全的最后一公里。