昨日，国内知名数字产业领域中立第三方调研咨询机构数世咨询发布了《数字安全能力指南》——持续评估定义安全运营报告。通过调研、对比目前十余家已具备相关能力的前沿安全厂商对比分析出了这一领域当前的产业现状并进行了各厂商的能力展示。

其中，矢安科技凭借攻鉴（AS BAS）突破与攻击模拟系统凭借优异的产品创新和市场执行力在数字安全能力点阵图中位居前三。

图1：数字安全能力点阵图-持续评估定义安全运营

图2：矢安科技能力雷达图

持续评估与安全运营的关系

报告认为，持续评估作为验证与度量的手段，同步参与安全体系的建设。参与度越高，越能有效助力体系建设，提升安全运营能力。如下图所示：

图3：持续评估与安全运营的关系

• 报告认为，在安全体系建设初期，安全团队人很少，安全手段以传统工具/设备为主，此时持续评估的参与度并不高，需求也不强烈。（例如“老三样+渗透测试服务”，对应图中“渗透测试”箭头）；
• 在安全体系建设中期，安全团队人数增加，引入了管理制度，并开始建设安全运营平台，此时就需要验证与度量作为量化考核的手段了，在参加一些重保、攻防演练活动前，也有必要提前通过验证与度量先行自我检查（对应图中“攻防演练”箭头）；
• 在进入安全体系建设成熟期后，大批量的安全工具/设备需要纳管、维护，实战化、常态化安全运营成为安全团队的日常主要工作，为了优化威胁检测与响应流程，提升MTTD/MTTR时效，持续的评估工作（以BAS为例）开始深度参与，不断发现现有安全运营体系的短板与失效点，持续提升整体安全运营水平（对应图中“入侵攻击模拟”箭头）；
• 因而长期来看，理想状态下，安全运营的状态应该如图中红色箭头所示，是一条45°向右上延伸出去的箭头，此时的安全体系建设与持续的评估验证是同步推进的，即安全体系建设、常态安全运营、持续评估验证三位一体实现了同步发展、同步提升。也可以说，通过持续的评估验证，重新定义了安全运营。

关键信息

在市场情况中，按照数世咨询《中国数字安全产业年度报告2023》中的统计数据，2022年国内数字安全产业规模为981.7亿元，预计2023年将达到1030亿元。以此数据为基础，参考金融、政府监管、能源电力、运营商等行业安全运营投入、持续评估所占比例，数世咨询预计2023年持续评估定义安全运营的市场规模可达到3亿元，2025年预计将增长至10亿元规模。

在产品能力上，安全评估验证用例的积累、对海量攻击的提炼与用例转化、持续评估的自动化程度三个维度则被认为是为“持续评估定义安全运营”所需要的关键能力。

矢安科技某大型用户典型客户案例

项目背景：

安全建设完善不等于安全效果符合预期。

从机构报告上来看：

根据Cymulate 2020年发布报告数据显示，仅51%的组织认为他们的安全控制手段能按照他们预设的方式发挥它应有的作用和价值。换句话说，另有49%的组织并未完全发挥产品的安全价值，企业无法判断攻击手法不断更新情况下的验证防护能力失效情况，因而无法进行有效调整、无法保证防护效果符合预期。

从实际效果上来看：

企业和组织正在逐步建设网络安全防护体系，如IPS、IDS、NTA、XDR等。虽然安全防护体系搭建已逐渐趋于完善，但在面临真实国家HVV、真实APT威胁场景下是否依旧具备应对防护国家HVV攻击队、APT威胁的日益复杂和精巧的攻击技术的能力。相信参与过国家HVV或曾面临过APT攻击的企业和组织对此深有体会；

从评估手段上来看：

即便客户的安全部门知道企业的应用在不断变化、安全行业的攻击手法在持续更新，但企业和组织传统验证方法无法满足需求，缺少一个自动的、全面的、一致的、周期性的安全建设防护能力验收手段；

需求痛点：

某大型企业集团的BAS项目，通过前期与用户的实际沟通交流结合项目实施落地的场景，分析其需求痛点后具体如下：

• 自动化验证：缺少周期性的集团整体防护能力自动化评估验证手段；
• 分子公司验证：缺少筛选集团所有分子公司中安全风险监控弱、处置响应弱的手段；
• 新型攻击验证：缺少新攻击手法更新时、快速验证防护能力是否有效的手段、当下人工加脚本的验证手段响应处置耗时太长；
• 全集团统一验证：缺少全集团0day风险下，快速、一致的安全防护设备检测/阻拦能力验证的技术手段；
• 防护基线提升：缺少强攻防属性安全设备检测能力的全面性验证手段，存在漏报情况较多、内部攻防防护效果一般等因防护基线差而导致的问题；
• 安全运营效果：缺少持续验证各类安全设备有效性手段、导致SOC平台在日志降噪、关联分析、编排联动等场景的准确度不高，运营时存在错误告警和处置风险；

方案特点：

矢安科技攻鉴BAS方案具备以下特点：

• 体系全面：以矢安科技攻鉴系统建设覆盖边界、网络、应用、数据、人员、终端各层防护有效性验证能力,通过常态化对集团子公司防护能力进行评估验证，促进集团安全持续改进；
• API调度：集团安全运营中心以API接口调度攻鉴的能力，对分子公司安全状况进行统一展示，并实现安全风险流程化闭环管理；
• 可视与量化：以数据化的行业安全能力指标检查集团内分子公司，对安全能力进行排名、对安全运营效率进行量化，大幅度有效提升了集团的整体安全能力；
• 轻量私有化部署：轻量级、易部署的私有化部署方式，支持多租户/多用户池管理，企业自主掌控所有数据和权限，也可实现内外网隔离，更好地满足大型企业的数据安全性以及隐私保护的需求；
• 无害化技术：使用无害化、无损失攻击验证核心技术，对业务不入侵、无影响。同时，模拟漏洞利用环境不引入靶场环境，避免了对企业可能造成的安全风险；
• 灵活订阅：矢安科技支持针对不同的场景提供不同频率的订阅、支持基于不同BAS场景下配套的周期报告服务；本项目涉及的场景有：钓鱼演练、威胁情报、邮件网关验证、WAF验证、威胁防护、终端验证、数据安全验证等；
• 联动方案：矢安科技攻鉴BAS支持和矢安科技觅影EASM进行联动，实现更贴合用户实际暴露场景的防护能力验证。例如，通过EASM发现企业哪些web应用没有WAF防护、哪些web应用存在风险服务和组件、哪些web应用存在POC扫描的漏洞，将这些信息给到矢安科技攻鉴BAS后可发起贴合实际业务和风险的防护验证、而非基于安全设备的全量（不存在的应用/组件）防护验证；

客户价值

基于项目前期需求、结合实际应用、以及集团用户内部沟通等场景，此项目的实施具备以下客户价值：

• 子公司纵深防护提升：通过集团总部解决因单点防护效果差导致整个纵深防护效果差的情况，集团总部针对各个子公司的防护设备进行体系且完整的验证—整改—提升的闭环后，各个分子公司的单点防护设备攻击手段覆盖率从过去低于30%逐步提升到80%+、各个分子公司的纵深防护能力（监控、研判、处置等）大幅度提升；
• 超一半子公司实现主动防护：能力成熟度方面，通过不断优化安全能力，50%以上子公司，已经从过去“被动”安全转换到“主动”安全（采用集团统一纬度的评价体系，确定 50%以上分子公司符合主动安全能力），大幅度提升集团整体安全能力；
• 设备运维投入产出比：引入攻鉴的实战效果技术评估能力，对新采安全设备进行开箱即用的漏报率验证、选择策略调优运维成本最低的厂商，对扩容/替换安全设备进行检出率比对，真实地评估替换/异构的必要性，便于做出最优决策、实现降本增效；
• 安全防护基线提升：自动化、常态化安全评估验证大大降低人工成本，缩减了相应资金投入，防护能力的提升使得攻防演习中攻击队难度直线上升、提高的实战演练服务的产出价值（攻击队发现更深层次的安全隐患）；
• 赋能业务部门创收：攻鉴的内部成功应用，大幅度提升了集团安全监控能力，同时集团以安全验证为技术核心，对其业务部门赋能增值服务模式，实现新的创收；
• 0day全集团快速验证：周期性的集团整体防护能力自动化评估验证手段，增加了全集团0day场景下，快速、一致的安全防护设备检测/阻拦能力验证的补充；