华云安马维士：云原生架构下的攻击面持续安全验证体系详解

日前，第十一届全球云计算大会·中国站（Cloud Connect China 2023）在宁波举办。在云计算技术论坛上，华云安副总裁马维士受邀发表“云原生架构下的攻击面持续安全验证体系”主题演讲，围绕大会“创新不止，应用无界”主题，分享云计算技术与网络安全攻击面管理技术融合的最新进展与实践。

近年在线办公、在线医疗增速显著，十四五期间着重推进数字政府建设加速，2025年物联网连接数250亿，2023年1季度软件收入24415亿元.......种种迹象表明，我们正在跑步进入数字化时代。目前，数字化转型正处于云原生化演进阶段，据 IDC 预测，到 2024 年，新增的生产级云原生应用在新应用的占比将增加到 60%或以上。

数字化转型网络安全面临新的问题，网络安全的战场、对手、攻击手段、攻击目标都产生很大的变化；同时业务多变，安全建设要求多变，那么如何将业务建设与安全建设兼容，并持续性迭代，成为一大难题，从传统安全建设硬件或软件产品堆叠转向云及云原生安全建设是我们面临的优先任务。

自2021年7月，  Gartner发布《2021安全运营技术成熟度曲线》，将攻击面管理相关技术定义为新兴技术后，攻击面管理连续多次成为网络安全行业最为热门的技术方向之一。

攻击面管理技术主要包括三个方面：第一，EASM外部攻击面管理，通过聚焦外部的视角来审视数字风险，通过流程、技术、服务发现主要面向互联网企业间的数据资产和相关风险；第二，网络资产攻击面管理，更聚焦于在内部的资产可见性、漏洞管理方面的技术，包括通过各种API集成有效对接各种IT管理系统，获取更多资产数据；第三，BAS入侵与攻击模拟，这是安全防御体系验证的自动化手段，通过攻击模拟的手段识别网络的防御有效性。

构建完整的攻击面解决方案，首先要具备基础的安全能力，即资产发现的能力、分析研判类安全能力、情报预警类能力、响应处置类能力，以及安全服务的能力。在这些安全能力基础上构建相关的业务能力（情报管理、资产管理、漏洞验证修复等），在这些业务的基础上结合管理的场景搭建外部攻击面管理平台，网络资产攻击面管理平台，攻击模拟的管理平台。

以业务及攻击者视角构建闭环攻击面管理体系，主要由资产清点，自动化测试，优先级评估，情报预警，响应处置等5个步骤构成：

网络安全防御体系建设，从初期架构安全、被动防御，到主动防御、情报协调、进攻反制，将主动防御结合情报协同的效果最大化就是进攻反制，这是比较难的技术演进方向。

其中，网络安全验证是核心。Gartner认为网络安全验证是技术、流程和工具的融合，用于验证潜在攻击者如何实际利用已识别的威胁暴露面，测试安全防御系统和机制将如何反应。网络安全验证的技术路线经历了从智能渗透，攻击模拟，到持续安全验证体系建设的阶段演进。

2023年5月1日《信息安全技术 关键信息基础设施安全保护要求》正式实施的，从相关要求来看，基于安全合规要求也是要构建相应的安全验证体系。安全有效性验证可以进行攻击面安全评估，安全攻击有效性评估，安全基线一致性评估，安全事件响应效率评估，最终促进安全成熟度得到提升和改进。

从实践角度来讲，华云安基于攻击者视角构建完整的安全验证体系主要通过资产攻击面管理、外部攻击面管理、入侵与攻击模拟、渗透测试和红队服务来进行落地。华云安通过持续安全验证体系能够有效解决以下几个场景问题：第一，深度挖掘企业完整的攻击面，通过自动化的手段发现潜在问题。第二，通过杀伤链模型对目标进行细颗粒度的模拟攻击测试，呈现完整的攻击链路和攻击方法，暴露弱点以及受影响的相关业务。第三，基于场景的安全验证策略，有效对防火墙、WAF、EDR等管理策略进行有效性的验证，检测其安全能力。最终通过不断持续地安全验证，能够有效地量化和评估企业安全风险，管理企业网络安全的态势，平衡安全和业务的关系。

传统安全产品覆盖领域广，产品品类众多且同质化现象严重，想要整合这些安全能力是一件异常复杂的事情。因此，华云安认为，统一的整合的安全平台是网络安全行业未来的发展趋势。基于攻击者视角构建完整的安全验证体系，我们更倾向以云原生原子化安全能力为核心来实现。

华云安基于攻击者视角的持续安全验证体系建设，通过一个整合平台，基于云原生架构将安全能力原子化，不断扩展相关安全能力，并可编排和调度这些安全能力。从架构上来说，核心功能包括基于云原生架构的统一安全平台，支持私有化、混合云，SAAS等多种交付模式，提供基于知识图谱的安全风险库、资产库，以及不断迭代的人工智能引擎，基于这些基础能力，开发提供各种原子化的安全能力，满足安全验证体系的建设要求。