关注兰花豆，探讨网络安全

Gartner在《2023年网络安全的主要趋势》一文中首次提出安全验证理念，安全验证是技术、流程和工具的融合，用于验证潜在攻击者如何利用已识别的威胁暴露，以及安全防御体系和流程的实际应对情况。通俗直白来讲，就是来验证目前的安全防御体系是否能被攻破，识别防御体系的薄弱环节，加强防护措施，进一步提升防御能力。

网络安全行业目前出现一些观点，公司上了很多安全产品还是中招了，等保三级都做了还是出现了网络安全问题等，出现了很多安全产品无用论的观点。其实网络安全追求的是动态平衡，是攻防两端能力的较量，更是价值和成本的较量。谈网络安全防护不能拘泥于设备和系统能解决根本性的问题，也不要迷信技术提升能达到攻守平衡，而是要基于实际业务来开展安全规划和建设，很多情况下可能是故弄玄虚。不管采用哪种安全防护体系，核心是要被证明有用，不能是花架子，那还得有一条关键路径，就是不断地去安全验证，从安全防护体系、方法、技术等各个环节去找薄弱环节。这就好比人一样，需要不断去学习，反省，找出自己不足的地方去弥补。

安全没法闭环，因为每天都在变化，安全验证也只是其中的一条关键路径，安全规划、安全建设、安全运营、安全验证，都没法被证明，可能还造出新的名词。安全验证是个非常大的概念，技术、流程和工具很多，基线核查、漏洞扫描、自动化渗透测试、入侵与攻击模拟（BAS）、红蓝对抗等，这些都算安全验证的一种技术方向。每种技术和方法的应用都有局限，受限于业务场景，技术能力、工程化能力等。往往理念和实际技术落地是有很大差别的，目前安全验证方面，主推的产品就有自动化渗透测试和BAS，这两款产品实际上是能力型产品，更是基于场景化应用的产品，拿自动化渗透测试来说，更多是规则调用，并且是要在验证过的场景下才能发挥出效果，况且人在渗透测试过程中也存在很多未知的方法和思路了，自动化渗透测试这个产品大多数还停留在漏洞扫描这个阶段，只是在简单场景和验证过的场景情况下才能达到一定的效果，主要还是针对已知漏洞的利用或者安全团队挖掘的0day，更多的情况下还是顺应客户使用的系统，很多攻防场景是没法替代人的思路，只是对既有模式的一种工程化思路，目的是降低部分安全人员的学习成本和使用成本，对常规场景的一种持续验证。再来说说BAS，BAS这个产品主要目的就是对安全产品进行有效性验证，BAS产品也是基于场景化的验证，考验的是工程化能力，除了找现有安全产品的茬，还得和这些安全产品进行日志对接，在工程实施方面其实难度也不小，就拿钓鱼邮件这个场景，方法有很多，可能也存在安全验证的时候证明邮件网关没问题，但实际中去出现了被钓鱼的情况，同样做EDR验证的时候，安全验证下的病毒木马被查杀有效，那黑客做了专门的免杀木马却了植入成功了。安全验证核心也是在对抗，和安全产品对抗，和未知场景对抗，和漏洞及病毒对抗。BAS也是基于场景的验证，也有其中的局限性，也有很多未知的而覆盖不到的。

安全验证也是个赛跑的过程，没有终点，也只能持续奔跑，在产品推广和应用过程中，安全验证的出发点始终要抓住场景，不同的客户面临场景不一样，基于场景化的推广可能更有效果，每个行业，每个客户都有区别，基于客户面临的威胁场景做能力输出可能更具备价值。

原文始发于微信公众号（兰花豆说网络安全）：网络安全验证只是一条关键路径而非安全闭环