2022年10月10日,全球权威的IT研究机构Gartner®发布“2022中国网络安全技术成熟度曲线(Hype Cycle™ for Security in China, 2022)”报告,华云安在攻击面管理(Attack Surface Management,简称ASM)和入侵和攻击模拟 (Breach and Attack Simulation,简称BAS) 两个领域被列为代表厂商。
值得一提的是,华云安是唯一双领域入选《Hype Cycle for Security in China, 2022》的初创企业。本次认可凸显了华云安在ASM与BAS方面的技术创新与最佳实践的价值。
ASM 与BAS,全球数字安全的热点创新方向
技术成熟度曲线(Hype Cycle)是企业用来评估新科技的可见度,决定是否采用新科技的一种工具。Gartner依其专业分析预测与推论各种新科技的成熟演变速度及要达到成熟所需的时间,具体可分为:技术萌芽期、期望膨胀期、泡沫破裂谷底期、稳步爬升复苏期、生产成熟期5个生命周期阶段。
在Gartner发布的《Hype Cycle for Security Operations, 2022》中,以及本次发布的“2022中国网络安全技术成熟度曲线(Hype Cycle for Security in China, 2022),攻击面管理(ASM)和入侵与攻击模拟(BAS)被视为推动网络安全运营技术创新的关键技术。同时,国内多家权威机构相继发布的相关报告中也将ASM和BAS列为2022十大创新方向之一。从中可以看出ASM和BAS已是全球范围公认的创新方向。
当下,全球正经历数字化革命浪潮,网络安全亦面临复杂性、艰巨性、多元化的挑战。数字化时代之下需要数字化的安全,基于攻击者视角构建新一代数字化安全方案是必然趋势。华云安在ASM和BAS两个领域入选《Hype Cycle for Security in China, 2022》,得益于华云安基于实战、面向数字安全的持续技术创新与行业实践。
ASM :以攻击者视角构建内外部的资产安全性平台
伴随着企业网复杂程度的大大提升,识别网络资产,了解资产的脆弱性和潜在的攻击方式尤为重要。
在《Hype Cycle for Security in China, 2022》中,Gartner指出ASM使企业从内部管理和外部攻击者的角度,解决资产和漏洞可视化的难题,并对资源进行优先配置,以修复或缓解最有可能受攻击的问题。ASM帮助安全和风险管理(SRM)团队识别潜在的攻击路径,并指导开展安全控制措施的改进和调整,提高整体安全防御水平。
作为中国攻击面管理市场的引领者,华云安持续构建基于云原生架构的安全能力平台,通过微服务的方式提供原子化安全能力,满足于不同规模企业、不同应用场景下攻击面管理需求。深厚的技术积淀和行业实践使华云安成为国内攻击面管理技术理念和产品实践的领先厂商。
华云安认为,在攻击面管理基石之上,通过创新的多维度资产识别、自动化漏洞验证、扩展安全情报等技术,共同实现新一代的企业全面风险管理系统。作为国内首家聚焦攻击面管理的网络安全公司,华云安提出以攻击者视角构建涵盖数字资产管理、自动化测试、优先级评估、情报预警、快速处置五个步骤的数字安全攻击面管理体系。
华云安重新定义了数字化时代的资产管理、漏洞管理、情报协同和响应处置,推出了基于云原生模块化架构的攻击面管理解决方案,以网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)、入侵和攻击模拟(BAS)等典型场景,研发了灵洞·网络资产攻击面管理系统(Ai·Vul)、灵知·互联网情报监测预警中心(Ai·Radar)、灵刃·智能渗透与攻击模拟系统(Ai·Bot)等产品,以检测发现,分析研判,情报预警,响应处置四大环节帮助企业应对数字化时代下企业安全得新风险,打造数字化时代数字安全风险管控的完整解决方案。
BAS :以持续的攻击模拟验证安全防御体系有效性
在《Hype Cycle for Security in China, 2022》中,Gartner将入侵和攻击模拟进行定义:认为通过自动化模拟外部和内部、横向移动和数据泄露等威胁向量,使企业更好地了解其安全薄弱点。BAS是对红队或渗透测试的补充,但并不能完全取代两者。
攻击面的发现需要持续的攻击模拟来实现对内部安全防御的有效性验证。华云安灵刃·智能渗透与攻击模拟系统(Ai·Bot)以攻击视角通过对抗性手段发现企业真实攻击面,通过模拟攻击者对目标网络环境进行安全测试,找到系统中可能存在的弱点,包括漏洞、信息泄露、安全防护不当等系列安全问题,并通过智能分析引擎将攻击链路直观呈现给企业用户,帮助用户了解自身安全防御的脆弱性。让用户直观了解在真实对抗环境下的安全弱点和企业运营响应机制的有效性,实现深度挖掘企业数字资产攻击面的目标。
同时,华云安创新性的将情报和图谱模型能力运用在BAS和CART技术上,实现用人工智能驱动的模拟迭代攻击测试,实现对敏感数据、凭证信息、源代码、供应链等外源弱点与内部战法模型的结合,以业务角度进行攻击影响进行评价。
华云安:构建面向实战的网络安全对抗防御体系
从“漏洞管理”到“攻击面管理”,华云安在坚持做面向未来的网络安全技术创新者的同时,也是将创新技术应用与实践的深耕者。公司成立三年以来,已拥有一百多项人工智能相关专利,及三十多项自主知识产权,并先后承担了多项国家重点研发计划和重大工程建设,产品在政府、电力、金融、教育、医疗等行业得到广泛应用。
作为国内首家专注于攻击面管理的网络安全公司,华云安以攻击者视角构建数字化网络攻击面管理产品解决方案,以CAASM+EASM+BAS三大产品体系引领国内外攻击面管理(ASM)市场发展,为网信、工信等国家网络安全相关主管部门及电力、金融、能源、交通、通信、教育、医疗等重要关键信息基础设施行业提供技术支撑与网络安全保障服务。未来,华云安将持续致力于为新形势下的网络安全关键信息基础设施保护作出自身的贡献!
参考文献:
Gartner,Hype Cycle for Security in China, 2022, 10 October 2022.
Gartner免责声明:
Gartner未在其报告中支持任何厂商、产品或服务,也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见,不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责,包括对适销性或特定用途的适用性的任何保证。Gartner和Hype Cycle是Gartner有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用。保留所有权利。