2023攻击面收敛能力指南
AI智能总结
攻击面收敛能力指南 ©北京数字世界咨询有限公司2023.5 攻击面收敛能力指南 ©北京数字世界咨询有限公司2023.5 2020年,数世咨询首创网络安全三元论,后进化为“数字安全三元论”,该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成,其中: ●信息技术是数字安全工作开展的基础,不清楚资产,何谈保护?没有网络,就没有网络安全; ●网络安全的伴生、服务和对抗本质,决定了它将永远的场景化、碎片化和动态化; ●业务应用既是信息技术与网络攻防的成本来源,也是两者最终的价值所在。 数字世界以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。 数字安全以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界,安全共生! 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师刘宸宇 首席分析师李少鹏 分析团队:数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目 录 前言1 关键发现3 1攻击面收敛定义及描述4 攻击暴露面4 网络空间资产4 攻击面收敛4 2攻击面收敛市场情况5 能力点阵图5 市场概况6 3攻击面收敛主要场景8 攻击面资产纳管8 实网攻防演练8 数据泄露溯源取证8 安全运营基础设施9 4攻击面收敛关键能力9 CAASM9 目 录 EASM11 专项收敛能力12 5攻击面收敛未来展望15 6攻击面收敛案例收录16 某金融行业用户案例(华顺信安提供)16 某大型国有集团用户案例(360数字安全提供)20 某运营商用户案例(探真科技提供)23 某证劵行业用户案例(魔方安全提供)26 •攻击面收敛能力指南• 前言 继以色列安全初创公司Axonius作为一家专门从事网络安全资产管理的安全企业夺得2019年RSAC创新沙盒的冠军后,老生常谈的“网络空间测绘”、“资产管理”等概念重新走进安全从业者的视野并逐渐火热起来,Gartner于2021、2022连续两年在HypeCycleforSecurityOperations中收录CAASM(网络资产攻击面管理)后,“攻击面管理”时代正式到来。 国内的安全供应商也是如此,无论较早成立的以“资产测绘”或“资产管理”为主要技术路线的企业,还是近两年如雨后春笋般新成立的定位“攻击面管理“的初创团队,都在积极向攻击面管理ASM这个赛道靠拢。 然而与西方不同的是,近年来国内安全市场在这一领域的驱动力仍主要来自于逐渐常态化的实战化攻防演练。 这就导致了一方面我们的攻击面管理基础较为薄弱,从机房的老旧设备到云端的新业务,潜在的攻击暴露面始终存在,另一方面我们针对这些攻击暴露面的动作仍然是周期性、运动式的。 这就决定了国内“攻击面管理”产品与解决方案在落地时,单纯的“管理”并不能完全满足需求,还需要重点关注“收敛”这一动作。 但与此同时国内的CSO岗位制度尚未健全,安全团队话语权普遍较弱,“收敛”往往会涉及到网络、运维、研发甚至业务等兄弟部门的沟通协作,技术外的成本一直很高,因此如何借助实战化攻防演练这一绝好机会,对攻击面进行集中式专项“收敛”成为突出的现实需求。 基于上述现状,数世咨询认为业内缺少一篇中立客观的横向调研报告,以 “攻击面收敛”为视角,对国内该细分市场做出梳理与论述。鉴于此,我们对国内具备“攻击面收敛”相关能力的安全企业开展了为期数月的调研工作,并在保护隐私不泄露任何调研原始数据的基础上,将调研成果整理成为各位读者看到的《攻击面收敛能力指南》。 报告结合国内现状,首先对攻击面收敛进行了定义及描述,之后对国内该赛道的市场规模进行了统计与概述,并针对主要能力企业画具了“攻击面收敛能力点阵图”,在关键能力部分,报告从CAASM、EASM视角分别进行了简述,并针对国内需求,重点描述了三个专项收敛能力,最后报告收录了该领域具有代表性的案例最佳实践,供各位读者参考。 鉴于时间紧迫,调研对象样本有限,报告中难免有遗漏、偏颇之处,请各位读者不吝指正。 •攻击面收敛能力指南• 关键发现 ●国内“攻击面管理”产品与解决方案在落地时,单纯的“管理”并不能完全满足需求,还需要重点关注“收敛”这一动作。 ●攻击暴露面指潜在攻击者对行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合,称为该用户机构的攻击暴露面。 ●攻击面收敛指行业用户针对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认、管理,并协调内、外第三方对攻击面进行持续收敛的解决方案。 ●据此次调研,2022年国内攻击面收敛市场收入约为6.24亿元,同比增长127.23%。高增长率来源于近几年国家与地方各级攻防演练的直接推动,以及用户侧对攻击面收敛概念的普遍认可。 ●按照60%增长率的谨慎乐观估计,攻击面收敛这一领域2023年市场规模可达9亿元,2024年市场收入可达到15亿元。 ●对于潜在攻击者来说,攻击暴露面并不严格以CAASM和EASM作为区分,任何可被利用的外部信息、内部资产、脆弱性,都是最终用户应当关注覆盖的。 ●目前国内常见的三个攻击面专项收敛能力主要有:漏洞风险资产快速定位与下线、外部信息攻击面收敛、办公网资产整体收敛等。 ●攻击面收敛方案的交付将以“平台+服务”结合为主要方式,同时作为行业共识,攻击面收敛将成为安全运营必选项。 ●攻击面收敛将从“安全事件驱动”向“风险量化驱动”转变。 1攻击面收敛定义及描述 攻击暴露面 本报告中的攻击暴露面指潜在攻击者对行业用户机构开展网络安全攻击时可能利用的所有数字资产、外部信息、脆弱性风险等数据的集合,称为该用户机构的攻击暴露面。 网络空间资产 本报告中的资产指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。具体对象包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。概括来说,只要是可操作的对象,不管是实体还是属性,都可以称之为“网络空间资产”。 攻击面收敛 如无特别说明,本报告中的“攻击面收敛”特指行业用户针对机构自身及下属分支机构的攻击暴露面进行发现、判别、确认、管理,并协调内、外第三方对攻击面进行持续收敛的解决方案。 •攻击面收敛能力指南• 2攻击面收敛市场情况 本次调研广泛征集能力企业参与,截至报告发布,共回收调研表30余家(以企业简称首字母排序): 360数字安全、安博通、埃文科技、边界无限、白山云、长亭科技、长扬科技、烽台科技、观安信息、灰度科技、华顺信安、华云安、零零信安、绿盟科技、魔方安全、奇安信、矢安科技、盛邦安全、上海碳泽、天防安全、天懋信息、探真科技、微步在线、未岚科技、未来智安、雾帜智能、亿格云、云科安信、星阑科技、指掌易等。 能力点阵图 本次能力指南点阵图仍然以市场执行力、应用创新力分别为横、纵坐标轴,对企业进行展示。鉴于攻击面管理/收敛涉及行业、场景、技术实现方式多且杂,上述参与调研的企业并未全部在点阵图中展示: 攻击面收敛能力点阵图 除点阵图中企业外,另有一些非典型攻击面管理/收敛赛道的企业,如烽台科技、长扬科技、天防安全、天懋信息等,具备典型的行业属性;又如亿格云、白山云、指掌易等利用零信任等新的理念或技术同样实现了“攻击面收敛”目的;部分未列入点阵图的能力企业,在后文中会另有叙述。 市场概况 根据此次调研,2022年国内攻击面收敛市场收入约为6.24亿元,同比增长127.23%。高增长率来源于近几年国家与地方各级攻防演练的直接推动,以及用户侧对攻击面收敛概念的普遍认可。 结合各家被调研企业对2023年用户预算的了解及整个市场预期,我们预 计增长率会有较明显的回调,但相比其他细分领域,仍属高位。按照60%增长 率的谨慎乐观估计,攻击面收敛这一领域2023年市场规模可达9亿元,2024 年市场收入可达到15亿元。 统计口径说明: 这里要格外说明的是,鉴于几乎所有行业所有场景下的安全工作,首先都会涉及到攻击面的发现、管理与收敛,因此若单纯以产品功能或解决方案模块等为市场统计依据,会重复纳入相当多其他安全领域的收入。因此本报告采用相对狭义的统计口径,仅以最终用户安全团队明确的攻击面收敛需求驱动的项目立项或采购为依据,将相关收入纳入统计。诸如传统的漏洞扫描、漏洞补丁管理产品,以及工业互联网、物联网等行业的相关营收,均并未计入此次调研 •攻击面收敛能力指南• 数据。特此说明。 在2022年底,数世咨询发布的《中国数字安全能力图谱》中,攻击面收敛属于“基础与通用技术“领域。 2022年度《中国数字安全能力图谱》 2022年度数字安全成熟度阶梯(基础与通用技术) 在“数字安全成熟度阶梯”中,攻击面收敛位于“热力区”,处于“融合创新”的“新兴市场“阶段。 3攻击面收敛主要场景 攻击面资产纳管 对于传统网络协议环境,集团总部对各地分子公司、营业网点等分支机构的资产进行全面排查,将分支机构的潜在攻击暴露面资产纳入管辖范围,掌握集团整体攻击暴露面情况;分支机构也可以自行采购或建设攻击面收敛解决方案开展自查,然后将收敛后的资产信息上报给集团总部或监管机构,从而掌握主动权。 对于视频专网、工业互联网、以及IoT设备网络等专网环境,安全团队借助攻击面收敛能力对测试设备(影子资产)与更新换代后的老旧设备(僵尸资产)等进行纳管或下线处置。鉴于其行业场景特殊性,本报告将报名参与本调研的该领域能力企业在此单独列出,供有此类场景需求的用户参考: •烽台科技——工业互联网攻击面收敛解决方案 •长扬科技——工控网络攻击面管理解决方案 •天防安全——视频网络攻击面管理解决方案 •天懋信息——特种行业专网攻击面管理解决方案 实网攻防演练 国家级、地市级、行业级实网攻防演练活动逐步趋于常态化。演练开始前,防守队对自身潜在的攻击暴露面进行提前发现和收敛;演练开始后,防守队快速定位失陷资产、精准下线失陷资产,第一时间做出收敛响应。 数据泄露溯源取证 安全应急团队将暗网、黑市中贩卖的样本数据等外部攻击面,与内部数据 •攻击面收敛能力指南• 对照相互印证,进而定位失陷设备、资产乃至人员,形成攻击证据链。一方面为下一步诉诸法律手段提供法律依据,另一方面对同类资产横向排查同类攻击行为,避免再发生类似泄露事件。 安全运营基础设施 安全运营建设初期,以攻击面暴露面作为其他各项安全投入的依据和基础;安全运营建设过程中,以接口化攻击面管理平台作为SOC、SIEM等平台的底座;安全运营能力形成后,结合安全有效性验证与量化评估进一步收敛攻击面,持续提升整体安全运营水平。 4攻击面收敛关键能力 为方便读者与业内已有概念对照,本报告以大家所熟知的CAASM、EASM与专项收敛三个方面来描述攻击面收敛的关键能力。然对于潜在攻击者来说,攻击暴露面并不严格区分内外,因此,下面这些关键能力点虽然分别描述,但并非相互割裂,而是互为补充。任何可被利用的外部信息、内部资产、脆弱性,都是最终用户应当关注覆盖的。 CAASM CAASM直译为网络资产攻击面管理,对应到国内市场这里的资产主要指位于机构内部、数据中心或云环境中等可直接管辖范畴内的资产。对这一部分攻击面的收敛,要重点关注与已有资产源的对接适配、主/被动资产发现、管理与可视化等关键能力。 与已有资产源的对接融合 首先CAASM应当具备多源资产数据接入能力。包括但不限于CMDB、终端管理平台、AD域等运维数据,以及NDR、EDR、HDR(含HIDS)等具备资
