當(dāng)前，網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻，而傳統(tǒng)安全建設(shè)思路以被動(dòng)防御為主，基于已知的攻擊特征和規(guī)則匹配形成防護(hù)，缺乏對(duì)新型威脅的安全感知能力和應(yīng)對(duì)手段。在企業(yè)安全防護(hù)更強(qiáng)調(diào)攻防對(duì)抗和有效性的背景下，構(gòu)建主動(dòng)安全防護(hù)能力體系，將是有效應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊手段，保障企業(yè)數(shù)字化轉(zhuǎn)型成功的必要路徑。

盡管企業(yè)用戶對(duì)主動(dòng)安全防護(hù)需求旺盛，但是一些主動(dòng)安全產(chǎn)品還不夠成熟，存在誤報(bào)率高、實(shí)施難度大、可管理性差等問題，導(dǎo)致實(shí)際應(yīng)用表現(xiàn)差強(qiáng)人意。在2023年，我們可以重點(diǎn)關(guān)注并積極嘗試以下6種較為成熟的主動(dòng)安全防護(hù)技術(shù)/產(chǎn)品，推進(jìn)組織新一代安全能力體系構(gòu)建：

1、安全態(tài)勢(shì)管理(SPM)

被動(dòng)式的響應(yīng)安全事件，往往會(huì)耗費(fèi)安全人員大量精力，同時(shí)又難以避免對(duì)企業(yè)財(cái)產(chǎn)和業(yè)務(wù)造成損失。而安全態(tài)勢(shì)管理方案則可以自動(dòng)識(shí)別和修復(fù)整個(gè)企業(yè)數(shù)字化環(huán)境中的風(fēng)險(xiǎn)，幫助企業(yè)安全管理者進(jìn)行風(fēng)險(xiǎn)可視化、自動(dòng)化事件響應(yīng)和合規(guī)性監(jiān)控。

目前SPM技術(shù)包含有多種類型，包括了專注于云基礎(chǔ)設(shè)施(包括IaaS、SaaS和PaaS)的云安全態(tài)勢(shì)管理，以及識(shí)別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢(shì)管理。

不過在2023年，對(duì)企業(yè)組織而言最重要的SPM技術(shù)可能是SaaS安全態(tài)勢(shì)管理(SSPM)，主要用于檢測(cè)和修復(fù)SaaS應(yīng)用程序中的錯(cuò)誤配置和其他問題。SSPM是云訪問安全代理(CASB)技術(shù)發(fā)展以來SaaS安全領(lǐng)域最重要的創(chuàng)新之一，雖然CASB仍然屬于一種被動(dòng)安全防護(hù)模式，但SSPM尋求實(shí)施最嚴(yán)格的安全策略，同時(shí)仍然使應(yīng)用程序?qū)M織保持可行。

此外，云安全態(tài)勢(shì)管理(CSPM)也是SPM一個(gè)重要的細(xì)分應(yīng)用，旨在識(shí)別云中的錯(cuò)誤配置問題和合規(guī)風(fēng)險(xiǎn)。CSPM解決方案的一個(gè)重要目標(biāo)是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施，以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

2、攻擊面管理(ASM)

ASM技術(shù)要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn)，從應(yīng)用程序、數(shù)字證書、代碼到移動(dòng)和物聯(lián)網(wǎng)設(shè)備，以保持已知和未知資產(chǎn)的可見性。據(jù)最新調(diào)查數(shù)據(jù)顯示，目前，有52%的受訪企業(yè)組織管理著超過10,000個(gè)數(shù)字資產(chǎn)，因此ASM將是一項(xiàng)重要且不斷增長(zhǎng)的技術(shù)。

安全專家認(rèn)為，ASM是安全分析技術(shù)的進(jìn)步，是傳統(tǒng)威脅檢測(cè)與響應(yīng)類技術(shù)方案的能力延伸。ASM利用了威脅檢測(cè)響應(yīng)中惡意活動(dòng)意識(shí)增強(qiáng)的趨勢(shì)，并將其進(jìn)一步擴(kuò)展。它回答了很多問題，比如企業(yè)哪里可能成為目標(biāo)，哪里缺乏可見性，組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施?或者說，企業(yè)是否真正具備了應(yīng)有的防御機(jī)制和能力?

根據(jù)Gartner的描述，ASM技術(shù)需要超越傳統(tǒng)資產(chǎn)的識(shí)別范圍(如端點(diǎn)、服務(wù)器、設(shè)備或應(yīng)用程序等)，通過將發(fā)現(xiàn)的資源整合到資源庫(kù)，使用戶可以了解到傳統(tǒng)威脅檢測(cè)工具的覆蓋缺口。ASM還可以通過API集成提供自動(dòng)化的數(shù)據(jù)收集，取代傳統(tǒng)手動(dòng)和低效的資產(chǎn)收集分析模式，幫助安全團(tuán)隊(duì)實(shí)現(xiàn)對(duì)整體環(huán)境的安全控制、安全態(tài)勢(shì)感知和資產(chǎn)風(fēng)險(xiǎn)修復(fù)，從而主動(dòng)改善企業(yè)的數(shù)字化安全狀況。

3、入侵和攻擊模擬(BAS)

入侵和攻擊模擬(BAS)也是由Gartner首先提出的概念，并將之歸到了新興技術(shù)行列。正如 Gartner 描述的，此類工具“可供安全團(tuán)隊(duì)以一致的方式持續(xù)測(cè)試安全控制措施，貫穿從預(yù)防到檢測(cè)乃至響應(yīng)的整個(gè)過程”。BAS與傳統(tǒng)的滲透測(cè)試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導(dǎo)，實(shí)際上會(huì)為安全團(tuán)隊(duì)制造更多的工作和帶來更多誤報(bào)。相比之下，BAS完全自動(dòng)化，并在全面的劇本中模擬數(shù)千種攻擊。

BAS工具能夠高效一致地衡量現(xiàn)有安全檢測(cè)功能及運(yùn)營(yíng)的有效性。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞，還有助于補(bǔ)全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識(shí)空缺，比如：攻擊者能悄悄繞過我們的防御嗎?我們適用的風(fēng)險(xiǎn)是什么?這些風(fēng)險(xiǎn)對(duì)我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長(zhǎng)期安全規(guī)劃的位置上，還能從商業(yè)角度總結(jié)出安全運(yùn)營(yíng)上的改善。

4、網(wǎng)絡(luò)安全性能管理(CPM)

網(wǎng)絡(luò)安全性能管理(Cybersecurity performance management)主要是監(jiān)控了解企業(yè)現(xiàn)有安全防護(hù)體系的性能表現(xiàn)和產(chǎn)品工作狀態(tài)，并以此評(píng)估企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的整體能力和健康指標(biāo)。通過CPM，企業(yè)可以對(duì)部署的各種重要網(wǎng)絡(luò)設(shè)備和安全防護(hù)產(chǎn)品進(jìn)行監(jiān)測(cè)，并對(duì)監(jiān)測(cè)過程中采集的數(shù)據(jù)進(jìn)行分析，從而實(shí)施評(píng)估數(shù)字化系統(tǒng)的運(yùn)行狀況和穩(wěn)定性。CPM的典型功能包括：

性能監(jiān)控：由企業(yè)定義需要監(jiān)控的對(duì)象及其屬性，定時(shí)采集相關(guān)對(duì)象的檢測(cè)數(shù)據(jù)，自動(dòng)生成性能報(bào)告;

閾值控制：針對(duì)不同的時(shí)間段和性能指標(biāo)，為監(jiān)控對(duì)象的運(yùn)行屬性設(shè)置閾值，并提供相應(yīng)的閾值管理和警報(bào)機(jī)制;

性能分析：對(duì)監(jiān)測(cè)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、整理和分析，結(jié)合性能指標(biāo)判斷網(wǎng)絡(luò)安全態(tài)勢(shì)，為安全管理者提供參考;

可視化報(bào)告：對(duì)性能分析結(jié)果進(jìn)行記錄和處理，生成性能趨勢(shì)曲線，以圖形方式直觀反映安全防護(hù)體系性能狀態(tài);

性能查詢：可通過列表或關(guān)鍵字等方式檢索安全防護(hù)系統(tǒng)的實(shí)時(shí)或歷史性能狀態(tài)。

5、云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)

云計(jì)算應(yīng)用已成為企業(yè)數(shù)字化發(fā)展的重要趨勢(shì)，保障云應(yīng)用安全將是企業(yè)安全團(tuán)隊(duì)的重要工作任務(wù)。云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)是一種采取了主動(dòng)性安全防護(hù)模式的云安全創(chuàng)新技術(shù)，它補(bǔ)充了而不是替代了現(xiàn)有威脅檢測(cè)與響應(yīng)技術(shù)的被動(dòng)安全防護(hù)模式。CIEM技術(shù)可以發(fā)現(xiàn)企業(yè)業(yè)務(wù)上云后的訪問權(quán)限范圍，并執(zhí)行最小權(quán)限原則，即授予用戶執(zhí)行工作所需的最小權(quán)限。例如，CIEM可以檢測(cè)對(duì)云資源的過度訪問。一旦確定，CIEM工具可以提出合理的安全建議，甚至自動(dòng)執(zhí)行所需的更改。

6、安全即服務(wù)(SECaaS)

隨著網(wǎng)絡(luò)安全運(yùn)營(yíng)工作變得越來越復(fù)雜，而安全人才仍然稀缺，預(yù)計(jì)會(huì)有更多的組織轉(zhuǎn)向選購(gòu)安全即服務(wù)。通過SECaaS模式，企業(yè)可以將網(wǎng)絡(luò)安全管理任務(wù)移交給有經(jīng)驗(yàn)的專業(yè)第三方安全公司，如托管安全服務(wù)提供商(MSSP)。目前，主流的SECaaS服務(wù)范圍包括了從維護(hù)廣泛的安全功能到監(jiān)督特定的系統(tǒng)，如安全信息和事件管理、CASB和安全訪問服務(wù)邊緣。

對(duì)于企業(yè)而言，想要依靠自身的安全團(tuán)隊(duì)充分運(yùn)營(yíng)好所有的安全產(chǎn)品和工具會(huì)面臨很多挑戰(zhàn)，但尋找到適合的MSSP或SECaaS提供商卻相對(duì)容易，他們可以幫助企業(yè)識(shí)別各種類型的安全漏洞，并以合理的成本解決企業(yè)面臨的安全問題。