公元383年，淝水之戰，前秦皇帝苻堅自認為擁有八州之眾、百萬雄兵，而東晉僅八萬軍力。其若親率大軍征伐東晉，必定如探囊取物。然而，最終卻是苻堅大敗，身死沙場。

其實，苻堅并非昏庸之君，其誅暴君，平天下，確實讓前秦“有眾百萬，資杖如山”的兵力和“投鞭于江，足斷其流”的軍威。苻堅之敗，竊以為在于不知彼又不知己，盲目自信于自身之強，而忽視天下大勢。

以史為鏡，可明得失。事實上，古往今來，雖世象萬千，但很多事萬變不離其宗。放眼網絡安全領域，同樣如此。網安疆場，明槍暗箭、攻防對抗、入侵系統、竊取情報、拖拽數據……本質上與古代戰場并無太大區別，同樣要拼人力，拼智慧，拼硬件、拼軟件。

當今，企業系統已然離不開安全防護。因為在核心數據就是企業生命的當下，如果系統大門敞開，可別指望“夜不閉戶、路不拾遺”的傳統美德來規避風險。

然而，企業耗費人力財力建立了看似完備的網絡安全防御體系，真的管用嗎？可能很多企業心里沒譜，大體還處于“花錢買安心”的狀態；要么如苻堅一般，自以為安全防御體系投入甚巨，人員眾多，產品夠強，便覺固若金湯，高枕無憂。

做好安全，本質上還是需要知己知彼。知己則是心中有數，數即是量化；知彼則需要更可靠的安全工具，以感知威脅組織如何進行攻擊。然而，安全投資+人員投入≠實際防護效果，當下已是普遍存在的現象。所以，亟需一種更為有效的安全驗證手段，來驗證企業安全防御體系是否真的有效。

安全驗證為何存在必要性？

游戲世界中，戰斗力可用幾千或幾萬標注。現實世界里，能力并非是實質性的存在物，故而難以量化。現代軍隊，往往通過紅藍對抗演練，來驗證實戰能力，獲得一定的技能量化數據。

網安領域，企業安全防御體系能力同樣難以量化。但“難”并不代表“不可能”，經過眾多網安人的開拓探索，當下已有有效的安全量化方式。畢竟安全的重要性與緊迫性，使得安全驗證擁有存在的必要性。而這個必要性，通過如下問題即可感知。

作為企業安全負責人，你不妨思考這幾個問題：你所在企業的安全防御能力怎么樣，如何證明？每一個安全產品的配置是否最優？日志分析系統關聯分析結果是否準確？同行業公司發生的攻擊事件，你們能夠抵御嗎？每年制定的預算，如何花在真正需要補足的地方，依據是什么？

我們相信，如此簡單的問題，許多企業可能并不能給出確切的回答。因為在現實中，絕大多數企業安全建設的現狀可能是這樣的：安全產品的宣稱功能和實際效果存在巨大的落差；在安全產品的投入上，每花費10元，收益僅為2元；安全建設中，未必每個產品的都能真正發揮價值；安全事件響應團隊實戰能力缺乏檢驗，實際防御能力與公司對自身的理解存在偏差。

當然，企業在長期安全建設過程中，勢必早已摸索出一條合適道路，并長期讓企業安全維持在一定的水位。但風險日新月異，威脅始終在變，如果對自家安全防御能力缺乏清晰量化的認知，則代表過往的安全不排除有幸運的加成。

這并非危言聳聽。今年2月，公安三所調研得出，企業在進行網絡安全實戰防護能力建設時，會遇到諸多能力和困難，主要體現在三個層面：

1、實戰防護能力現狀不清晰。經過近些年的合規建設，組織大多建設了自身的網絡安全防護體系，但現有體系在實戰中能否有符合預期的表現，缺少清晰、量化的評價手段；

2、實戰防護能力建設缺乏指引。與傳統基于合規的安全防護體系建設不同，基于實戰的安全防護體系建設需要面臨更加復雜多變的情形，在沒有豐富實戰經驗的情況下如何科學、有效的構建實戰防護體系成為組織的迫切需求；

3、防護體系盲區難以發現。安全體系建設具備典型的“木桶效應”，這一點在實戰中尤為凸顯，而常規的安全評估及安全測試手段，難以體系、全面的尋找安全建設的短板及盲區。

此外，4月12日，Gartner發布了2023年9大主要網絡安全趨勢，重新關注人為因素。Gartner提出安全和風險管理（SRM）領導者在設計和實施網絡安全計劃時，必須重新考慮他們在技術、架構和以人為本要素之間的投資平衡。并強調，到2026年，超過40%的組織（包括三分之二的中型企業）將依靠整合平臺來運行安全驗證評估。

對比近幾年Gartner網絡安全趨勢，安全驗證在今年的報告中首次出現。

綜上而觀，企業確實有必要持續對其安全防御成熟度進行驗證。所謂驗證，即是在安全運營過程中，對企業各能力維度所有潛在風險的細致考察，以及應用必要的驗證措施，識別防護手段的有效性，進而分析現有態勢，讓企業更為科學有效地評估自身實戰能力。

法律法規的合規要求亟需安全驗證

近些年，《網絡安全法》、《數據安全法》的陸續頒布執行，相繼提出要定期演練以及采取必要措施保障持續安全狀態。《等保 2.0》三級要求定期進行全面安全檢查，檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。

此外，金融行業、醫療行業、工業領域等都陸續誕生了針對網絡安全的細則管理辦法。尤其是在新基建的戰略下，關鍵基礎設施的安全保障更對是網絡安全的要求更為明細和嚴苛。

2022年10月12日，國家市場監督管理總局（國家標準化管理委員會）批準發布GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》（下文簡稱《要求》），并將于2023年5月1日正式實施。

《要求》規定了關鍵信息基礎設施運營者在分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等6個方面提出了111條安全要求。

《要求》的發布與實施，即對企業的安全合規提出了更高的要求，也就意味著企業需要在認知層面，對自身安全達到清晰且量化的程度。因此安全驗證必不可少，對此，《要求》有著明文規定。

《要求》4安全保護基本原則指出：“以風險管理為導向的動態防護，根據關鍵信息基礎設施所面臨的威脅態勢進行持續監測和安全控制措施的動態調整，形成動態的安全防護機制，及時有效地防范應對安全風險。”

針對此類問題，市面上可能比較通用“安全編排自動化與響應”（SOAR）。但是，SOAR也存在一些缺陷，比如，SOAR有多少基于APT攻擊的場景響應？攻擊沒來時怎么確認SOAR定義的觸發條件能匹配真實的攻擊？

《要求》7.6.2入侵防范指出：“應采取技術手段，提高對高級可持續威脅（APT）等網絡攻擊行為的入侵防范能力。”

對此，通用解決方案大概是部署網絡IPS、主機IPS、NTA、NDR等技術手段。但是，怎么知道它們能檢測與防范多少已知的APT組織、UNC組織、FIN組織、臨時命名組織、勒索軟件團伙？真實的APT攻擊出現前，如何驗證它們是可以檢測與防范的？

此外，《要求》7.7 安全建設管理、8.1 檢測評估制度、8.2 檢測評估方式和內容、8.2 檢測評估方式和內容、10.2 主動防御-攻擊發現與阻斷、10.3 攻防演練中，分別提到了仿真驗證環境、安全檢測評估制度、評估周期、攻擊防護響應、改進安全保護策略、定期實網攻防演練等內容。

然而，當前許多安全手段都存在一定缺陷。比如，防御體系很難1:1被全部復刻到靶場環境中；檢測評估至少一年一次，然檢測結果僅代表一時狀態；滲透測試與自動化滲透一般只針對單點系統，無法體現防御體系的防護和響應能力；定期演練難以縮短至按周或天執行等等。

因此，針對《要求》提出的內容，我們不但要對安全進行驗證，還應當尋找一種新的安全驗證方法，確保安全驗證的可靠與有效。

新的安全度量驗證技術當有何種能力

我們搜尋市場上相關產品，發現塞訊驗證發布的塞訊安全度量驗證平臺（下文簡稱“塞訊驗證平臺”），恰是對上述問題有著針對性的解決方案。其宣稱能夠“安全、快速地驗證組織內各個場景的安全防護能力”。

據悉，塞訊驗證平臺是一個安全監測平臺，可以持續地測試、度量和提高網絡安全效率，為IT環境提供度量工具，可參照真實攻擊進行可重復的持續性端到端的測試，從而驗證已部署的安全措施正在按照預期設計工作，并可主動發現環境中的變更帶來的對防護效果的影響進行告警。

塞訊安全度量驗證平臺架構

由此可知，塞訊驗證平臺并非是一款直接參與攻防的安全工具，更像是一個細致貼心的安全大管家。其可以模擬真實的黑客攻擊，來不斷 “拷打”各個安全維度的安全性能，也可以查看企業購置的安全工具有沒有布防疏漏，諸多防護關卡有沒有在罷工怠工，安全武力值能否抵御威脅侵襲。

作為一個安全大管家，塞訊驗證平臺可謂身懷十八般武藝。

其擁有全自動化驗證的能力，可自定義范圍、場景、劇本、循環周期等，既能上威脅刀山，又能下風險火海，還十分聽從各項指令，滿足各類場景，最大限度貼合使用者的需求。

此外，其能夠覆蓋網絡安全、端點/主機安全、郵件安全、AD安全、云安全、API安全、應用安全、數據安全、DNS安全、OT安全、物聯網安全、移動安全等多個安全維度，實現全方位安全有效性驗證。

01強大攻擊庫與主動防御

安全防護自然避免不了攻擊，俗話說“未知攻焉知防”，攻擊防護層面亦是塞訊驗證平臺的拿手絕活。

目前，其已掌控6000多種攻擊手法和1000余種攻擊場景，并對200多個APT組織（包含特殊命名、臨時命名的威脅組織）進行追蹤研究，還覆蓋了包括LOCKBIT、DARKSIDE在內的68個勒索團伙，可通過真實攻擊場景中提取的信息，還原真實事件進行模擬。

正因如此，塞訊驗證平臺擁有強大的攻擊庫。在攻擊庫管理中，可以多維度進行篩選，輕松找到需要的攻擊手法。

眾所周知，控制和抵御風險的最佳實踐就是做好主動防御的各項準備，塞訊驗證平臺可以提供真實的APT攻擊手法，來提前驗證防御體系是否能在攻擊來臨時有效抵御。此外，還能以攻擊者視角審視并改善安全防御體系。

由于網絡上的攻擊手段五花八門，漏洞利用也是眼花繚亂，因此對威脅組織攻擊手段的掌握，難免會顧此失彼，或者就重避輕，這就容易產生“千里之堤毀于蟻穴”的可能性。

而塞訊驗證平臺的攻擊庫，注重各種攻擊手法的模擬，而非只關注重大漏洞利用的攻擊，這就保證了攻擊庫的完整性以及實戰的有效性。

也正因塞訊驗證平臺攻擊庫俱收并蓄，其可在各個場景下大顯身手，比如銀行業、能源行業、醫療行業等。并且可以預定義多種驗證場景一鍵驗證，如釣魚郵件、勒索軟件、挖礦軟件、軟件供應鏈攻擊、重大漏洞等場景，相當全能便捷。

預定義多種驗證場景

當然，安全能力建立在攻擊庫之上，塞訊驗證平臺攻擊庫更新迅速，加上其強大的自定義功能，能夠應對各類新型攻擊。

02安全機制保證無傷客戶資產

有人會疑惑，模擬真實攻擊，會不會把自家系統給破壞了，反而成了威脅攻擊的幫兇？

塞訊驗證平臺通過安全驗證大腦+AI攻防機器人的架構，不以生產業務系統為目標，且無需構建靶機，也不會引入新的風險，利用個角色和特殊保護機制，保證所有樣本文件危害性控制在沙盤內部，驗證過程中保證業務無損。

具體來說，即是平臺上進行了系統加固和數據保護，在安全驗證大腦與AI攻防機器人之間的通信，均使用加密通信，隔絕一切可能的方式竊取用戶的實驗數據；在網絡上，AI攻防機器人僅且只能與相關AI攻防機器人及安全驗證大腦進行通信，保證了在驗證過程中客戶資產及網絡環境的安全。

因此，所有真實樣本均經過沙箱提取行為，并將關鍵破壞行為去除。無害化處理過的樣本可以放心執行。如果部分實驗無法實現完全無害化，塞訊驗證平臺也可提供一個沙箱環境的AI攻防機器人，其有更為嚴格的網絡管控和回滾機制，因此也不具備破壞能力。

03AI如何為驗證平臺賦能

AI是當下一個炙手可熱的的詞匯，似乎萬物皆可AI。而AI如何為塞訊驗證平臺賦能呢？

通過上文平臺架構一圖可知，塞訊驗證平臺擁有一個安全驗證大腦。安全驗證大腦使用AI技術，通過海量的樣本學習安全產品告警日志內容，以賦能在平臺上的日志分析模塊判斷告警內容，是否與驗證平臺的攻擊相一致 (除了常規五元組之外)，以提高告警與攻擊模擬任務匹配的準確度。

AI攻防機器人則是通過AI智能算法和模型實現流量的自動生成、變形與交互響應，且傳輸隧道方式自適應環境而自動選擇，無需因黑客攻擊微小變化而更新攻擊庫。

04安全運營能力便捷有效

產品的易用性也是一項安全成本，塞訊驗證平臺實際使用效果如何呢？

塞訊驗證平臺使用可視量化防御體系，可以定制各種角色觀看的界面，如從公司高層、到CISO，再到安全運營中心，安全度量平臺通過可視量化圖表，讓各級人員都能夠理解和溝通安全工作的現狀。

對于管理層而言，能夠直觀了解自家網絡安全防護能力，清晰認識到安全帶來的價值和投資回報率，對企業當前防護水平有量化認知，也符合合規要求。

對于安全負責人而言，直觀視圖能夠有效認識安全建設規劃及預期與實際效果之間的差距，為未來的規劃、建設、優化等決策，提供科學量化依據。

對于安全運營團隊來說，持續評估關鍵基礎設施及應用部署的防御能力，油畫防護配置和事件響應流程，提升防護效果。

05具備持續安全驗證能力

網絡世界，風險無處不在，且隨時隨地。就如守城將士，哪怕只有一刻松懈，就能讓敵人趁虛而入。

有鑒于此，塞訊驗證平臺擁有持續驗證的能力，即持續性地監控網絡環境中防御能力的變化，設定“周天時”對特定攻擊行為進行模擬，一旦防護能力發生變化，即可主動告知安全運營團隊。安全有效性驗證可以讓安全運營形成閉環。

除此之外，塞訊驗證還提供延展性的服務。比如HW前風險評估服務、勒索軟件防御評估服務、挖礦軟件防御評估服務、安全專家補救建議服務、安全事件響應分析服務等，進而從更多維度，來保障客戶的安全體系建設。

實踐是檢驗產品強大與否的關鍵標準

安全領域，任何技術和產品的最終價值，都需要在落地實踐中發揮出來，紙上談兵終究無法戰勝現實中強大的敵人。對此，我們獲取了塞訊驗證針對500強金融客戶安全驗證的實踐案例，或能一窺其驗證平臺能力。

該500強金融公司客戶，已構建較高水平的安全防御體系，也有專業的安全運營團隊，擁有SOC、SOAR、威脅情報等平臺，事件響應與合規流程皆符合標準。

乍一看，該公司安全防護體系完備無缺，實際上其現有安全規則的驗證手段仍存在諸多不足，比如缺少檢驗Use Case是否實際有效的手段，也無法檢驗目前各類基礎設施的安全基線是否需要更新。此外，其與其他行業大多頭部企業存在相似現狀，即普遍缺少對自身安全防御能力的精準驗證。

對此，客戶公司提出三點需求：

1、需要以攻擊者視角針對不同的攻擊階段與攻擊手法、ATT&CK 框架中的技戰術發現安全防御體系的弱點；

2、需要提高安全運營團隊的運營能力，包括平臺能力、人員經驗、驗證響應流程的準確性與合理性；

3、需要量化數據作為依據支撐未來的安全規劃。

塞訊驗證與客戶公司探討研究發現，客戶面臨三大挑戰：1、新的防御缺陷不斷出現；2、現有防御效果的驗證手段不足；3、事中/事后的關聯分析困難。針對其痛點和需求，塞訊驗證提供的解決方案覆蓋以下四個方面：

1、塞訊驗證平臺以豐富的涵蓋各個攻擊階段與攻擊手法的模擬攻擊，在生產環境中真實模擬，發現安全防御體系的弱點；

2、與 SOC 平臺聯動獲取各類安全產品告警日志，實現閉環驗證，確定相關安全防御手段是否有正常的響應，直接告知驗證結果；

3、持續的周期性驗證監測環境變化帶來的安全防御能力飄移，從而及時發現與修正；

4、針對發現的問題提供緩解建議，幫助安全團隊衡量和增強對威脅的準備情況，并變得更加主動。

客戶公司實施架構

塞訊驗證為客戶公司部署了塞訊驗證平臺和10套AI攻防機器人，幫助客戶以攻擊者視角審視與建設自身安全防御體系。節省了滲透人員實現驗證95%的工作量，降低了50%的紅隊初級人員投入，減少了人為因素（知識水平、人員變動、工作時間）對驗證工作的影響。

客戶公司實施第一個季度，實現了終端/主機類安全產品策略優化48條，網絡類安全產品策略優化25條，建議增加新型安全防御手段一種。

塞訊驗證平臺為每個驗證實驗提供ATT&CK標準的緩解建議，在驗證完成后對發現的問題提供詳細動作信息，為客戶公司安全產品或 SOC 關聯分析的優化和安全運營水平的提升提供助力。

并且，通過持續驗證累積的數據，體現不同安全區域以及攻殺鏈不同攻擊階段防御的強弱，為公司未來安全建設規劃提供量化數據支撐。

寫在最后：持續安全驗證大有可為

當前，安全驗證作為一項新興的、正在崛起的理念和技術，能夠為各類組織機構提供持續性的安全態勢評估，并對企業安全防御產品進行有效性驗證，保障企業安全層面的投資收益。

對于塞訊驗證而言，其為國內首家提出“持續安全驗證”理念的安全廠商，通過持續驗證，幫助企業最大限度地提高現有安全投資的回報率。

塞訊驗證在安全驗證上的前瞻性并非浪得虛名。2021年，Gartner在安全趨勢中提出入侵和攻擊模擬（BAS）；在今年報告中，Gartner將BAS作為一項驗證工具囊括在安全驗證這一整體趨勢下。這與塞訊驗證的理念不謀而合，塞訊驗證自2021年就在國內率先提出安全驗證理念，前瞻性地將BAS技術進行擴展，向安全驗證演進。

塞訊驗證的眼界自是基于自身扎實的團隊實力。其中，塞訊實驗室是塞訊安全度量驗證平臺的基石，聚集了業界頂尖的安全分析團隊，全天候追蹤互聯網黑客組織和漏洞，利用得到的一手威脅情報，第一時間還原攻擊手法，為未受害企業提供驗證手段。

安全，最好的模式就是防患于未然。語本《易·既濟》言：“君子以思患而豫防之”；防微杜漸、未焚徙薪、杜漸防萌等等，皆是此意。

塞訊安全度量驗證平臺，其背后所有的努力，都是致力于企業安全能夠防患于未然，并尋求搭建更全面的安全驗證生態，真正從客戶需求出發，為客戶提供一站式安全驗證解決方案，以更輕量化的投入，實現安全防御能力的跨越式提升。

我們相信，持續安全驗證理念，未來將海闊天空，大有可為。

詳情請關注安在新媒體，一家信息安全領域媒體，以“做有內涵的泛黑客媒體”為方向，線上通過自媒體，采訪網絡安全領域人物梳理行業脈絡，通過介紹他們的經歷、感悟、對行業的看法等來剖析網絡安全發展的脈絡；致力于建立完整的信息發布矩陣，覆蓋微信、微博、知乎等主流自媒體渠道。

官網：http://anzerclub.com/

市場部聯系（廠商）：徐倩（微信：Madeline_Sue）

市場部聯系（甲方）：Tina（微信：xuqingqing823125689 ）及 Enco（微信：Anzer10）