2022 中国金融行业 © 北京数字世界咨询有限公司 2023.1 攻击面管理白皮书© 北京数字世界咨询有限公司 2023.12022 中国金融行业 攻击面管理白皮书  2020 年,数世咨询首创网络安全三元论,后进化为“数字安全三元论”,该理论由信息技 术、网络攻防、业务应用三个支点与数据安全这个核心构成,其中: ● 信息技术是数字安全工作开展的基础,不清楚资产,何谈保护?没有网络,就没有网络安全; ● 网络安全的伴生、服务和对抗本质,决定了它将永远的场景化、碎片化和动态化; ● 业务应用既是信息技术与网络攻防的成本来源,也是两者最终的价值所在。   数字世界  以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。   数字安全  以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和        国家社会的和谐稳定。   数字世界,安全共生!   数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、网安 企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、 市场品牌活动等调研咨询服务。 报告编委   主笔分析师 刘宸宇   首席分析师 李少鹏   分析团队: 数世智库 数字安全能力研究院 版权声明   本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。   任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。   违反上述声明者,数世咨询将保留依法追究其相关责任的权利。目 录 前言 ………………………………………………………………………………… 1 关键发现 …………………………………………………………………………… 3 1 定义及描述 …………………………………………………………………… 4   1.1 攻击暴露面 ………………………………………………………………………… 4   1.2 攻击面管理 ………………………………………………………………………… 4   1.3 EASM 与 CAASM ……………………………………………………………… 5   1.4 与现有安全解决方案的区别 ……………………………………………… 5 2 金融行业攻击面管理需求现状分析 ……………………………………… 8   2.1 安全强合规,但缺少可落地的指导细则 ………………………………… 8   2.2 金融机构安全团队往往面聊多个监管方的扫描与通报 …………… 8   2.3 攻击面管理的建设与运营,仍然需要事件驱动和推动 …………… 9   2.4 业务变化快,更注重资产生命周期的多标签动态管理 …………… 9   2.5 业务属性差异大,要完全实现“同业参考”是一个伪命题 …… 10   2.6 响应时效要求高,需要兼顾可观测性与安全有效性 ……………… 10   2.7 攻击面收敛难,需要专业技术与服务意识相结合 ………………… 11   2.8  共同成长,金融机构与安全厂商形成攻击面管理的共生互助关系  … 12 3 行业用户场景  ……………………………………………………………… 13目 录   3.1 分支机构资产纳管 …………………………………………………………… 13   3.2 实网攻防演练 ………………………………………………………………… 13   3.3 数据泄露溯源取证 …………………………………………………………… 14   3.4 安全运营基础设施 …………………………………………………………… 14   3.5 后疫情时代的攻击面管理   ………………………………………………… 15 4 关键能力 ………………………………………………………………………16   4.1 攻击暴露面发现能力 ……………………………………………………… 16     4.1.1 外部信息攻击面覆盖 …………………………………………… 16     4.1.2 网络资产攻击面覆盖 ……………………………………………… 17     4.1.3 脆弱性风险评估 …………………………………………………… 19   4.2 攻击面数据融合能力 ………………………………………………………… 21     4.2.1 多源资产数据接入 …………………………………………………… 21     4.2.2 数据融合与分析 ……………………………………………………… 22    4.3 攻击面管理平台能力 ………………………………………………………… 22     4.3.1 基于业务视角的资产属性 ………………………………………… 22     4.3.2 可观测性 ……………………………………………………………… 23     4.3.3 资产数据输出 ………………………………………………………… 24   4.4 攻击面专项收敛能力 ………………………………………………………… 25     4.4.1 互联网风险资产快速定位与下线 ……………………………… 25     4.4.2 外部信息攻击面收敛 ……………………………………………… 26目 录     4.4.3 办公网资产整体收敛 ……………………………………………… 26   4.5 能力建设建议:阶梯式建设 ……………………………………………… 27 5 代表企业  …………………………………………………………………… 28   5.1 Mandiant  ……………………………………………………………………… 28   5.2 Sevco Security  ……………………………………………………………… 29   5.3 魔方安全 ………………………………………………………………………… 31 6 未来展望 …………………………………………………………………… 34   6.1 攻击面管理作为行业共识,将成为安全运营必选项 ……………… 34   6.2 金融行业攻击面管理将向“大集中”靠拢 …………………………… 34   6.3 攻击面管理方案的交付将以“平台 + 服务”结合为主要方式 … 34   6.4 对攻击暴露面的实时可观测性准确度会越来越高 ………………… 35• 2022 中国金融行业攻击面管理白皮书 •1前 言   金融行业具有关键基础设施属性,是国家与社会生活正常运转的基础与核 心。金融行业具有领先的科技属性,AI、区块链、云计算、大数据、5G等新 技术都能在金融行业中找到优秀的最佳实践。同时,金融行业还具有极高的安 全属性, 从信息安全到网络安全再到数据安全, 金融行业的安全需求始终以 “强 合规、高要求”走在各行业前列,由这些新需求带来的供给侧安全技术创新, 也具有很强的示范性与可复制性。   在关基属性、科技属性、安全属性等三个属性背景下,金融行业安全建设 与运营,最首要场景需求是梳理潜在的攻击暴露面并有效缩小这个攻击面,使 其收敛至可视、可查、可控的程度。这成为了金融行业中安全从业者要面对的 第一个,也是最基本的一个问题。   面对这一需求,供给侧情况如何呢?我们先看国外,继“网络空间测绘”、 “资产管理”等概念之后,Gartner 于 2021、2022 连续两年在 Hype Cycle for Security Operations中提出了CAASM (网络资产攻击面管理) , 开启了 “攻 击面管理”时代。我们用以色列安全公司 Axonius 为例,作为一家专门从事 网络安全资产管理的安全企业,它夺得了 2019 年 RSAC 创新沙盒的冠军,在夺 冠当年,它的 slogan 是这样说的:    You can’t secure what you can’t see.   三年后,它则明确提出了 :    From assets management to assets intelligence: crossing the CAASM   此为一证。国内的安全供应商也是如此,无论较早成立的以“资产测绘”2或“资产安全管理”为主要技术路线的企业,还是近两年如雨后春笋般新成立 的定位“攻击面管理“的初创团队,都在积极向攻击面管理ASM这个赛道靠拢。   然而与国外环境不同的是,国内金融行业虽然相比其他行业已经大多设立 了首席安全官 CSO 或有专门的安全团队,但话语权普遍不高。近年来国内安全 市场很大一部分驱动力,来自于监管机构的合规要求和逐渐常态化的实网攻防 演练,导致在应对潜在的攻击暴露面时,有很多不同于国外的“独特”管理手 段,例如,发现风险资产后收敛的难度更大,常常需要借助安全重保与攻防演 练的机会,对其进行收敛。   综上所述,数世咨询认为在突出的现实需求与供给能力之间,始终缺少一 个以行业用户访谈为基础,以金融行业为代表的“攻击面管理”报告对其做出 梳理与阐述。 鉴于此, 我们协同国内攻击面管理领域安全厂商魔方安全对银行、 证券、基金、资管及互联网金融等数几十家金融行业典型客户开展了为期一个 多月的调研工作,并在保护用户隐私不泄露任何调研原始数据的基础上,将调 研成果整理成为各位读者看到的《2022 中国金融行业攻击面管理白皮书》。   报告同时还收录了该领域具有代表性的一些国际、国内能力企业,供各位 读者参考。鉴于时间紧迫,调研对象样本有限,报告中难免有遗漏、偏颇之处, 请各位读者不吝指正。

pdf文档 数世咨询 2022中国金融行业攻击面管理白皮书

文档预览
中文文档 43 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共43页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
数世咨询 2022中国金融行业攻击面管理白皮书 第 1 页 数世咨询 2022中国金融行业攻击面管理白皮书 第 2 页 数世咨询 2022中国金融行业攻击面管理白皮书 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2023-05-03 01:08:24上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。