實(shí)力入選丨云科安信某資產(chǎn)測(cè)繪與漏洞驗(yàn)證服務(wù)項(xiàng)目獲評(píng)為網(wǎng)安行業(yè)優(yōu)秀案例

云科安信解決方案：

項(xiàng)目上線前，該開(kāi)發(fā)區(qū)大數(shù)據(jù)中心和所轄企業(yè)主要面臨的問(wèn)題有∶

1）企業(yè)安全漏洞常態(tài)化檢測(cè)能力不足
網(wǎng)絡(luò)攻擊是不分時(shí)間及場(chǎng)合的，這就要求防守方也必須具備常態(tài)化的檢測(cè)防御能力，但很難有企業(yè)可以達(dá)到，這就給攻擊者留下可乘之機(jī)。

2）大數(shù)據(jù)中心、企業(yè)威脅可視化能力不足
大數(shù)據(jù)中心和企業(yè)本身也不清楚資產(chǎn)信息和安全漏洞信息，企業(yè)安全建設(shè)是否真正達(dá)到效果具備應(yīng)付實(shí)戰(zhàn)的能力仍是未知的。

3）全面的資產(chǎn)探測(cè)評(píng)級(jí)能力不足
企業(yè)內(nèi)外部資產(chǎn)其實(shí)是處于實(shí)時(shí)的動(dòng)態(tài)演化的過(guò)程之中，安全團(tuán)隊(duì)往往無(wú)法實(shí)時(shí)掌握資產(chǎn)的演化，漏洞發(fā)現(xiàn)能力滯后，給攻擊者帶來(lái)了攻擊時(shí)間窗口，從而造成企業(yè)損失。

4）企業(yè)對(duì)數(shù)字化資產(chǎn)威脅認(rèn)識(shí)不足
當(dāng)前企業(yè)在進(jìn)行全面的數(shù)字化轉(zhuǎn)型，企業(yè)需識(shí)別暴露的有風(fēng)險(xiǎn)的數(shù)字資產(chǎn)，包含“企業(yè)數(shù)字足跡、品牌保護(hù)、組織的賬戶接管風(fēng)險(xiǎn)等”以上是數(shù)字化轉(zhuǎn)型階段的新的安全威脅，企業(yè)對(duì)此方面認(rèn)識(shí)度十分匱乏。

針對(duì)以上問(wèn)題，通過(guò)云科 Web 應(yīng)用安全檢測(cè)系統(tǒng)，挖掘互聯(lián)網(wǎng)和企業(yè)內(nèi)網(wǎng)數(shù)據(jù)集，或模擬采用偵察技術(shù)的攻擊者等方式和手段，來(lái)全面分析組織資產(chǎn)，結(jié)合智能算法合理進(jìn)行數(shù)字建模與分析，對(duì)組織當(dāng)前資產(chǎn)、漏洞、風(fēng)險(xiǎn)情況進(jìn)行及時(shí)分析，掌握每一個(gè)安全數(shù)據(jù)狀態(tài)，提高企業(yè)風(fēng)險(xiǎn)管理水平和效率。通過(guò)資產(chǎn)測(cè)繪與漏洞驗(yàn)證服務(wù)，開(kāi)發(fā)區(qū)企業(yè)安全漏洞管理能力有了明顯的提升。

創(chuàng)新性與優(yōu)勢(shì)

本項(xiàng)目引入的云科 web 應(yīng)用安全檢測(cè)系統(tǒng)，其中包含了 6 個(gè)相關(guān)技術(shù)點(diǎn)“外部攻擊面管理（EASM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)（DRPS）、漏洞評(píng)估（VA）、弱點(diǎn) / 漏洞優(yōu)先級(jí)技術(shù)（VPT）、開(kāi)源網(wǎng)絡(luò)情報(bào)（OSINT）”。

通過(guò)引入攻擊面管理技術(shù)，除了對(duì)該區(qū)大數(shù)據(jù)中心的網(wǎng)絡(luò)資產(chǎn)安全脆弱性進(jìn)行檢測(cè)之外，項(xiàng)目方案還持續(xù)以攻擊者視角對(duì)其資產(chǎn)進(jìn)行持續(xù)發(fā)現(xiàn)、清點(diǎn)、分類、優(yōu)先級(jí)排序和監(jiān)控，并對(duì)整個(gè)過(guò)程做出如下安全管理：

資產(chǎn)的識(shí)別及清點(diǎn)：可以識(shí)別未知的（影子）數(shù)字資產(chǎn)（如網(wǎng)站、IP、域名、SSL 證書和云服務(wù)），并實(shí)時(shí)維護(hù)資產(chǎn)列表；

漏洞修復(fù)及暴露面管控：將錯(cuò)誤配置、開(kāi)放端口和未修復(fù)漏洞根據(jù)緊急程度、嚴(yán)重性來(lái)進(jìn)行風(fēng)險(xiǎn)等級(jí)分析以確定優(yōu)先級(jí)；

云安全與治理：識(shí)別組織的公共資產(chǎn)，跨云供應(yīng)商，以改善云安全和治理，采用外部攻擊面管理技術(shù)可以提供全面的云資產(chǎn)清單，補(bǔ)充現(xiàn)有的云安全工具；

數(shù)據(jù)泄漏檢測(cè)：監(jiān)測(cè)該區(qū)參演單位內(nèi)部信息系統(tǒng)的數(shù)據(jù)泄漏情況，如憑證泄漏或敏感數(shù)據(jù)。

應(yīng)用價(jià)值

先于攻擊者發(fā)現(xiàn)漏洞并加以彌補(bǔ)是最經(jīng)濟(jì)的信息安全解決方案。但是沒(méi)有技術(shù)支持，靠離散的資產(chǎn)測(cè)繪、漏掃掃描等，無(wú)法實(shí)現(xiàn)威脅信息的關(guān)聯(lián)性利用分析。如此海量數(shù)據(jù)需要大量及專業(yè)人員來(lái)進(jìn)行分析，隨著業(yè)務(wù)系統(tǒng)增加其難度呈幾何數(shù)上升。通過(guò)資產(chǎn)測(cè)繪與漏洞驗(yàn)證服務(wù)，可以有效的將資產(chǎn)測(cè)繪、漏洞挖掘、漏洞驗(yàn)證、漏洞管理、補(bǔ)丁推送、威脅情報(bào)融為一體，實(shí)現(xiàn)高可用、高智能結(jié)果交付，減少系統(tǒng)建設(shè)費(fèi)用和人力資源的投入。

企業(yè)采用服務(wù)后有效的提高了攻擊門檻，通過(guò)數(shù)據(jù)分析至少有效縮減 90% 漏洞暴露面，通過(guò)“企業(yè)安全數(shù)據(jù)分析、漏洞全生命周期管理、企業(yè)資產(chǎn)安全管理、威脅可視化”使企業(yè)可以，準(zhǔn)確定位最急需處理的風(fēng)險(xiǎn)，快速、有效的進(jìn)行安全防護(hù)。在后續(xù)的服務(wù)升級(jí)過(guò)程中，又實(shí)現(xiàn)與企業(yè)現(xiàn)有的管理系統(tǒng)對(duì)接：通過(guò)數(shù)據(jù)接口，實(shí)現(xiàn)更豐富的管理方式和內(nèi)容，使企業(yè)之前的投入得到進(jìn)一步增值。

本次入選《ISC 2022十年網(wǎng)絡(luò)安全優(yōu)秀案例》，代表著行業(yè)內(nèi)對(duì)云科安信網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防能力的一貫認(rèn)可。作為一家專注于安全實(shí)戰(zhàn)攻防領(lǐng)域的高新技術(shù)企業(yè)，云科安信秉承持續(xù)更新安全防御技術(shù)的宗旨和以攻促防的理念，陸續(xù)發(fā)布了白澤攻擊面管理（ASM）平臺(tái)、可溯源應(yīng)用防火墻、可編程動(dòng)態(tài)防御平臺(tái)等自主研發(fā)產(chǎn)品，致力于以最簡(jiǎn)單便捷的方式將實(shí)戰(zhàn)攻防能力輸送給用戶，讓每一個(gè)單體企業(yè)用戶都能夠輕松具備強(qiáng)大的實(shí)戰(zhàn)能力，以此提升全社會(huì)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)水平。

未來(lái)，云科安信將繼續(xù)發(fā)揮自身核心技術(shù)優(yōu)勢(shì)，為行業(yè)客戶持續(xù)輸送最新的安全防御技術(shù)和多維的安全構(gòu)建視角，助力客戶輕松應(yīng)對(duì)多變復(fù)雜的安全挑戰(zhàn)。