安全有效性驗證能力白皮書CybersecurityValidation 4 7 8 8 9 從互聯網業務邊界安全防護、到流量安全、主機安全、終端安全、郵件安全，從共享威脅情報，到統一運營管理，從用戶行為管網絡安全行業“最大的那條魚”，安全運營囊括了防護、檢測、響應、恢復等各個階段，涵蓋了從工具、平臺、人到管理與流程的全部要素。可以說安全運營既蘊含著安全建設過往發展的歷史，也代伴隨企業部署眾多安全防護產品的同時，在各類攻防對抗、紅藍演練中依然會暴露出各種問題，導致邊界被突破、權限被獲取，數據被泄露，靶標被拿下甚至發生真實的信息安全事件，嚴重影響生產業務安全。為此，面對當前已部署的各類安全防護措施，企業1.已部署的各類安全防護措施和基線是否有效？是否按照預期大多存在不同程度的“失去安全防護效力的情況”，這被稱之為造成防護失效的原因中，90%難以通過日常巡檢或依靠人工排查的方式發現異常，這些安全能力失效往往是在真實事件發生時才受重視或被感知。通過對大量案例和數據的分析，發現企業防護失針對各類安全防護必然存在失效或防護效力不及預期的問題，作為監管側需要抓手，實現體系化、標準化的執行監督檢查職責，及時發現和暴露組織單位安全防護的失效情況，聯防聯控，降低行業整體風險。作為承擔安全防護主體責任的企業單位，應當在常態化安全防護中持續檢驗和評估自身安全防御能力，及時發現防護和檢測缺失點，提升網絡安全整體防護能力。為此，“安全有效性驗證”作為全新的檢查評價機制應運而生，既可以實現對企業單位已部署安全防護措施的自動化巡檢核查，又可以作為監管單位的有效抓手。通過對安全設備、平臺、意識、流程等安全要素的有效性進行驗證、度量，安全運營體系中的短板得以暴露，安全運營的價值得以體現。驗證是手段，度量是價值。可以說，安全運營的靈魂即是驗證與度量。安全有效性驗證使得安全運營最重要的一塊拼圖得以近兩年來，業內已經先后涌現出專門滿足這一需求的初創安全企業，逐漸形成了安全有效性驗證的創新賽道。在數世咨詢發布的了初步闡述。本報告將對“持續評估定義安全運營”中的主要技術路報告由北京知其安科技有限公司（下文簡稱“知其安”）與北京勘誤與交流溝通請聯系郵箱：liuchenyu@為保持本報告內容的統一性，這里先列出業內目前常見的一些相關術語及其描述，如安全有效性驗證、BAS、攻擊驗證節點、靶?安全有效性驗證（CybersecurityValidati安全有效性驗證是通過入侵與攻擊模擬技術，構造各類型實戰攻擊手法，對企業已部署的各類安全防護措施及規則策略開展全面的模擬攻擊驗證，通過對攻擊結果的匯集分析評估網絡安全縱深防以模擬仿真的體系化安全攻擊手段，評估驗證安全運營體系發現威脅的能力。單獨描述BAS時，BAS可視為獨立產品，而對于承擔模擬攻擊者執行攻擊的角色，發起各類攻擊驗證動作。根據不同的驗證場景，攻擊驗證節點的部署點可位于云端、互聯網、承擔被攻擊或攻擊指向的角色，提供被攻擊后的響應和反饋，以及攻擊過程中的相關記錄和信息反饋。可以是URL/IP（虛擬靶負責接收上述各類節點的回傳數據，通過結合SIEM/SOC/態定，并基于行業最佳實踐的驗證知識庫進行比對，對判定結果中的2017年，Gartner在發布的《面向威脅技術的成熟度曲線》（HypeCycleforThreat-FacingTechnologies）中首次出現BAS入侵與攻擊模擬（BreachandAttackSimulation）概念，2021及2022年，“Gartner在《2021年八大安全和風險管理趨勢》、2021及2022《安全運營技術成熟度曲線》等報告中，連續提到BAS技術的必要性，預測BAS將成為IT安全建設重要技術手段。”2023年，Gartner最新的2023年網絡安全趨勢提到的9大趨勢中，“CybersecurityValidation網絡安全驗證”成為重要元素之一，從BAS技術框架的提出，到網絡安全驗證，真正落地實現圖3Garnter報告摘錄在Gartner《2024安全和風險管理技術路線圖》中，BAS同樣被認為對企業具有高價值且處于快速發展成熟階段。代表企業有AttackIQ、Cymulate、SafeBreach以及被Google收購的Mandiant等。在2024年7月最新發布的《HypeCycleforSecurityOperations，2024》中，BAS與Autonomouspenetrationtestingandredteaming等概念一起，被合并入對抗性暴露驗證（AdversarialExposureValidation-AEV），由此，BAS的落腳點由模擬（simulation）升級為驗證（validation），朝著效果與價值的方向更進一步。此外，合并后新命名的AEV處在成熟度參照上述國外各個相關概念的演進，據數世咨詢調研，目前國內相關能力企業的基因有行業最佳實踐、自動化滲透、仿真靶場等在實際交付時，會根據不同水平的機構用戶需求，結合成不同的解在金融等行業有多年深耕經驗積累的安全創業團隊，憑借其核心成員在一線安全運營場景中的行業最佳實踐，積累了大量從日常安全運營、實網演習、重保演練、實戰攻防中提煉總結出的驗證用例，這些用例在同行業同場景中有非常高的驗證“命中率”，加以自動化的驗證平臺，可以有效發現同行業機構用戶的失效點，提升其安全運營整體有效性，為同行業機構用戶提供持續的有效性驗證能階段，也引入了威脅情報、攻擊面管理等新的技術能力，其特點是能夠以外部攻擊者視角對機構用戶的實際業務系統發起攻擊，進而通過殺傷鏈上的信息搜集、漏洞利用、跳板終端、網絡節點、主機應用等環節，深入到內網業務主機，可以一定程度替代人工滲透的“仿真靶場”大多由網絡靶場、數字靶場賽道的企業發展而來，其優勢在于對機構用戶現行安全運營體系中網絡架構、終端系統等運行環境的高度仿真。結合多年多項賽事中所積累的攻防技戰法轉化而來的驗證劇本，該路線在安全運營體系中，特別是安全運營團隊的人員能力有明顯的驗證效果，可以有效發現運營團隊的響應短不論采用哪種技術路線，國內這一賽道的共同特點是都更為貼近用戶的實際需求：一方面，已經有較多安全廠商推出了自動化滲透測試產品，在實網攻防演練中配合攻擊隊已有較廣泛應用；另一方面，安全有效性驗證開始進入市場普遍接受和快速發展的階段，越來越多的安全運營團隊開始通過自動化的驗證，用以評估當前的防御能力與實際效果。代表行業有金融、監管、能源電力、運營商等，下一小節將針對各行業的需求分別敘述，接下來，我們先看下在數世咨詢發布的《能力指南-持續評估定義安全運營》報告中，數世咨詢將自動化滲透測試、安全有效性驗證等細分領域統一以“持續評估定義安全運營”概念進行統計，目前該賽道在國內的市場份額已經過億，同比增長率高達440%，同時數世咨詢認為在接世咨詢《中國數字安全產業年度報告2023》中的統計數據，同時參考金融、政府監管、能源電力、運營商等行業安全運營投入、持從國內各行業對安全有效性驗證的需求情況來看，根據數世咨詢《能力指南-持續評估定義安全運營》報告圖5：行業需求占比-持續評估定義安全運營目前作為需求占比最高的行業，安全有效性驗證的需求主要來源于實戰化安全運營、實網攻防演練等場景，金融行業自身屬于強監管行業，且內生安全需求較高，推動整體安全建設相對較早、較快的發展，用戶安全運營的成熟度不論從團隊意識到實際運營水平安全有效性驗證對金融行業帶來的價值更多體現在降本增效，在無需追加人員的前提下實現對已有驗證手段（人工滲透、紅藍對抗）的全面補充，同時指導來年安全建設預算方向，量化防御能力。以27%的需求占比排名第二，其有效性驗證的需求主要以All臨潛在的國家級網絡攻防對抗風險，因此通過安全有效性驗證對自安全有效性驗證對政府監管行業帶來的價值是解決相關監管單位對國家關鍵信息基礎設施及重要單位缺少標準化防護能力檢查評估工具的問題，能夠發現和整改組織單位網絡安全防護建設中的深作為關鍵信息基礎設施行業的代表，同時具備金融與政府監管兩個行業的需求特點，無論是國家級網絡攻防對抗風險，亦或實戰化安全運營需求，在能源電力行業都能看到，因此其成為近年來另安全有效性驗證對能源電力行業帶來的價值主要體現在“自動化安全巡檢”。該行業普遍存在“業務體量巨大但安全團隊較小”的情況，面對嚴峻的安全形勢，安全團隊實際工作壓力很大。借助平臺自動化高效實現“安全有效性”巡檢，即類似自動化運維，實現安全運營常態化的“自動化巡檢”；同時第一時間可以獲得新的攻擊方式和漏作為業務連續性要求最高的行業之一，行業集中度高，集采項目金額大，因此安全有效性驗證需求作為眾多數字安全新賽道之一，也開始逐步走進運營商用戶的視野，運營商作為網絡通信基礎架構的建設和運營方，承擔各類骨干網和關鍵節點的通信保障，安全防護不容任何閃失，尤其面對近期勒索事件頻發、外部威脅局勢嚴峻，針對安全防護措施的可用性、可靠性、有效性檢查評估已在各類通安全有效性驗證對運營商行業帶來的價值主要體現在各省公司復雜網絡架構下，布防的眾多類型的安全設備和措施是否都實時有效。集團對各省公司的安全防護能力進行評價或考核，并給予針對安全有效性驗證通過最佳實踐驗證用例的比對，或在不同網絡域單獨部署驗證節點（攻擊角色和靶標角色），無害化開展持續的模擬攻擊驗證，形成自動化規則策略驗證閉環，實現安全防護措施的有效性驗證，確保網絡安全配置、安全設備、安全策略等按照預企業當前已部署各類安全產品和平臺，涉及各類主流安全廠商作為供應商，提供產品和技術服務。很大程度上，當前依賴于這些安全產品的能力，實現對威脅和攻擊的檢測和攔截。從安全有效性驗證的角度出發，是對當前已部署的各類安全產品、平臺、規則策略等的有效性進行驗證評估，第三方中立性是重要支撐點。目前已經有部分安全大廠關注“安全有效性驗證”賽道，投入一些資源開拓，但對于新的方向，賽道和客戶需求還沒有標準化，大廠缺少耐心培育市場，支持力度很有限。最重要的一點是：第三方公正性。部分廠商既做安全防護產品，又做安全有效性驗證，既做守門員，又做裁判員。該類廠商做安全有效性驗證，評價自己的安全產品配置、安全有效性驗證是比較新的技術手段，是基于自動化攻擊模擬技術框架形成的最佳實踐。區別于傳統防御視角，安全有效性驗證需要對攻擊原理、攻擊手段、攻擊方式、攻擊工具以及各類漏洞利用都有深入的研究和積累。針對攻擊側的研究需要有深度的技術底蘊和豐富的實戰積累，更需要投入大量時間和人力來研究落地。同時還要具備豐富的安全建設運營經驗，并且能將頭部用戶先進的安當模擬攻擊打出，需要清晰了解甲方攔截和告警的預期結果。這需要研究各網絡安全廠商安全產品的防御機制和原理，橫向收集各網絡安全廠商主流安全產品的檢測、攔截、阻斷反饋數據，包括：響應頁面、返回代碼、特殊返回字符或部分API接口等，這樣才能自動化的準確判斷攔截、檢測結果，才能實現安全有效性驗證的自動化閉環。該技術實現門檻較高，不僅需要有較強的攻擊技術能力和攻防實戰積累，更關鍵的是要求具備豐富的安全運營經驗和視角，能夠清晰了解企業安全工作建設、安全運營工作開展過程中，會在哪些方面存在安全措施和策略的可能失效點，并通過安全驗證手段所以在考慮現有資源和實際需求的情況下，應重點關注該領域安全有效性驗證必須實現無害化，目的是對已經部署的各類安全防護措施的驗證，而不是對生產業務系統實行真實的傷害性攻擊。需要對各類攻擊手法進行無實際傷害的模擬，同時又需要使其保留攻擊特征。驗證節點使用實體靶機時，需在生產網內申請虛擬機或者物理機，策略配置和生產網業務主機保持一致，但是不能使用真正跑業務的主機作為靶機進行驗證。驗證使用的技術包括但不限于安全有效性驗證帶來的最大改進之一是能夠持續評估態勢的能力。它消除了單點時間評估的缺點，取而代之的是，可以以高度自動化的方式進行驗證，在發生配置更改或告警失效時立即通知安全安全有效性驗證應該以自動化為核心，構建實戰化、體系化、常態化的安全有效性攻擊驗證節點機制。通過在企業內部構造不同的模擬攻擊驗證場景，對已部署的各類安全防護措施及規則策略開展全面的模擬攻擊驗證，形成可量化、可持續、可運營的安全有效性驗證體系，實現自動化攻擊模擬、自動化閉環分析、自動化結果輸出。驗證平臺的部署實施、驗證任務的下發、驗證動作的執行、驗證結果的比對、以及驗證報告的生成等功能都應當是充分自動化在這些自動化能力基礎上，安全團隊就可以利用累計發現的多個失效點，按照時間線維度，分解故障背后的真實原因，提高整個系統的彈性與韌性。且在面臨業務迭代、IT環境變化、策略規則升安全有效性驗證不能只是單純的攻擊發出，而依賴人工進行結果的確認和判斷。需要基于平臺實現自動化的機制，從模擬攻擊的發出，到防御體系產生的各類攔截、阻斷、告警響應等生成的各類日志信息，形成完整驗證鏈路。不需要額外的人員投入，通過自動化的方式實現攻擊場景構建、任務調度、事件日志獲取與分析評估，證BAS是攻防對抗層面的驗證，通過模擬可能由黑客或不法分子實施的網絡攻擊，通過內置的模擬攻擊腳本及行為，執行正面攻防對抗的驗證評估。從安全運營角度來看，還需要補充對各類規則策略繞過的驗證，即非攻防對抗的驗證。如網絡隔離策略的驗證，驗通過場景的模擬和構造實現自動化的對規則策略的有效性進行驗證。業內大部分該領域的能力者會參考MITRE的ATT&CK框架等知識庫，覆蓋APT高級威脅的攻擊戰術、技術和程序。但除此之外，基于行業最佳實踐的驗證用例的覆蓋與積累是安全有效性驗證的首要關鍵成功因素。即應當結合國內近幾年的兩大場景——實網攻防演練與數字化轉型——基于最佳實踐來組織安全有效性驗證針對實網攻防演練，通過持續收集往年演練活動中的攻擊思路、攻擊工具、攻擊鏈路等要素，整理為高度仿真的驗證用例；針對數字化轉型，重點考慮轉型過程中的業務上云，資產數字化等導致的攻擊面擴大，覆蓋身份、網絡、存儲和控制臺訪問等關鍵點，避免因為行業最佳實踐具備明顯的場景化特點，所以在某個行業頭部用戶使用較多的安全有效性驗證產品，在這個行業的驗證場景用例會更具有行業屬性，能夠將行業頭部用戶的運營經驗以驗證產品攻防是持續對抗的過程，需要對各類攻擊有全面的深入研究和工程化實現。需要對最新的各類攻擊原理，攻擊手段，攻擊方式，攻擊工具，以及各類漏洞利用都有持續的，實時的研究和用例開發上線。用例的更新和上線，需要由專業化的團隊運營，做到7X24小時持續更新和發布，確保我行能夠第一時間對最新的攻擊進行驗通過安全有效性驗證發現失效和各類問題后，需要給出對應的針對性解決建議，解決建議的核心同樣應該是來自行業最佳實踐。要求安全有效性驗證廠商具備充分的行業安全驗證實踐，基于眾多在明確了安全有效性驗證的八個主要成功因素之后，這里還要重點厘清安全有效性驗證與漏洞掃描、滲透測試乃至攻防演練等傳眾所周知資產有脆弱性（含漏洞、弱口令、未授權訪問等），因為資產有脆弱性，所以我們部署了一系列安全防護產品和措施，希望能及時的檢測和阻斷攻擊，但近年來的實網攻防中會發現，經常出現攻擊未檢測到、未告警，攻擊沒攔截的情況，導致安全風險事件發生。因此，安全事件的發生是由兩個因素疊加形成的：資產針對資產的脆弱性，傳統做法是基于滲透和紅藍對抗、漏掃等發現一些資產的漏洞問題，是以漏洞視角來發現資產的脆弱性。一直以來缺少一個體系化的機制對已經部署的各類安全防護體系的脆技術可以很好地解決。通過在企業內部自行構造各類模擬攻擊驗證場景，主動觸發防御體系，主動觸發產生告警和攔截事件，驗證已源害傷害系統的情況度段漏洞掃描：對象是各類應用資產，目標是發現這些應用資產上是否存在已知的漏洞。主要以發包的方式通過掃描和探測，與已知安全有效性驗證：對象是各種安全防護產品策略和運營平臺，目標是及時發現“應告警而未告警”“應檢測而未檢測”的情況。通過基于BAS的自動化攻擊模擬來實現，通過構造各種模擬攻擊漏洞利用、攻擊手法、攻擊工具等，來觸發安全防護的各類檢測和告警，核心是安全防護措施。從而讓安全運營人員及時了解當前已安全有效性驗證與滲透測試是沒有替代性的，完全不同且可相滲透測試：是通過人工+工具的方式，挖掘業務資產漏洞，并找到可被利用的方式。從時間頻度來說，是偶發的，一年只有幾次。執行滲透測試任務時，通常是會在防護措施上將攻擊源加白，避免用可以突破，就直接利用，對于潛在的可能存在其他漏洞利用就不需要關注和嘗試了，因為滲透目標已經達成，且時間成本，人力成攻防演練：使用的與滲透測試的技術一部分是相同的，但是更接近真實場景，偏向于實戰，面對的場景復雜、技術繁多。側重黑盒方式進行漏洞挖掘+繞過防御體系，毫無聲息達成獲取業務權限或數據的目標。不求發現全部風險點，因為攻擊動作越多被發現的概率越大，一旦被發現，防守方就會把攻擊方踢出戰場。攻防演練的目的是檢驗在真實攻擊中縱深防御能力、告警運營質量、應急處置安全有效性驗證：是從全覆蓋面出發結合縱深防御，對已經部署的各類安全防護體系的驗證。通過白盒方式觸發安全防護的各類檢測和告警，及時發現“應告警而未告警”“應檢測而未檢測”的情況。面向縱深防御各個維度，實現體系化、標準化、自動化的對現有已部署的各類安全防護進行防護有效性驗證，給出評估度量讓安全運營人員及時和全面的掌握現有安全防護水準。通過持續常態化驗證，傳統基于少量場景，碎片化的攻擊手法的驗證，確實可以用戶自己做。但是，鑒于“黑盒驗證的局限性”“人工白盒驗證的局限性”，仍然建議專業的事交給專業的人做，何況是全覆蓋面的驗證無法依日志做自動化的閉環匹配，這樣就不需要人工參與判斷。各類設備和策略的日志自動閉環驗證匹配，是需要比較大的開發門檻和維護（2）安全檢測能力驗證一來依賴很多資深的安全技術和研發參與，從投入的資源來說，廣度、深度和及時性等都會比廠商弱很多。且如果通過手動方式執行驗證勢必會浪費很多時間，也無法重復執行。而通過這種平臺化的能力，能夠快速的實現相關驗證。相當于通過有效性驗證平臺能夠將行業最關心的安全運營場景和攻擊手法以技術手段開展有效性驗證的總體思路是，基于安全防護措施的范圍與目標，制定能夠觸發防護控制效果的模擬行為，結合防護措施實際的響應結果，能夠實現自動化閉環并給出驗證結果評價。控制措施設計的預期結果為評價基準，實際攻防的結果是評價依據，達到對防護措施的客觀度量評價。通過將防護能力進行度量可視化，將安全防護能力可以“看得見”及“可評價”，才能形安全有效性驗證的核心邏輯是“攻擊與繞過場景構造”和“防護響基于平臺工具，通過攻擊驗證節點向被驗證對象發起驗證，對已部署的各類安全措施發起無害化模擬攻擊，基于日志事件的分析，判斷安全防護措施對本次驗證的響應情況，以評估整體防護響應檢1.有效：對本次發起的模擬攻擊驗證，正常檢測或阻告警信息或攔截事件，未觸發相關規則策略；或策略被成功繞過，安全有效性驗證平臺是集安全措施展示、監控與驗證于一體的通過攻擊模擬驗證，確定安全設備及規則檢測鏈路是否正常工作，對重要安全防護措施進行過程驗證：邊界防護、流量安全、主設備/系統的日志獲取和告警方式以白盒的方式進行有效性驗證。過程驗證可以在第一時間內進行溯源，定位出現問題的位置，保障安結合現有的紅藍對抗等驗證安全防護是否真實生效；為驗證防護措施規則的有效性，選取以結果驗證的方式進行，在融合現有運營措施（滲透測試、紅藍對抗、眾測、漏掃、巡檢等）的基礎上，新增實時動態展示安全有效性驗證結果，第一時間掌握安全防護有效性。從防護措施分級，到防護措施展示，再到獲取驗證監控結果，直至最后失效措施告警，都依托于拓撲結構進行可視化展示，不但可以明確現有安全措施依據重要程度的分級情況，還可以直觀的看安全有效性驗證平臺可開展獨立的攻擊模擬驗證，既可以通過也可以直接與安全設備通過syslog對接日志，來判斷安全設備監測和防護的告警狀態，識別和驗證安全設備的有效性與整體安全能力。通過在不同網絡域單獨部署攻擊驗證節點和靶標驗證節點，實現無害化的持續攻擊驗證，形成自動化規則策略驗證閉環，實現安全防護、檢測等安全設備的有效性驗證，確保網絡安全配置、安全驗證平臺是服務端、攻擊驗證節點、靶標驗證節點三部分分離1.服務端負責驗證任務創建、任務調度、任務下發、驗證結果分析及展示、靶標驗證節點和攻擊驗證節點管理、驗證場景創建和2.攻擊驗證節點負責模擬攻擊者對目標靶標驗證節點發起攻擊3.靶標驗證節點作為被攻擊端，用來充分驗證安全防御檢測能力、安全策略運行的有效性等；靶標驗證節點上無任何真實生產業務，但部署有和真實環境一致的安全防護措施及軟件。靶標驗證節步安全設備資產信息、同步告警日志，接收系統驗證結果，判斷安安全有效性驗證用例是對安全防護措施開展檢查與評價的最小單元。每個安全驗證用例可能是一次入侵攻擊嘗試、惡意文件植入、危險命令執行、系統賬號破解等外部入侵動作，也可能是配置文件變更、違規網絡連接、開發代碼包含漏洞、敏感數據泄露、違規運維操作等違背管控紅線的違規行為。根據這種不同視角，安全用例1.基于攻擊視角的入侵攻擊模擬用例：攻基于入侵與攻擊模擬BAS技術框架構建模擬黑客的各行為。來自外部人員的入侵攻擊與防護體系形成一種競爭對抗，規劃驗證用例時需要把工作重心放在對攻擊手法的覆蓋度以及熱點攻擊行為跟蹤的及時性上。作為已知攻擊技戰術的集合，ATT&CK框架已成為各方評估攻防技術覆蓋情況應用最廣泛的工具。相同的，安全有效性驗證對攻擊技戰術的驗證覆蓋情況，也同樣可參考該框對于新披露的技戰術情報或漏洞，因防守方修復需要一定時間導致出現一段窗口期。通常每逢比較嚴重的漏洞被披露時，網絡會出現大量嘗試利用該窗口期進行初步邊界突破的攻擊行為。安全驗證用例則需要在真實攻擊者發起此類攻擊行為前，以相同的攻擊手2.基于防御視角的違規行為模擬用例：策略繞過基線檢查對于違規行為的模擬時，所面臨的最大的挑戰是違規動作的不這里應優先選擇那些對企業會產生較大影響的紅線規則，這樣有利于資源調配，最大化驗證資源投入的性價比。同時可優先選擇采取了技術控制措施的規則進行驗證，這類有技術驗證目標的驗證用例會更有技術可落地性。面向規則的驗證用例設計方法屬正向設計思路，即根據需要驗證的規則模擬破壞其規則用例即可，相比較另外，對于一些主動意愿較強的違規行為模擬，則因相關的動作軌跡與特征本身屬于未知的狀態，此類驗證用例設計需要更富創造力與想象力。因違規主體的目的是繞過各類防護規則，甚至有些人會對公司的防護策略有一定了解，譬如高權限運維人員或者公司高管。這類驗證用例所對抗的是各式各樣的人性與個體，其設計過程更多的需要參考業務風控模型的建設思路，圍繞著核心業務的保障訴求，對“異常”的業務操作進行模擬。這里的異常涉及非常強的業務屬性，可能是一些頻率異常、時間地點異常或者業務邏輯上的3.對驗證用例的結果校驗邏輯閉環設計每個驗證用例需要不同的技術實現環境，也導致其獲取校驗數據的格式與方式都有所不同。對于驗證用例需要明確如何判斷驗證對于“預期”的設計要有處置結果、響應覆蓋、時效延遲等不同維度的考慮。同時，在“結果”的解析過程上也需要建立對應的規則或者校驗邏輯首先從結果上不能出現模糊結論。基于攻擊模擬的有效性驗證結果應該只有“有效”或者“失效”兩種結果，不能出現類似“可能有效”的結論。如存在數據質量問題時，應優先采取數據過濾或清洗等策略，對于無法獲取到明確數據時，應先將驗證結果進行無效化。對于指標類的驗證結果數據（如響應時間、延遲時間）等，也需要將驗證獲取數據形成明確的數據，也可以設置指標數據的基在驗證任務的執行過程中，需要根據企業基于風險偏好的安全驗證需求，設置任務調度的各類策略與參數設定。根據任務執行策略，需要以自動化批處理引擎執行驗證任務與度量結果的計算。任。驗證用例范圍/場景的選擇：根據驗證對象與期望產出的度量。驗證目標的選擇：驗證用例通常是基于某類防護措施或者場景而設計，而具體執行驗證任務時需要將類型具象化到對應的具。驗證路徑的選擇：需要驗證的對象與目標，會影響驗證任務。計劃任務策略的制定：執行計劃策略通常包括執行周期、執驗證場景是對安全驗證訴求最直接的反映，是為了滿足實現安全驗證應用價值而組成的整合方案。安全驗證場景是由安全驗證用例組成，但不是單純的安全驗證用例的排列組合。根據驗證應用場景下的需要，除了需具備基本的安全驗證用例外，還需要對不同的現在的態勢感知都是基于攻擊視角，識別攻擊行為，針對攻擊事件進行處置。缺乏防御視角的可視化展示，無法快速了解防御體現在，依據既定的批量計劃任務，安全團隊可以每十分鐘或每小時執行一次預設的驗證場景，以此持續監控不同場景下的安全性能，并及時發現潛在問題，例如“安全設備短暫中斷”、“實時檢測功能延遲”以及“功能模塊異常”等。每月，通過在現網環境中使用攻擊驗證節點對靶標驗證節點發起模擬攻擊，并借助自動化閉環分析來評估結果，運營團隊能夠根據驗證報告為失效策略制定改進計劃并通過常態化的有效性驗證，可以檢驗安全策略在真實環境中的效能和穩定性，形成基于攻擊效果的度量評價驗證結果。將這些結果數據以圖形化的方式展現；每一個真實的防御部署可看到動態變化的防御能力，形成基于防護場景的總覽視圖，基于真實防護拓撲的大屏視圖，實施掌握全網內的安全防御能力，實現“一張網、一張在勒索防護能力提高方面，已經加強終端、網絡、邊界側的針對性防護措施，例如增加了防勒索模塊、增加了漏洞排查的頻率等，防護能力有了一定的提高，但效果如何？還需要建立常態化、自動化的檢查機制，不斷的發現脆弱點，及時的修正，形成螺旋式上升的局面，不斷的提高防護能力。通過模擬勒索軟件從感染植入、傳播擴散到加密勒索這三個關鍵階段的多種行為模式，系統地收集已部署防御體系的攔截與告警數據。隨后，利用自動化比對技術，對這些攔截和告警結果進行深入分析，量化評估防御體系對勒索組織各類動作與行為的有效攔截率及告警準確性。真實反映企業的勒索在感染植入階段，全面模擬勒索軟件入侵的初始步驟，以檢驗防御體系的初步響應能力。在邊界防護層面，通過勒索常見的高危漏洞的攻擊，模擬黑客利用這些漏洞對邊界進行驗證。同時，在郵件安全方面，模擬多種形式的勒索病毒郵件攻擊，包括偽裝成合法郵件、附帶惡意附件或鏈接等，驗證郵件安全效果。此外，在終端和主機層面，通過多種勒索軟件家族樣本和域名請求模擬，驗證終進入傳播擴散階段，重點模擬勒索軟件在企業內部網絡中的擴散和蔓延能力。這包括模擬勒索軟件利用橫向移動技術、RDP3389端口進行爆破攻擊模擬，驗證訪問控制策略。此外，模擬勒索組織立通訊的行為，以評估防御體系對勒索軟件持續威脅的監測和阻斷能力。同時，我們還加入了模擬批處理腳本的執行，如移除防病毒軟件、關閉數據備份服務、拷貝敏感數據等，以測試防御體系對惡在加密勒索階段，模擬勒索軟件的核心破壞行為，以評估防御體系在最后一道防線上的表現。這包括模擬勒索軟件對目標文件系統的加密操作、模擬鎖定與破壞、模擬數據銷毀或篡改，以驗證終端/主機的防護能力；通過這些模擬攻擊，全面揭示防御體系在應對在參與國家級、省級、行業的網絡攻防工作時，滲透測試和紅藍對抗演練已經成為常規化的關鍵驗證手段，用來檢驗自身的防御效能。然而，這些手段主要集中在有限的攻擊路徑上，難以全面覆為了驗證防御策略的有效性，須從縱深防御體系的角度出發，審視同一攻擊手段在縱深防御各個層面的檢測能力，從而識別防御體系中的薄弱環節。應當特別關注驗證演練中頻繁使用的攻擊手段和關鍵環節，并根據目前所使用的設備，精心設計相應的驗證場景和測試用例。在正式演練開始之前，對自我安全防御的有效性進行面對集團型企業擁有眾多分支機構的復雜場景，通過集團部署的驗證平臺，實現對分支機構統一化、標準化驗證動作的執行，基于驗證結果直觀呈現出不同分行防護真實情況，及時發現失效，有統一標準化驗證：區別于傳統人工滲透和檢驗的非標準化，基于平臺實現統一、標準化攻擊驗證，實現各分行驗證結果的統一標體系化評價考核：基于平臺，實現對不同攻擊類型、繞過方式、漏洞利用等多維度攻擊向量，體系化的驗證，能夠實現對各個分支提高全集團防護水平基線：通過標準化驗證手段，實現對分支機構的防護能力摸排，及時暴露防護風險和問題，有針對性的提高通過有效性驗證平臺發起的各類社工攻擊構造，在企業內組織人員安全意識演練，及時暴露風險，可視化評估輸出，統計安全意識薄弱人員，并針對性提供防釣魚意識培訓，從而降低因釣魚郵件通過模擬常見的APT組織手法、實戰攻防入侵手法等，讓安全運營人員了解在完整的攻擊鏈路中安全防護的缺失點，能夠以真實事件的方式展示防御效果，讓企業管理層對安全防御有更直觀的感知。同時，可以通過手動創建多鏈路的用例上建立的基于多維度判斷規則，避免策略調整后出現非預期的失效通過對各類型敏感數據文件通過不同渠道的外發、及外發過程中各類變形和繞過手法的模擬，驗證數據防泄漏的策略狀態、提升對敏感數據外發的檢測能力。以評估現有數據防泄漏安全策略在防止內部威脅方面的有效性。通過持續的數據泄露模擬和驗證，企業伴隨信創的推進落地，企業所部署的系統、網絡、安全等產品陸續進行信創改造的同時，也引入了信創相關的安全風險。以網絡安全防護為例，信創環境下的安全防護是否與之前的部署防護效力一致是需要企業重點關注的方向。通過信創安全驗證，可實現對信創終端防病毒/EDR、信創終端數據安全產品、信創主機安全產品等的有效性驗證。幫助企業第一時間發現和優化信創安全產品防護效力不一致、兼容性問題導致的告警延遲甚至丟失漏報、面對新的信由于每個企業的業務系統、網絡架構、安全管理策略和技術防護策略都有所不同，因此需要根據自身的風險偏好來開展相應的安全有效性驗證工作。該工作可以分為四個階段：驗證準備、驗證執行、結果分析和持續改進。通過這四個階段的實施，可以確保安全驗證任務方案需要明確具體執行任務的計劃參數，以便驗證任。驗證場景：驗證任務的執行通常是為了滿足其中某一類場景。驗證對象：基于不同的驗證場景下，需要明確具體要驗證的目標對象。可能是基于某個物理、網絡范圍的全量設備，或者。驗證網絡架構：需要達到的驗證目標或設備的不同，會使得驗證任務執行的網絡架構會有較大的差異，包括驗證任務執行的網絡數據流及各類驗證資源的部署位置，會對驗證資源投入。驗證執行計劃：一般驗證任務都會按照計劃任務的形式自動化執行，而對于驗證計劃相關的策略中，需要明確驗證任務執。驗證結果展示方式：通常驗證產出的結果會形成標準化格式的數據報表或結果，但為了能夠更加符合度量結果的應用，必在確定驗證方案后，需要根據驗證方案的需求準備相應的驗證資源與驗證環境。通常需要考慮的驗證資源包括驗證計算資源、驗證網絡策略及其他外部資源等。對驗證資源產生較大影響的因素主。對數據整合復雜度及對接解析的安全設備日志數量的需求，。驗證目標需覆蓋點位完整度的程度，會影響攻擊驗證節點與。對于跨網絡區域的復雜驗證場景，或者有特殊的業務訪問關。針對部分特殊的驗證場景需要準備特殊的驗證資源。如驗證郵件安全場景需要準備個郵箱賬號、需要驗證互聯網攻擊則需要公網資源、特定的業務規則驗證需要具備對應的業務數據資在執行基于攻擊模擬的驗證工作時，可能因為產生各類告警信息，對運營團隊產生干擾，影響對安全事件的誤判。通常在執行驗證任務之前，需要與安全預警處置團隊或驗證目標的監控團隊進行同步，對相關驗證任務進行加白處置或對告警進行過濾。通常，用。驗證任務執行時間段：如果是周期性任務則需要明確一個驗。驗證任務發起源地址：通常可以設置固定的驗證任務發起端。驗證任務數據包特征：可以基于模擬攻擊的攻擊特征、攻擊對于驗證任務的過濾應適用于事件響應過程中，對事件研判的邏輯與規則里，是為了避免發生處置動作的誤判。不應基于驗證任務的特征，在驗證目標上進行告警特征的匹配或建立告警模型，這在大部分的企業防護體系的設計中，會在不同層級技術架構中設計不同方式的防護措施組合，對核心資產與數據形成縱深維度的防護保障。對于入侵者視角來說，也會形成需要突破或繞過各種不同的措施，形成完整的攻擊鏈條。能夠模擬這種基于全鏈路的攻擊另外，由于數據資產的訪問路徑不同，也會經過不同的防護設備。即使是在相同的防護設備保護下，相關設備的策略不同也會產生不同的防護效果。基于這種業務數據流視角上，根據不同的防護在驗證任務計劃執行過程中，需要監控任務執行狀態是否正常完成，避免因設備性能問題、運行環境變換、網絡策略阻斷、任務配置錯誤等原因導致的驗證工作失敗的情況。對于周期性執行的驗證計劃任務，需要跟蹤確認周期性任務是否執行成功并形成了閉環。驗證相關資源或網絡策略的部署過程存在錯誤，未滿足驗證。在用例執行過程中，觸發了網絡安全自動化的響應處置機制，。驗證目標或驗證設備出現了性能瓶頸，導致任務無法正常執在首次運行驗證用例時，通常需要對驗證用例執行數據的準確性進行校驗。數據異常根本性的原因是在自動化驗證閉環的邏輯與機制上出現了問題。這個過程需要有較豐富的實踐積累與調試過程，在具備了較為龐大的結果數據基礎能夠使結果趨于穩定。數據異常的原因有可能是因為驗證用例設計的問題，也有可能是對于一些特殊的防護機制或驗證的環境出現了變更，原有的校驗邏輯無法滿足通過對金融、央企、制造業等單位的調研和驗證實踐，這里羅列出典型驗證場景和驗證頻率，幫助企業安全團隊有針對性的高效3、上傳webshell攔截時檢驗證NTA/IDS的檢測功能是否3、上傳webshell攔截時/1、內存馬植入和新型webshell投遞時時/全1、內存馬植入和新型webshell投遞3、容器逃逸，K8s攻擊、危險掛載時漏等為了使驗證任務產出的量化結果能夠更具備治理價值，需要制定對度量結果具有參考意義的治理基線。治理基線的制定是來自驗證工作方案與治理需求。比如，初次進行安全能力評估時，可以借鑒行業內的參考基準數據作為治理目標，制定優化策略。而對于已經處于常態化運營的驗證模式下，可根據自身防護水平形成一個驗證能力度量值作為基準線，持續驗證安全能力出現降低或偏離的情況。運營評價基準相當于以量化的形態展示企業的風險偏好或風險容忍度，并以此為基準對安全防護能力進行評價，進而得出后續的根據驗證任務執行結果，可以總結排查出各類防護失效的問題。對于此類失效點，需要建立完整的運營流程進行根因分析并推動整改動作，形成完整的閉環。特別是需要關注數據展現有明顯的能力缺失或者突然下降的情況。通常此類問題都會衍生出如防護模塊缺失、策略出現重大缺陷、覆蓋度不足、防護架構存在缺陷等較嚴重在完成各項失效點的修復工作后，需要通過針對性的驗證復測來確認修復動作是否達到了預期結果。復測驗證作為對問題修復結在完成了一輪驗證工作后，需要對驗證體系跟過程進行回顧與總結，使驗證體系整個過程能夠持續優化改進。驗證體系的優化通。對驗證用例執行邏輯與技術方案進行回顧，確認是否有更優。對驗證目標范圍進行評估，確認是否能夠增加更多的驗證場。評估驗證展現形式與數據格式，確認是否有更優的展現形式。在度量驗證形成治理工具時，通過持續迭代建立基于度量結果的評價體系，是將度量結果轉化為行動指南的重要參考，也能形成對所管轄單位的管理抓手。除了前文所提及的運營評價基線需要持續回顧進行持續改進外，如果基于度量結果形成評價評分機制時，也需要對評價體系進行回顧，是評價結果的指導意義更符合治理訴以往，要提高安全防護能力，主要通過人工檢查或廠商推薦的方式，對人員依賴較大，缺少針對性，常常出現與實際情況不符、整改效果不理想的情況。通過有效性驗證，可精準到每一個攻擊手法防護是否有效，準確定位安全防護的短板（能力不足）和失效點），第一時間了解最新的安全攻擊信息并通過安全用例自動化的在企業內復現和驗證，檢驗企業當前的安全防護能力；在掌握當前安全防御能力前提下進行針對性改進，全面提升企業安全防護能力。發現安全措施和策略失效風險所在，解決問題從而逐步提升用戶自第一時間掌握最新漏洞利用、攻擊工具和手法，自動化驗證當前的安全防護效力。針對安全能力失效，給出相應加強和提升建議，多品牌、多版本的安全設備，通過安全有效性驗證，拉齊安全策略基線，實現安全防護效果的一致性。例如分析安全工具配置或重復攻擊場景運行，檢驗真實的防護效力是否與預期一致，實現安將以往通過安全運營人員人工驗證轉為全自動化閉環驗證，解決手動模擬的覆蓋度和執行穩定性問題，解決人工查看告警判斷失誤的壓力。同時，可有效提高驗證效率，人工驗證主要由安全規則梳理、手動攻擊模擬驗證、人工查看安全設備和規則觸發情況，效率低，見效慢，自動化驗證可以極大提高驗證效率，過去這些安全設備需要投入3個人全職監控安全設備及策略運行狀況，現在只需要1個人兼職即可完成。持續性的7x24小時全天候驗證評估，幫助用戶先于攻擊者發現安全策略失效點，縮短失效點存在點時間周通過安全有效性驗證，可以清晰的將當前安全能力的實際狀況進行呈現，并且未來隨著問題整改帶來的安全能力提升，用戶持續的驗證可以得到數據累積，通過不斷的自我完善會得到一個安全能力上升的趨勢值，可清晰地把安全團隊工作價值量化呈現。且可讓管理層清晰地了解，公司整體實際安全防護能力是什么樣、可抵御驗證數據給出量化的、可視化的安全全貌、安全指標，指導安全運營投入，安全投入回報可見，有針對性的、有方向的投入和強驗證的直觀數據，可清晰了解安全防護能力對各類攻擊的實際抵御情況如何，哪些可檢測、哪些不可檢測，一目了然，讓安全管理做到“心中有數”。也可回應管理層對防護成效的疑慮：安全防對分支機構和子公司、海外機構的防護能力進行評估，過去只能通過人工檢查或者問詢方式執行，對人力水平要求較高，且無法驗證真實性。依托安全有效性驗證的能力，7×24小時常態化評估分支機構、子公司及海外機構安全防護力，以實戰化維度快速精準實時上收分支機構數據，了解各分支安全驗證狀態，掌握安全防護能力，及時給出支持與指導。基于量化的數據統計實現對各分集團級用戶的安全管理部門（總部、風險管理部）可以通過安全有效性驗證發現的問題作為監管的依據，從而對下屬單位或者其當前我國金融行業業務已經高度信息化、自動化、流程化，為用戶提供的所有服務和日常運營基本都依賴信息系統開展。而作為強監管行業，銀行正常展業需要具備一定的信息化治理能力與信息科技風險管理能力。同樣，作為信息化程度高，涉及業務與數據敏感，銀行業也面臨著嚴峻的內外部威脅。銀行業網絡安全工作起步較早，等級保護與監管部門的各類措施落實，已奠定了基于縱深防御體系的安全建設基礎。通過持續的安全運營，定期開展滲透測試與攻防對抗模擬演練，銀行業普遍已具備了較全面的技術、流程與在實際開展攻防演練或日常運營工作中，總是存在因各類問題引發的業務資產未覆蓋、設備常年失效而未知等較低級的安全防護失效點，導致整個防護體系的失守。公司已建立了完整的運維巡檢的工作流程，也通過運維平臺會實時監控設備運行狀態。但在對過往安全失效情況進行追蹤溯源后發現，大量因IT或業務變更、人員操作不當、防護架構或設備存在缺陷等原因無法用現有能力或技術手段解決。而此類問題被紕漏多次后，安全防護的真實能力被受。公司對已部署安全設備日常巡檢通常是關注性能與設備運行狀態，但仍會出現防護設備失效的情況。此外，眾多安全設備的策略配置與使用過程中，難以保持安全能力持續生效，缺少。依據“以攻促防”的工作理念，公司定期會開展內部與外部的紅藍對抗演練，對產品也會持續開展滲透測試。另外，也會每年開展內控自查、風險評估自查等動作對安全防護能力作驗證，但這些手段都耗費資源較大，且不太適用于持續性的日常。在開展安全運營持續優化的工作時難以形成度量評價，安全防護整個狀態與能力處于不可見的狀態，運營日常工作缺少指導。領導層也多次提到對于安全度量的訴求，在治理與決策中根據客戶的具體痛點與業務場景，分析當前的網絡布防情況與運營體系進行了確認調研，并基于離朱有效性驗證平臺的能力設計了完整的驗證方案。將基于實戰模擬的攻擊驗證用例結合各個不同的驗證場景，對驗證邏輯與架構進行部署搭建，通過全自動的閉環驗證任務邏輯下，形成各種維度的數據產出支撐各個應用場景的實），通過公網攻擊驗證節點每月對所有的互聯網暴露的業務資產執行少量的驗證用例，通過邊界阻斷以及告警的情況確認網站是否處于正常的安全保護下（IPS、WAF、NTA等對互聯網資產建立攻擊面管理能力，避免違規操作、運營不當、架構變更等導致的互將各類不同場景下的安全驗證用例的結果進行模型統計與度量，形成基于實際攻防能力的量化數據結果。度量結果對應到公司的運營與考核體系當中，在整個運營優化過程中形成圍繞指標的優化工作方法，并以指標結果開展對人員組織（包含外部供應商）的管理在持續的有效性驗證監控的工作中，隨著安全能力值的突然變化，發現了各類安全設備故障點。其中除了設備性能故障、業務突增等原因外，也發現了日志丟失、日志延遲等隱蔽性較強的問題。部分故障發現問題后立即完成了修復，另也啟動了對設備擴容的采從安全有效性驗證完成部署開展第一次驗證時，安全整體防護能力為78%的防護有效率，通過持續運營的策略調優，安全防護能力提升為92%，各個設備獨立的防護能力提升累積達到了176%。將各個防護策略與規則的效果直接量化展示后，直觀的對需要優化安全團隊自兩年前開始采用開源軟件Suricata進行流量異常監測設備的自研。自研設備投產后苦于無法對產品能力進行能力評估，無法看到產品實際效果。在安全驗證平臺上線后，運營團隊圍繞著安全驗證對自研流量探針的驗證結果進行產品與規則優化，產品檢測能力自最初的32%提升到了78%。驗證度量結果，形成了將安全防護能力的度量量化評價能力。指標數據應用于對防護短板的優化依據、運營策略調整參考以及運營決策治理工作中的抓手。對分子公司與機構的安全評估中，也成為了經過數十年的發展和演變，某能源企業已成為我國重要的骨干型大規模集團化公司。涉獵能源、投資、物流等多元化綜合性業務的經營。企業經營持續向好，伴隨著業務的快速發展和各分子公司的規模化擴張，網絡安全風險和問題已成為擺在管理者面前的重要課題。企業長期以來高度重視網絡安全的建設和應用，從早期的以到基于縱深防御體系各類安全產品和平臺的層層部署，再到安全運營和威脅情報聯動實現的基于平臺的各類安全編排自動化與響應，企業作為關鍵基礎設施的運營單位，面臨著非常大的網絡安全防護壓力，每年都需要承擔國家重大事項工作期間的網絡安全保障任務。其中，近些年定期開展的國家護網行動的工作期間，都會作為每年全公司網絡安全最重要的保障任務之一。企業也會每年開展企業每年為迎接重保及護網工作需要投入大量的人員與經歷對現有防護體系進行摸排。在以往的摸排工作中，主要是圍繞著資產側的脆弱項進行排查，對各個分子公司眾多防護設備策略及防御體系的有效性確認一直是個盲區。之后開展的模擬攻防中依舊會暴露出各種問題，出現多個分子公司被突破的情況。在對各種問題復盤的過程中，發現很多的問題不是出在資源本身的漏洞問題上，而是因很多運營過程中存在的人為失誤或配置不當導致的防護體系未能。在護網與重保工作前的安全問題排查整改中，通過安全驗證工具對現有所有安全設備防護能力進行全面的排查，對防護體系中所存在的安全失效風險進行識別，作為整體排查整改工作。建立覆蓋主要防護設備與業務網絡區域的安全能力持續驗證能力，避免在重保及護網期間安全防護能力突然出現失效的情。在重保與護網期間持續跟蹤最新熱點TTP情報，并基于自動化安全能力驗證能力快速開展安全攻擊行為的防護缺口排查。根據企業實際縱深防御架構的情況，在互聯網外側及內部網絡分別部署了安全驗證資源，發起對各類驗證場景的模擬攻擊。同時形成自動化閉環驗證能力，形成排查工作的結果依據，也作為后續持續監控的自動化手段。另外，根據內部網絡區域不同的安全策略的情況，分別部署了多個驗證靶機作為實時開展驗證工作的攻擊目標，以降低對生產業務的影響。驗證工作主要通過不同的場景覆蓋成，也有一部分是域名HTTPS證書未提前卸載導致全是加密。WAF策略開啟寬松，對一些常見的漏洞利用和繞過手法無法有效的檢測攔截，邊界防護中對漏洞利用攻擊的感知有較大。總部及分公司的部分流量安全檢測設備處理流量穩定性不足，。發現內部某網絡區域的交換機鏡像配置存在遺漏的情況，對。整體的防護措施上，對隱秘通信隧道、端口轉發類的情況預。發現郵件安全網關無法對投遞的rar壓縮包格式的遠控木馬根據重點保障期間的工作部署要求，企業部署落實了不同運營保障團隊的工作要求，包括期間對安全配置與規則變更提出了更嚴格的流程管控，以確保排查整改后的安全能力持續有效。而作為輔助性監控手段，增加了對安全防護情況實時巡檢監控的措施，未發現因特殊情況下安全設備突然失效的情況出現。巡檢監控整體策略。以單個安全驗證用例每天一次周期性驗證遍歷所有的驗證靶。基于驗證研判標準覆蓋WAF、IPS、IDS、NTA、HIDS、。在事件運營過程中，事先協商攻擊驗證節點IP地址以及告在開展內部攻防演練之前，僅使用一周的時間就完成了對安全防護措施的有效性驗證工作。通過安全驗證與內部資產脆弱項工作根據在事前部署的安全監控巡檢方案，持續對安全設備進行驗證確認，確保了所有安全設備與保護措施能夠持續有效。在攻防演練、護網以及重保期間，發生過多起安全設備告警鏈路異常情況，護網期間頻繁出現新的攻擊手法與情報，企業已形成了完整的基于情報進行封堵-驗證的策略變更流程，確保整個護網期間的封在集團范圍內形成對各管轄分子公司的全網聯防聯控統管，形成基于攻擊效果的度量評價驗證結果，實施掌握全網內的安全防御防御的邊界不斷擴大，每年的網絡防御成本也在上升。兩部委檢查考核、集團監管及創新要求、以及自身安全運營需求，讓省公司運營商企業開始考慮如何通過新技術方向能更好的在運營效率和效果為此，某企業提出了安全防御有效性驗證平臺新建項目的建設需求，在有效性、實時性、可用性等維度全面驗證和監測企業內各種安全部署，從實戰攻防對抗角度開展持續性模擬攻擊驗證，確保安全防護策略有效運行；以自動化攻擊驗證閉環為核心，保障縱深WAF已部署，但沒有將應用全部納入，部分網站的策略未開已配置了規則策略，但實際攻防中并沒有生效，導致防護效果面對已部署的各類安全產品、規則策略，出現最新漏洞利用和攻擊事件是否能監控到？安全防護能力現狀能不能量化