當前，網(wǎng)絡(luò)安全形勢更加嚴峻，而傳統(tǒng)安全建設(shè)思路以被動防御為主，基于已知的攻擊特征和規(guī)則匹配形成防護，缺乏對新型威脅的安全感知能力和應(yīng)對手段。在企業(yè)安全防護更強調(diào)攻防對抗和有效性的背景下，構(gòu)建主動安全防護能力體系，將是有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊手段，保障企業(yè)數(shù)字化轉(zhuǎn)型成功的必要路徑。

盡管企業(yè)用戶對主動安全防護需求旺盛，但是一些主動安全產(chǎn)品還不夠成熟，存在誤報率高、實施難度大、可管理性差等問題，導(dǎo)致實際應(yīng)用表現(xiàn)差強人意。在2023年，我們可以重點關(guān)注并積極嘗試以下6種較為成熟的主動安全防護技術(shù)/產(chǎn)品，推進組織新一代安全能力體系構(gòu)建：

1、安全態(tài)勢管理(SPM)

被動式的響應(yīng)安全事件，往往會耗費安全人員大量精力，同時又難以避免對企業(yè)財產(chǎn)和業(yè)務(wù)造成損失。而安全態(tài)勢管理方案則可以自動識別和修復(fù)整個企業(yè)數(shù)字化環(huán)境中的風險，幫助企業(yè)安全管理者進行風險可視化、自動化事件響應(yīng)和合規(guī)性監(jiān)控。

目前SPM技術(shù)包含有多種類型，包括了專注于云基礎(chǔ)設(shè)施(包括IaaS、SaaS和PaaS)的云安全態(tài)勢管理，以及識別敏感數(shù)據(jù)并確保其安全的數(shù)據(jù)安全態(tài)勢管理。

不過在2023年，對企業(yè)組織而言最重要的SPM技術(shù)可能是SaaS安全態(tài)勢管理(SSPM)，主要用于檢測和修復(fù)SaaS應(yīng)用程序中的錯誤配置和其他問題。SSPM是云訪問安全代理(CASB)技術(shù)發(fā)展以來SaaS安全領(lǐng)域最重要的創(chuàng)新之一，雖然CASB仍然屬于一種被動安全防護模式，但SSPM尋求實施最嚴格的安全策略，同時仍然使應(yīng)用程序?qū)M織保持可行。

此外，云安全態(tài)勢管理(CSPM)也是SPM一個重要的細分應(yīng)用，旨在識別云中的錯誤配置問題和合規(guī)風險。CSPM解決方案的一個重要目標是持續(xù)監(jiān)控云基礎(chǔ)設(shè)施，以發(fā)現(xiàn)安全策略執(zhí)行方面的漏洞。

2、攻擊面管理(ASM)

ASM技術(shù)要求持續(xù)發(fā)現(xiàn)和監(jiān)控企業(yè)所有的數(shù)字化資產(chǎn)，從應(yīng)用程序、數(shù)字證書、代碼到移動和物聯(lián)網(wǎng)設(shè)備，以保持已知和未知資產(chǎn)的可見性。據(jù)最新調(diào)查數(shù)據(jù)顯示，目前，有52%的受訪企業(yè)組織管理著超過10,000個數(shù)字資產(chǎn)，因此ASM將是一項重要且不斷增長的技術(shù)。

安全專家認為，ASM是安全分析技術(shù)的進步，是傳統(tǒng)威脅檢測與響應(yīng)類技術(shù)方案的能力延伸。ASM利用了威脅檢測響應(yīng)中惡意活動意識增強的趨勢，并將其進一步擴展。它回答了很多問題，比如企業(yè)哪里可能成為目標，哪里缺乏可見性，組織的攻擊面整體是什么樣的?在哪些方面缺乏足夠的監(jiān)控措施?或者說，企業(yè)是否真正具備了應(yīng)有的防御機制和能力?

根據(jù)Gartner的描述，ASM技術(shù)需要超越傳統(tǒng)資產(chǎn)的識別范圍(如端點、服務(wù)器、設(shè)備或應(yīng)用程序等)，通過將發(fā)現(xiàn)的資源整合到資源庫，使用戶可以了解到傳統(tǒng)威脅檢測工具的覆蓋缺口。ASM還可以通過API集成提供自動化的數(shù)據(jù)收集，取代傳統(tǒng)手動和低效的資產(chǎn)收集分析模式，幫助安全團隊實現(xiàn)對整體環(huán)境的安全控制、安全態(tài)勢感知和資產(chǎn)風險修復(fù)，從而主動改善企業(yè)的數(shù)字化安全狀況。

3、入侵和攻擊模擬(BAS)

入侵和攻擊模擬(BAS)也是由Gartner首先提出的概念，并將之歸到了新興技術(shù)行列。正如 Gartner 描述的，此類工具“可供安全團隊以一致的方式持續(xù)測試安全控制措施，貫穿從預(yù)防到檢測乃至響應(yīng)的整個過程”。BAS與傳統(tǒng)的滲透測試和漏洞管理工具有根本上的不同。后兩種方法都需要大量的人工指導(dǎo)，實際上會為安全團隊制造更多的工作和帶來更多誤報。相比之下，BAS完全自動化，并在全面的劇本中模擬數(shù)千種攻擊。

BAS工具能夠高效一致地衡量現(xiàn)有安全檢測功能及運營的有效性。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞，還有助于補全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識空缺，比如：攻擊者能悄悄繞過我們的防御嗎?我們適用的風險是什么?這些風險對我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長期安全規(guī)劃的位置上，還能從商業(yè)角度總結(jié)出安全運營上的改善。

4、網(wǎng)絡(luò)安全性能管理(CPM)

網(wǎng)絡(luò)安全性能管理(Cybersecurity performance management)主要是監(jiān)控了解企業(yè)現(xiàn)有安全防護體系的性能表現(xiàn)和產(chǎn)品工作狀態(tài)，并以此評估企業(yè)應(yīng)對網(wǎng)絡(luò)安全風險的整體能力和健康指標。通過CPM，企業(yè)可以對部署的各種重要網(wǎng)絡(luò)設(shè)備和安全防護產(chǎn)品進行監(jiān)測，并對監(jiān)測過程中采集的數(shù)據(jù)進行分析，從而實施評估數(shù)字化系統(tǒng)的運行狀況和穩(wěn)定性。CPM的典型功能包括：

性能監(jiān)控：由企業(yè)定義需要監(jiān)控的對象及其屬性，定時采集相關(guān)對象的檢測數(shù)據(jù)，自動生成性能報告;

閾值控制：針對不同的時間段和性能指標，為監(jiān)控對象的運行屬性設(shè)置閾值，并提供相應(yīng)的閾值管理和警報機制;

性能分析：對監(jiān)測數(shù)據(jù)進行統(tǒng)計、整理和分析，結(jié)合性能指標判斷網(wǎng)絡(luò)安全態(tài)勢，為安全管理者提供參考;

可視化報告：對性能分析結(jié)果進行記錄和處理，生成性能趨勢曲線，以圖形方式直觀反映安全防護體系性能狀態(tài);

性能查詢：可通過列表或關(guān)鍵字等方式檢索安全防護系統(tǒng)的實時或歷史性能狀態(tài)。

5、云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)

云計算應(yīng)用已成為企業(yè)數(shù)字化發(fā)展的重要趨勢，保障云應(yīng)用安全將是企業(yè)安全團隊的重要工作任務(wù)。云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)是一種采取了主動性安全防護模式的云安全創(chuàng)新技術(shù)，它補充了而不是替代了現(xiàn)有威脅檢測與響應(yīng)技術(shù)的被動安全防護模式。CIEM技術(shù)可以發(fā)現(xiàn)企業(yè)業(yè)務(wù)上云后的訪問權(quán)限范圍，并執(zhí)行最小權(quán)限原則，即授予用戶執(zhí)行工作所需的最小權(quán)限。例如，CIEM可以檢測對云資源的過度訪問。一旦確定，CIEM工具可以提出合理的安全建議，甚至自動執(zhí)行所需的更改。

6、安全即服務(wù)(SECaaS)

隨著網(wǎng)絡(luò)安全運營工作變得越來越復(fù)雜，而安全人才仍然稀缺，預(yù)計會有更多的組織轉(zhuǎn)向選購安全即服務(wù)。通過SECaaS模式，企業(yè)可以將網(wǎng)絡(luò)安全管理任務(wù)移交給有經(jīng)驗的專業(yè)第三方安全公司，如托管安全服務(wù)提供商(MSSP)。目前，主流的SECaaS服務(wù)范圍包括了從維護廣泛的安全功能到監(jiān)督特定的系統(tǒng)，如安全信息和事件管理、CASB和安全訪問服務(wù)邊緣。

對于企業(yè)而言，想要依靠自身的安全團隊充分運營好所有的安全產(chǎn)品和工具會面臨很多挑戰(zhàn)，但尋找到適合的MSSP或SECaaS提供商卻相對容易，他們可以幫助企業(yè)識別各種類型的安全漏洞，并以合理的成本解決企業(yè)面臨的安全問題。