为此，诸子云深圳分会在 11 月 5 日下午召开了一次题为“网络安全新势力”的活动，为广深一带的信息安全同仁，包括各大网安企业、网安爱好者，带来了富有竞争力和想象力的网络安全产品和解决方案。

活动由诸子云深圳分会主办，李维春担任主持。活动有幸邀请招商银行、平安集团、深圳农村商业银行、微众银行、中信银行信用卡中心、安信证券、华盛证券、金元证券、长城证券、中山证券、OPPO、VIVO、深圳广电、万科地产、蚂蚁银行、鹏芯微、中国电信国际、中电港、晨星资讯、安络科技、宝能集团、麦克韦尔等企业的安全专家参与。

灰度安全CEO曹静、比瓴科技 CEO付杰、薮猫科技联合创始人陈宇森 / 段定龙、魔方安全创始人黄国忠，四组专家分别进行分享。

基于以上三点，灰度认为以上挑战的本质是安全没有办法度量，或者说企业对自己的安全防御水平并不了解，也不清楚自己需要达到怎样的目标，其中的差距该怎么补齐。

灰度指出，企业90%的时间暴露在严重的防御缺失状态。拿漏洞运营举例，经过扫描暴露的漏洞需要经过验证才能交由业务部门修复，而现状是旧的漏洞还未修复完，又暴露了新漏洞，这就导致积累的漏洞越来越多，漏洞运营难度加大。

同时，安全防御体系健壮性的验证主要依赖人工，人工测试投入成本高，周期长，许多企业选择季度或半年为周期测试，这就导致了问题发现的不及时，问题修复也存在严重的滞后性，且人员能力参差不齐，很难拉齐测试标准基线。

灰度先知·智能风险评估系统主要解决两个层面的问题。技术层解决安全设备可靠性的验证问题，以及是否具备对新型攻击的防护能力。在运营层面，可以帮助企业完善安全运营体系，提升安全运营效率，并解决人员知识受限的问题。

系统具备可场景化弹性扩展的技术架构，评估场景包括安全设备风险评估、可利用漏洞验证评估、纵深防御风险评估、数据泄露风险评估、容器安全风险评估和人员安全意识评估，场景可根据需求弹性扩展。系统采用云原生架构，容器化部署，用到的技术有BAS、VPT、ATT&CK模型、SOAR和威胁情报。核心支撑能力是专家知识库，包括实验室自研的各类型攻击向量，漏洞POC、漏洞情报和安全工具等。

其系统工作机制强调自动化风险评估不等于自动化渗透测试，而是可以做到全面识别防护缺陷（防护范围、策略有效、内核健壮）；分段执行，不依赖前序风险状态，完整识别风险利用链路；网络旁路式攻击模拟验证，无损业务，全面覆盖生产网；综合威胁防护效果和资产风险，识别潜在安全风险。

在应用场景方面，有四个维度对应四种用户角色。在安全管理者视角，BAS为安全决策提供支撑，其中包含既往投资效益可视、安全目标与差距可视、风险对业务的影响可视；在运营人员视角，BAS为日常运营提供支撑，其中包含重保/HW评估工作常态化开展、可提高安全设备策略维护质量、安全运营规则验证与闭环支撑。

此外，BAS也可以为红蓝运营提供支撑，其中包含蓝方聚焦关键风险、红方成果的价值体现，并为企业沉淀安全知识；在监管视角，BAS为安全监管提供支撑，其中包含安全要求落实情况监督、安全风险治理水平考核、防御体系实战效果验证和安全风险备案信息核验。

SDL/DevSecOps项目在落地执行中，普遍面临四个难点：建设周期长，迟迟不见项目上线及实施效果；人力消耗大，项目内部推动困难；研发对于改变现有工作流程不习惯；项目成果难以量化、可视化。

这些难点对应着安全体系的缺失，比如安全工具与CI/CD集成度低，工具扫描维度零散，缺乏统一分析；再比如开发过程中，安全活动大量依靠人工线下驱动，安全活动与CI/CD、协作工具缺乏整合。等等。因此产生共同的思路，即思考该如何去构建一个可持续运营的软件安全开发体系，其包含统一安全平台，能同步人、项目和技术；具备ASOC编排，能做到调度、分析和响应；可统一数据中心，保持汇总、关联、度量。

比瓴CAS安全平台的最顶层是企业软件安全场景处置剧本，包含软件开发场景、监管合规场景、安全响应场景，同时用户可以自定义剧本；其下是安全数据中心和安全运营中心，安全数据中心包含安全开发驾驶舱、安全开发知识库、统一威胁管理和统一漏洞管理，安全运营中心包含安全开发运营剧本、安全开发质量门禁、安全开发资源管理和编排及关联分析。

再往下是CAS平台内置安全引擎，包含SCA开源扫描引擎、代码敏感信息扫描、API安全扫描和GIT配置扫描；最底层是DevSecOps基础设施，其内有代码仓库、制品库、项目管理、流水线和扫描工具，而其中的第三方工具可以对接SAST、IAC、IAST、SCA和容器扫描。

CAS平台第一个能力是：安全开发知识库，可轻量化威胁建模。CAS平台内置了知识库，可让用户通过“业务上下文分析”、“威胁建模”和“攻击面分析”等方法去识别软件在特定功能下可能会面临的威胁。同时它还具备了问答引擎，可帮助用户建设快速的轻量化威胁建模。

CAS第二个平台能力：自定义剧本，安全运营自动化。平台预置了大量与企业日常安全处置相关的安全剧本模版，剧本支持以Timer、MSG、构建的方式触发，基于场景差异化编排调用资源、资源动作及前后关系，并基于结果采取安全处置动作，包括：安全门禁、消息通知、策略修改等

用户可全新编辑安全剧本，或修改平台剧本模版，定义属于企业的安全场景自动化运营剧本。目前平台里内置的最佳实践剧本已经超过100个，涵盖了日常软件开发，供应链引入、问题响应、漏洞响应、日常回复性检查等各种场景。

CAS第三个平台能力：工具统一编排，可见即可用。平台原生支持主流CI/CD工具、代码仓库、制品库、X-AST安全扫描工具、IM\协作工具，工具能力被抽象为安全动作，同时能提供与特定场景相关最佳配置。除此之外，用户对工具无需调试、对接以及抽象，只要对资源做实例化就好，这样就可在安全剧本中直接使用。

CAS第四个平台能力：云原生应用四层安全扫描。其内包含IaC（基础设施即代码）、容器镜像、开源代码和代码。

整个平台中对客户而言使用频率最高的场景是“每周软件安全迭代开发”。平台里有大量的剧本可提供给客户，客户可以基于自身情况来调整这些剧本。

CAS另一个典型场景：软件供应链安全管理。无论是CAS的剧本、编排，还是CAS内置的扫描技术，都帮客户构建了两个维度的优势。其一是构建了全链条的扫描能力，其二是构建了全链条的控制能力。

“要防止敏感文件外泄！”这是很多老板对安全团队“下达”的目标之一，相信很多安全负责人都经历过或者正在经历。

那如何防止敏感文件外泄呢？这看似仅是老板的一个问题或需求，但对安全负责人来说，需要考虑的却是千千万万个问题。“如何将数据资产进行梳理？”既要符合行业监督规范，又要与现有的公司制度相结合；刚费劲完成了数据安全防护规划，数据分类分级的落实就受到了极大阻力。“如何选择解决方案？”市面上层出不穷的技术方案，加密、沙箱、DLP 、WAF、RASP、HIDS 等各有优劣，如何选择或组合才能实现价值最大化？“上线后如何实现高效运营？”成功采购部署后，稳定性如何？是否易用？规则配置是否智能高效？问题解决情况是否如预期？

随着 IT 架构及威胁持续更迭演进，传统以静态、单点为出发点的防护方式，无法从动态、全局的视角审视数据安全问题，与企业当下的需求出现了明显断层。基于此，薮猫科技团队为企业打造的——下一代数据安全解决方案应运而生。

薮猫科技的下一代数据安全解决方案包含了两大明星产品和专家服务。其中，飒露紫 ADR 作为 API 安全检测与响应产品，保障企业生产网安全；青骓 DDR 定位下一代终端数据防泄露 DLP，聚焦解决企业办公场景中存在的数据外泄风险和防护痛点。同时，结合红蓝对抗/渗透测试、数据治理/分类分级、代码审计、数据安全风险评估等专家服务，让企业数据更安全。

在“如何将数据资产进行梳理”的问题上，仅凭咨询服务与人工标注，传统 DLP 无法准确地盘点好企业各部门涉及的数据，数据分类分级的落地难上加难。而青骓 DDR 可以通过资产扫描实现数据资产发现和可视，继而通过无监督聚合，帮助企业更高效地做好数据资产的分类分级。

区别于传统 DLP，青骓 DDR 的核心亮点在于它不只是基于内容识别。在完成数据梳理的前提下，青骓 DDR 可以采集与敏感文件相关的所有信息，完整绘制出敏感文件流向图进行文件流量分析。例如何时何设备对某敏感文件进行了下载、压缩、加密、重命名等，又通过何种渠道传输到何设备。

在文件流向分析的基础上，青骓 DDR 还增加了对用户/设备的检测与分析，形成时序行为风险，可有效识别员工恶意外泄行为，例如员工离职前对敏感文件的频繁下载和外发，实现“数据+行为”双管齐下的安全防护。

同时，相较于传统 DLP 产品更多通过规则集合以及匹配引擎对特定文件进行静态扫描，青骓 DDR 特别之处在于“内容敏感级别继承”，可以实现对各种变种文件进行跟踪。例如泄密者从 L4 机密文档中复制了一段文字到其他文档，那其他文档会同时继承机密文档的敏感级别备受关注，可以真正实现精准识别和逃逸对抗。

除此之外，在 DLP 的基础功能方面，青骓 DDR 从对抗 、性能、可用性、覆盖面等多维度都进行了升级加强。例如在对抗方面增加了 Word 内嵌网盘、压缩包加密、浏览器封堵等防护手段；在可用性方面，为运营者增添了“故障模块一键关停”功能；在性能方面，有效提升了检测能力（大文件检测性能提高3倍），且能通过高可配的规则，实现用户零打扰。

青骓 DDR 是薮猫科技对企业办公场景下数据防护的创新成果，而飒露紫 ADR 则是针对企业生产网数据安全的一剂良药。是薮猫科技凭借多年云计算安全检测的经验，及端侧安全能力建设积累，充分发挥数据分析及智能检测技术所创新研发的下一代 API 安全产品。

作为企业级的 API 安全解决方案，飒露紫 ADR 基于高性能流量采集引擎和多维检测策略，对业务应用流量进行动态画像及全场景式流量清洗，充分发现 API 漏洞、敏感数据泄露、业务风险及行为异常等安全问题。

企业要想真正实现 API 的全流程立体式防护，少不了对 API 流量动态、全局的洞悉，而这就是飒露紫 ADR 较之传统防护最大的不同。

从流量镜像到应用 Trace，从网关到服务应用端点，以及内部端点之间，飒露紫 ADR 通过分布式链路追踪技术，全面打通南北、东西向流量流动的任督二脉，帮助企业绘制 API 数据传输的完整链路，为事件溯源、智能分析、风险预警与防护提供了充足的上下文，进一步提升了企业 API 安全防护水位。

同时，飒露紫 ADR 还为企业提供“旁路·网关·端点”等多位点灵活部署方案，最大限度地贴合企业当下的需求，为企业提供微服务 API 资产盘点、数据安全出境、开放银行 API 数据泄露检测等多场景下的 API 安全解决方案，切实保障企业每一次 API 调用，让数据在安全合规的流动中发挥更大的价值。

近年来，网络安全对甲方、乙方来说都发生了非常大的变化。2016年以来，护网行动的开启强调了企业需要通过实战化来检验安全防护的效果，各行各业安全建设和运维的指导思路都从纯合规导向走向了这种安全能力导向，强调的是实战化的效果。

除此形式外，国内也在经历数字化的转型。可以看到的是，在数字化转型不断加速的情况下，网络攻防的不对称也在随之加剧。比如暴露面在扩大，网路边界越发模糊，IP、域名、端口服务、云服务、证书与凭证、 IOT、代码等都需要管理到位；其次，网络攻击的手段层出不穷，软硬件漏洞、弱口令、配置缺陷、钓鱼等；同时，攻击者往往比防守者更快，因为这是明和暗、点和面的差别。

网络安全有大量的细分领域，而每个安全产品只能解决一部分的问题，都是碎片化、缺乏关联性的，因此对客户来说，就需要一个能集成各种系统的平台，即需要一种自动化、可视化、数字化、集成化的新一代安全解决方案，而EASM、CAASM就代表着这样的方向。

魔方安全结合国内客户的具体实践，总结出以下场景。场景A：影子资产、云资产、数字化资产难掌控。魔方安全EASM可根据客户输入的相关信息，通过自动化的影子资产测绘引擎去找到相关的影子资产；其云管平台只需一个只读账号就能同步企业云上资产的信息；同样针对敏感信息泄露，包括公众号、小程序等，客户只要输入关键字、证书，EASM就能通过数字资产爬虫引擎将这些资产找到。

得到的好处是，企业可以肃清影子资产，比如其中包含研发内部违规映射、开发商测试环境、僵尸资产忘记下线等；还可以进行CMDB台账比对，比如其中包含云资产是否纳管、业务登记覆盖率、责任人不清晰等；同时，魔方安全还会定期帮客户进行复盘，比如查看影子资产纳管情况、台账登记覆盖率、数字资产数量统计等。

场景B: 数据泄露风险不知情。同样把关键字输入到平台中，通过自动化的爬虫引擎去匹配，接着可以得到疑似的清单，待客户确认完毕后，可提供溯源服务，然后在客户授权的情况下可帮助下架。

场景C: 监管常态化、漏洞事件频发如何应对。EASM一旦拥有了企业资产的属性，比如详细的版本、组件、指纹，包括责任人和业务，就可以在获得漏洞预警信息的第一时间，马上匹配查看哪些系统被影响了，影响了哪些客户和业务，然后梳理出整个受影响的资产。魔方安全承诺会在24小时之内帮助客户进行处理，处理完之后还会做复核。

场景D: 分支机构、下属单位管理难。对于这种场景，只要在EASM平台上输入主公司的名称，它的子公司、关联公司都可以自动生成，当然也可以通过人工的方式补充一些单位信息，然后通过外部供应链管理平台进行爬取，资产梳理清楚后找相关的分支机构责任人进行认领，每位责任人都会赋予账号，这样他就可以直接登录管理分支机构的资产了。

魔方安全CAASM主要解决两类问题，其一是扩充对现在资产的定义，并提高可见范围，让CSO对风险有更好的认知；其二是提供风险评分，以务实的方法识别对组织影响最大的风险，即做到优先级排序。

CAASM的实践场景A：资产信息碎片化、缺乏业务视角。解决方案是通过API整合商用产品资产数据，将内网资产台账进行清洗，然后和CMDB进行互通，这样就能形成整个内外网资产安全的台账系统。此外还有两个场景：场景B—HW前资产梳理、日常漏洞的快速响应；场景C—安全管理覆盖面。

活动相关资料欢迎大家在知识星球下载~

现场花絮

诸子云 | 活动：10.15杭州网络安全专题研讨会

诸子云 | 活动：9.24深圳物联网安全研讨会

齐心抗疫 与你同在