近日,全球權(quán)威的IT研究機(jī)構(gòu)Gartner發(fā)布《2022中國網(wǎng)絡(luò)安全技術(shù)成熟度曲線(Hype Cycle for Security in China, 2022)》報(bào)告,報(bào)告對(duì)中國安全市場(chǎng)技術(shù)成熟度、產(chǎn)品以及服務(wù)提供商進(jìn)行了綜合分析。作為中國智能網(wǎng)絡(luò)攻防科技安全服務(wù)提供商,墨云科技入選入侵和攻擊模擬(BAS)與軟件成分分析(SCA)雙技術(shù)領(lǐng)域代表廠商。
Gartner Hype Cycle 2022
(相關(guān)資料圖)
Gartner是全球權(quán)威的信息技術(shù)研究和顧問公司,為企業(yè)領(lǐng)導(dǎo)者提供必不可少的見解、建議和工具,其發(fā)布的技術(shù)成熟度曲線(The Hype Cycle)是企業(yè)用來評(píng)估新科技的可見度,決定是否采用新科技的一項(xiàng)重要參考。
此次發(fā)布的《Hype Cycle for Security in China, 2022》在分析中國安全市場(chǎng)趨勢(shì)的同時(shí),針對(duì)每項(xiàng)技術(shù)列舉該領(lǐng)域擁有成熟方案、能為客戶創(chuàng)造獨(dú)特價(jià)值的優(yōu)秀代表廠商,給企業(yè)領(lǐng)導(dǎo)者提供客觀、公正的論證報(bào)告及市場(chǎng)調(diào)研報(bào)告,在全球具有廣泛影響。
在Gartner發(fā)布的多項(xiàng)報(bào)告中,入侵與攻擊模擬(BAS)與軟件成分分析(SCA)被視為推動(dòng)網(wǎng)絡(luò)安全運(yùn)營技術(shù)創(chuàng)新的關(guān)鍵技術(shù),墨云科技憑借多年的技術(shù)沉淀與成熟的產(chǎn)品體系,被Gartner推薦為BAS與SCA雙領(lǐng)域標(biāo)桿企業(yè)。
入侵和攻擊模擬(BAS)
目前,網(wǎng)絡(luò)安全面臨著復(fù)雜性、艱巨性、多元化的挑戰(zhàn),多數(shù)企業(yè)基于安全合規(guī)要求和最佳實(shí)踐建設(shè)了縱深防御的網(wǎng)絡(luò)安全防御體系,但實(shí)際防護(hù)效果和響應(yīng)處置水平一直缺乏有效的測(cè)試和驗(yàn)證,因此,基于攻擊者視角構(gòu)建新一代數(shù)字化安全方案是必然趨勢(shì)。
在《Hype Cycle for Security in China, 2022》中,Gartner將入侵和攻擊模擬進(jìn)行定義:通過自動(dòng)化模擬外部和內(nèi)部、橫向移動(dòng)和數(shù)據(jù)泄露等威脅向量,使企業(yè)更好地了解其安全薄弱點(diǎn)。自動(dòng)化入侵和攻擊模擬工具經(jīng)過驗(yàn)證,是人工滲透測(cè)試演習(xí)的有效替代方案,通過持續(xù)對(duì)IT基礎(chǔ)設(shè)施實(shí)行滲透測(cè)試幫助企業(yè)改善安全狀況。
墨云科技旗下主流產(chǎn)品智能自動(dòng)化攻擊模擬平臺(tái),基于BAS技術(shù),為用戶提供自動(dòng)化的、持續(xù)的入侵和攻擊模擬技術(shù)支撐手段,通過對(duì)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的有效性進(jìn)行持續(xù)驗(yàn)證,對(duì)組織的網(wǎng)絡(luò)安全防御態(tài)勢(shì)進(jìn)行持續(xù)評(píng)估,持續(xù)改善網(wǎng)絡(luò)安全防御體系效能。
持續(xù)驗(yàn)證:自動(dòng)化運(yùn)行,持續(xù)地評(píng)估業(yè)務(wù)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施環(huán)境中安全防御能力的弱點(diǎn)和變化,持續(xù)改善安全防御態(tài)勢(shì)。
精準(zhǔn)識(shí)別:依托多年來攻防實(shí)戰(zhàn)積累的攻擊戰(zhàn)術(shù),精心設(shè)計(jì)攻擊劇本,模擬攻擊的測(cè)試驗(yàn)證過程,結(jié)果精準(zhǔn)。
全局透視:提供對(duì)縱深防御體系的全局評(píng)估能力,幫助安全運(yùn)營團(tuán)隊(duì)掌握網(wǎng)絡(luò)安全防御體系的短板和關(guān)鍵風(fēng)險(xiǎn)。
實(shí)效度量:綜合安全威脅實(shí)施的難易度、可能性、安全防御效果等因素,對(duì)組織當(dāng)前的安全防御水平進(jìn)行量化評(píng)估,為網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、優(yōu)化等決策提供量化依據(jù)。
軟件成分分析(SCA)
在數(shù)字化時(shí)代,系統(tǒng)研發(fā)的過程中開源組件引入的比例越來越高,根據(jù)Gartner調(diào)查顯示,99%的組織在其IT系統(tǒng)中使用了開源軟件。開源代碼的使用大幅度提高軟件研發(fā)效率、縮短上市時(shí)間、降低開發(fā)成本,但是開源軟件中存在的大量缺陷,甚至是安全漏洞也一并進(jìn)入了軟件部署包,給軟件帶來巨大的安全風(fēng)險(xiǎn)。因此,解決軟件成分中第三方組件的安全問題迫在眉睫,軟件成分分析(SCA)應(yīng)運(yùn)而生。
軟件成分分析可以檢測(cè)開源軟件與第三方組件中存在的已知漏洞,識(shí)別潛在供應(yīng)鏈安全風(fēng)險(xiǎn)。《Hype Cycle for Security in China, 2022》中認(rèn)為,SCA可以幫助應(yīng)用開發(fā)團(tuán)隊(duì)發(fā)布更安全的代碼,并為安全團(tuán)隊(duì)提供主動(dòng)的風(fēng)險(xiǎn)管理方法。企業(yè)可以選擇合適的SCA工具,在使用開源組件前對(duì)其進(jìn)行主動(dòng)評(píng)估,以避免在生產(chǎn)環(huán)境中引入風(fēng)險(xiǎn),進(jìn)一步確保軟件供應(yīng)鏈安全。
結(jié)合人工智能技術(shù)與威脅情報(bào)數(shù)據(jù),墨云科技自主研發(fā)Scabot智能軟件供應(yīng)鏈安全分析平臺(tái),依托基于AI的二進(jìn)制代碼相似性對(duì)比技術(shù),無需源代碼便能夠全面高效地檢測(cè)軟件組成,深層次剖析軟件依賴關(guān)系進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,并提供專業(yè)、有效的安全分析和修補(bǔ)建議,實(shí)現(xiàn)軟件供應(yīng)鏈問題的及時(shí)預(yù)警與修復(fù)。
軟件成分分析:提供軟件物料清單,支持400多種文件格式的深入分析,提供準(zhǔn)確的軟件組件版本,具備對(duì)開源組件進(jìn)行跟蹤管理的能力。
供應(yīng)鏈攻擊審查:通過及時(shí)對(duì)軟件、系統(tǒng)組件的詳細(xì)成分分析,可定制待審查供應(yīng)鏈模塊或文件,實(shí)現(xiàn)供應(yīng)鏈攻擊的預(yù)防及修復(fù)。
關(guān)聯(lián)漏洞分析:自動(dòng)化二進(jìn)制代碼分析,檢測(cè)三方引用及開源二進(jìn)制軟件漏洞,通過關(guān)聯(lián)性分析消除漏洞誤報(bào),根據(jù)依賴組件的組成信息,判斷漏洞對(duì)軟件的真實(shí)影響。
風(fēng)險(xiǎn)預(yù)警:利用威脅情報(bào)數(shù)據(jù),通過嚴(yán)重性、漏洞利用普遍性及惡意軟件應(yīng)用程度等維度確定軟件中已知漏洞的修復(fù)優(yōu)先級(jí),實(shí)現(xiàn)風(fēng)險(xiǎn)預(yù)警。
數(shù)據(jù)可視化:提供軟件成分分析圖譜,能夠支持多維度數(shù)據(jù)統(tǒng)計(jì),通過對(duì)比歷史各項(xiàng)數(shù)據(jù),可清晰獲得風(fēng)險(xiǎn)趨勢(shì)。
墨云科技
北京墨云科技有限公司作為國內(nèi)領(lǐng)先的智能網(wǎng)絡(luò)攻防科技安全服務(wù)提供商,一直秉持著讓網(wǎng)絡(luò)攻防更智能的使命,不斷創(chuàng)造突破性技術(shù),專注人工智能在攻防安全領(lǐng)域的應(yīng)用研究,打造智能化產(chǎn)品體系,為客戶提供全方位的信息安全服務(wù)。
墨云憑借強(qiáng)大技術(shù)實(shí)力斬獲國家高新技術(shù)企業(yè)、北京專精特新“小巨人”企業(yè),CNNVD技術(shù)支撐單位等多項(xiàng)榮譽(yù)。目前,墨云科技已在北京、南京、上海、廣州、深圳、成都、武漢、濟(jì)南、西安等多地設(shè)有研發(fā)中心及分支機(jī)構(gòu),服務(wù)行業(yè)客戶百余家。
參考文獻(xiàn):Gartner,Hype Cycle for Security in China, 2022, 10 October 2022.
注:Gartner未在其報(bào)告中支持任何廠商、產(chǎn)品或服務(wù),也并不建議技術(shù)用戶只選擇有最高評(píng)分或其它特征的廠商。Gartner研究出版物代表的是Gartner研究機(jī)構(gòu)的意見,不應(yīng)解釋為對(duì)事實(shí)的陳述。Gartner對(duì)與本研究有關(guān)的所有明示或暗示的保證概不負(fù)責(zé),包括對(duì)適銷性或特定用途的適用性的任何保證。Gartner是Gartner 有限公司和/或其附屬公司在美國及全球的注冊(cè)商標(biāo)和服務(wù)商標(biāo),經(jīng)許可在此使用,保留所有權(quán)利。
【廣告】
(免責(zé)聲明:此文內(nèi)容為廣告,相關(guān)素材由廣告主提供,廣告主對(duì)本廣告內(nèi)容的真實(shí)性負(fù)責(zé)。本網(wǎng)發(fā)布目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),請(qǐng)自行核實(shí)相關(guān)內(nèi)容。廣告內(nèi)容僅供讀者參考。)
關(guān)鍵詞: Gartner
