塞讯 安全度量验证平台 SECVISION CONTINUOUS SECURITY EFFECTIVENESS VALIDATION 塞讯信息技术（上海）有限公司 2022-07 CONTENTS 公司与团队 安全验证必要性 产品与服务 01 /公司与团队 公司与团队 01 公司简介 国内首家 网络安全验证平台 安全有效 持续性验证 塞讯信息技术(上海)有限公司成立于2021年11月1日，率先提出利用 真实自动化APT攻击场景来持 续验证安全防御有效性概念，旨在用安全验证技术来帮助客户实现365天持续评估自身网络和数据安 全防御体系效果。 01 /公司与团队 安全验证 必要性 02 安全防御能力如何量化？ 看似简单的问题，却很难回答 我们现在的安全防御能力怎么样？怎么证明？ 同行业公司发生的攻击事件，我们能够抵御么？ 每年制定的预算如何花在真正需要补足的地方，依据是什么？ 02 /安全验证必要性 防御效果—基于假设 假设: 产品功能跟厂商声称的完全一致 假设: 安全产品按照厂商指导已正确部 署和配置 假设: 安全运维人员正确地发现并处理安全 事件，并且流程是有效的 假设: 对IT环境的变更有正确且 及时的理解、传达和实施 但实际上基于如上假设无法确定安全防御体系的真实效果！！！ 最终的金钱投资和人员投入未必来带期望的效果！！！ 02 /安全验证必要性 现有的相关手段 存在 未覆盖但又非常重要的部分 • 针对目标系统，未面向整体防御体 • 紫队设计，人员因素 系 影响剧本质量与数量 • 点到为止，未覆盖完整的攻击阶段， • 剧本固定、数量有限 无最终有破坏性动作的执行 • 人员因素影响结果与质量，自动化 • 训练红、蓝团队，未 渗透测试工具也无法消除 • 完全1:1复现生产环境有 难度 • 针对目标系统，场景有 限、且未覆盖完整的攻 击阶段 面向整体防御体系 渗透测试 攻防演练 靶场 HVV/年度风险 评估/例行检查 • HVV前与期间的成果受人员因 素影响 • 时间间隔长，但安全态势与IT 环境早已发生变化 • 结果只体现一时情况，不代表 持续防御能力 02 /安全验证必要性 ✕ ✕ ✕ ✕ ✕ 企业安全 建设的现状 功能落差大 低回报率 产品冗余 实战能力存疑 自我认知偏差 默认功能 Vs 期望效果 每花费10元 收益仅2元 不是每个产品 都能真正发挥 价值 安全事件响应 团队实战能力 缺乏检验 实际防御能力 与对自身的理 解不一致 02 /安全验证必要性 安全有效性的 改进方法 环境变化检查 控制手段的 有效性/ 配置的保 证 优化 合理化 建立安全基线 持续评估 我们的控制手段是否工作得 和我们预期的一致？ 对于我们已经花费的安全投资， 如何让他们工作得更加有效？ 我们是否有重复投资，安全 防护中的真正短板在哪里？ 他们预期的是否 都正确配置了？ 我们已经有的安全工具是否 都发挥出全部价值了？ 是否可以移除不必要的 安全工具以简化环境？ 02 /安全验证必要性 持续安全验证符合网络安全法和数据安全法等相关合规与监管要求 《网络安全法》 第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全 保护义务：（四）制定网络安全事件应急预案，并定期进行演练； 第五十三条 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络 安全事件应急预案，并定期组织演练。 《数据安全法》 第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及 具备 保障持续安全状态 的能力。 第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理 制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。 定期演练必需要执行。 攻防双方人员的数量和水平无法满足各行 业的需求； 定期间隔时间比较长，无法 持续 进行。 要求具备保障持续安全状态的能力。 如何验证当前的保护手段是有效，且 持续 有效是最大的挑战！ 02 /安全验证必要性 产品与服务 03 我们的产品 塞讯安全度量验证平台 塞讯安全度量验证平台是一个安全监测平台，可以持续地测试、度量和提升安全防御效率。同时为 IT环境提供了度量验证工具，可参照真实攻击进行可重复的持续性端到端的测试，从而验证已部署 的各类安全措施正在按照预期效果工作，并可主动发现环境中的变更的影响进行告警。 全自动化验证 真实攻击事件 全自动化运行，可自定义范围、 场景、剧本、循环周期等 上千种真实攻击场景，通过 真实攻击场景中提取的信息 还原真实事件进行模拟 无害化模拟攻击 可视量化防御体系 利用各角色和特殊保护机制， 保证所有样本文件危害性控制 在沙盘内部 可定制各种角色观看界面， 满足各级人员关心的 验证内容 03 /产品与服务 覆盖各个安全维度 网络安全 端点/主机安全 邮件安全 AD安全 有效性验证 有效性验证 有效性验证 有效性验证 云安全 数据安全 物联网安全 API安全 有效性验证 有效性验证 有效性验证 有效性验证 应用安全 Road Map更多安全领域 有效性验证 有效性验证 03 /产品与服务 全方位有效性安全验证 整体安全防御体系 事件响应流程 SOC-关联分析 威胁狩猎-捕获能力 安全产品检测防御 有效性验证 有效性验证 有效性验证 有效性验证 有效性验证 03 /产品与服务 塞讯安全度量验证平台架构 Ai攻防机器人 塞讯云 A/DBot(S) 事件管理 Event 事件管理 模块分析 日志并与 验证任务 进行匹配 判断结果。 A/DBot(S) A/DBot(S) A/DBot(S) A/DBot(S) A/DBot(S) 按照安全验证大脑下发的剧本对攻击进行模拟，可以模拟攻击者或受害者。 注册管理 安全验证大脑 攻击库 第三方 威胁情报 A/DBot(S) 日志 API 安全产品 Syslog SIEM Http/Kafuka SOC Event 威胁情报 状态管理 Orchestrator 任务管理 Ai分析 资源监控 负责协调各 A i 攻防机器人按 照预定的剧本模拟攻击行为 健康检查 许可管理 系统升级 报表 塞讯安全度量验证平台 数据保护 与安全 产品或 其他平 台对接 DNS AD域 NTP 邮件 基础架构 03 /产品与服务 覆盖完整攻杀链的不同攻击阶段的不同攻击手法 HIDS/HIPS 安全验证 大脑 服务器区 受保护的 沙盘 业务互联区 Ai攻防 机器人 SIEM/SOC/态感 Ai攻防 机器人 互联网区 FW/IPS/NTA 办公区 防病毒 邮件安全网关 DLP WAF NGFW/IDS/IPS NTA/NDR 塞讯验证 云Ai攻防 机器人 Ai攻防 机器人 FW/IPS/NTA 塞讯验证 邮件云 生产区 EDR 分支机构 Ai攻防 机器人 Ai攻防 机器人 Ai攻防 机器人 DMZ区 03 /产品与服务 侦察 武器化 投放 利用 安装 回连（C&C） 目标执行 攻击库--模拟数千种有价值的攻击行为 最经典、最新的攻击行为 囊括网络、端点、邮件等多个攻击维度 横跨攻击链的不同阶段 对应认证、C&C、数据提取、DoS、恶意文 件传输、MITM、远程访问、策略逃逸、侦 测、Web漏洞利用等多种行为类型。 用户可以自定义新的攻击行为 03 /产品与服务 攻击库—详细描述每个攻击实验 每个攻击动作中都会有非常详细的描述，以 WannaCry勒索软件某个变种 的下载动作为例 03 /产品与服务 攻击库—预定义多种验证场景(行业) 一键验证 银行业场景 能源业场景 医疗业场景 03 /产品与服务