日前，以“打造網(wǎng)絡(luò)安全綜合防護(hù)體系 護(hù)航石油石化企業(yè)數(shù)字化轉(zhuǎn)型”為主題的首屆中國(guó)石油和化工企業(yè)網(wǎng)絡(luò)與信息安全技術(shù)峰會(huì)在京舉行。華云安CTO于灝受邀出席并發(fā)布題為“攻擊面管理 數(shù)字時(shí)代安全運(yùn)營(yíng)基石”的主題演講，就石油化工行業(yè)的數(shù)字化轉(zhuǎn)型分享基于攻擊面管理的趨勢(shì)洞察及實(shí)踐成果。

數(shù)字化轉(zhuǎn)型帶來(lái)多重安全挑戰(zhàn)

在演講中，于灝首先提到了石油石化行業(yè)數(shù)字化轉(zhuǎn)型取得的階段性成果，主要體現(xiàn)在ROADS客戶體驗(yàn)的提升，即實(shí)時(shí)(Real-time)、按需(On-demand)、全在線(All-online)、服務(wù)自助(DIY)以及社交化(Social)，數(shù)字時(shí)代的服務(wù)場(chǎng)景正突破傳統(tǒng)壁壘，為客戶帶來(lái)全方位的優(yōu)質(zhì)服務(wù)。

數(shù)字化轉(zhuǎn)型對(duì)于行業(yè)發(fā)展的助力毋庸置疑，但也對(duì)企業(yè)的數(shù)字化運(yùn)營(yíng)能力提出了更高要求，近年來(lái)國(guó)內(nèi)外發(fā)生的諸多熱點(diǎn)安全事件表明信息安全比以往更加關(guān)鍵，而數(shù)字化轉(zhuǎn)型在戰(zhàn)場(chǎng)、對(duì)手、攻擊、目標(biāo)等維度帶來(lái)的變化也使企業(yè)面臨的安全挑戰(zhàn)更多、更復(fù)雜。新的安全挑戰(zhàn)致使實(shí)戰(zhàn)化攻防場(chǎng)景中，傳統(tǒng)的安全運(yùn)營(yíng)優(yōu)勢(shì)蕩然無(wú)存。

華云安以攻擊者視角構(gòu)建閉環(huán)攻擊面管理體系

于灝指出，數(shù)字化時(shí)代的數(shù)據(jù)資產(chǎn)泛化、漏洞多樣化、攻擊者更快、安全盲區(qū)等因素使得傳統(tǒng)巨量的安全投入在新型攻防實(shí)戰(zhàn)面前不堪一擊，數(shù)字化時(shí)代的安全挑戰(zhàn)需要新一代數(shù)字安全防御體系來(lái)應(yīng)對(duì)。攻擊面管理要做的就是比攻擊者更快一步。

基于以上理念，華云安推出定位CAASM的靈洞·網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺(tái)(Ai.Vul)、定位EASM的靈知·互聯(lián)網(wǎng)威脅監(jiān)測(cè)預(yù)警中心(Ai.Radar)、定位BAS的靈刃·智能滲透與攻擊模擬系統(tǒng)(Ai.Bot),三款產(chǎn)品以攻擊者視角構(gòu)建涵蓋資產(chǎn)清點(diǎn)、自動(dòng)化測(cè)試、優(yōu)先級(jí)評(píng)估、情報(bào)預(yù)警、快速處置的閉環(huán)攻擊面管理體系：

1. 資產(chǎn)清點(diǎn)：全面的資產(chǎn)清點(diǎn)，識(shí)別最完整的資產(chǎn)暴露面;

2. 自動(dòng)化測(cè)試：多維度的自動(dòng)化測(cè)試，以攻擊者視角繪制完整的資產(chǎn)攻擊面;

3. 漏洞優(yōu)先級(jí)評(píng)估：基于風(fēng)險(xiǎn)的漏洞管理，將精力聚焦在有價(jià)值的漏洞修復(fù)上;

4. 情報(bào)預(yù)警：新一代擴(kuò)展威脅情報(bào)，先于攻擊者發(fā)現(xiàn)弱點(diǎn)和漏洞;

5. 快速處置：通過簡(jiǎn)化的工作流集成，縮短漏洞響應(yīng)時(shí)間。

由此，華云安重新定義了資產(chǎn)管理、漏洞管理、安全情報(bào)、響應(yīng)處置，實(shí)現(xiàn)全面的數(shù)字時(shí)代風(fēng)險(xiǎn)管理，筑牢數(shù)字時(shí)代安全運(yùn)營(yíng)技術(shù)基石。

華云安資產(chǎn)與漏洞一體化安全運(yùn)營(yíng)管理中心(SVM)

本次峰會(huì)設(shè)立了石油化工行業(yè)技術(shù)成果展廳，集中展示石油化工行業(yè)技術(shù)裝備創(chuàng)新成果。在展區(qū)，華云安針對(duì)能源行業(yè)安全需求構(gòu)建的資產(chǎn)與漏洞一體化安全運(yùn)營(yíng)管理中心(SVM)受到與會(huì)嘉賓的廣泛關(guān)注與認(rèn)可。

華云安資產(chǎn)與漏洞一體化安全運(yùn)營(yíng)管理中心(SVM)通過多種方式對(duì)漏洞進(jìn)行收錄和異構(gòu)數(shù)據(jù)融合，整合各類資源接報(bào)漏洞，覆蓋漏洞數(shù)據(jù)的收錄、清洗、融合、整理、校對(duì)、審核、發(fā)布等環(huán)節(jié)，支撐開展采集收錄、分析驗(yàn)證、預(yù)警通報(bào)和修復(fù)消控等工作。助力客戶打通監(jiān)管與行業(yè)關(guān)系、打通資產(chǎn)與漏洞關(guān)系、打通安全與運(yùn)營(yíng)關(guān)系，以應(yīng)對(duì)數(shù)字化時(shí)代的諸多新生安全挑戰(zhàn)。

作為國(guó)內(nèi)最早開始聚焦攻擊面管理探索與實(shí)踐的創(chuàng)新廠商，華云安基于云原生架構(gòu)的攻擊面管理整體解決方案在監(jiān)管、能源、金融、智能網(wǎng)聯(lián)車等領(lǐng)域得到廣泛應(yīng)用。未來(lái)，華云安將繼續(xù)發(fā)揮在網(wǎng)絡(luò)空間威脅治理、漏洞管理、攻防滲透等方面的技術(shù)優(yōu)勢(shì)，不斷完善適應(yīng)數(shù)字化時(shí)代的攻擊面管理體系，為能源行業(yè)客戶的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

關(guān)鍵詞：