READ Apache mina CVE-2024-52046 漏洞分析复现
https://xz.aliyun.com/t/16923?time__1311=Gui%3D0KYKY5DKGKDs674Cq7IbxYTqyml06WoD
主动安全风险评测
根据 Omdia 的调查报告,近些年来业界越来越倾向于采取更主动的安全风险评测措施,即在威胁来临之前通过技术手段发现并解决安全问题,这一理念早在 2001 年就被提出,称为「左移测试」。这一理念孵化出了多种安全运营产品——入侵与攻击模拟( BAS )、攻击面管理( ASM )、安全态势管理( SPM )等等。
Gartner 安全运营成熟度曲线指出,多种“主动安全风险评测产品”处于发展阶段,并且业界对于新兴的 BAS 技术方案高度关注。
《Picus Red Report 2024》强调,hunter-killer 恶意软件的流行度从 2022 年的 6% 激增为 2023 年的 26%,增幅为 333%,此类恶意软件旨在针对和破坏现有的安全设备,意味着传统的静态、被动的安全方案不足以对抗日益发展的攻击手段。
《Picus Blue Report 2023》报告中指出:
- 41% 的网络攻击绕过了传统的安全防护设备,比如 IPS、NGFW 或者 WAF;
- 44% 的传统安全防控设备无法有效抵御「多阶段」的复杂攻击策略。
相较于传统安全评估方法,BAS 这类主动风险评测方法的优势在于:
- 自动化
- 持续评估
- 评估安全控制
- 可操作的缓解措施
- 评估范围大,全面覆盖不同维度的安全策略有效性
- 快速响应
- 无风险评估(无害处理)
《中国网络安全产业分析报告》指出,以 BAS、ASM 等主动安全风险评测技术为主力安全产品的新兴安全公司发展势头迅猛,在“2024 年中国网安产业潜力之星”榜单前五中,有知其安科技、矢安科技两家 BAS 厂商上榜。可见业界对主动风险评测技术,尤其是 BAS、ASM 给予高度关注和期待。
