作者：Gartner高級研究總監 趙宇

　　企業機構要求安全領導者必須不斷優化安全控制，滿足合規標準以及監管要求。其中，對抗性暴露面驗證是一種主動安全評估方法，驗證是持續威脅暴露面管理(CTEM)等更廣泛的暴露面管理流程和計劃中的一個重要步驟。

　　圖1簡要介紹了持續威脅暴露面管理，驗證是這一流程中的第四步。

　　隨著對抗性暴露面驗證市場的發展，一些供應商可能會專注于涵蓋所有用例，另一些可能選擇支持其傳統市場中的用例。目前，中國市場上尚未出現具備所有能力的綜合性對抗性暴露面驗證工具。

　　通過高度自動化和一致的攻擊模擬，對抗性暴露面驗證允許用戶驗證、評估和持續優化安全措施的有效性，包括切實增強預防、檢測和響應能力。對抗性暴露面驗證通過提供攻擊場景、安全技術棧、人員和流程方面的反饋，提升防御安全團隊的工作效率(見圖2)。

　　對于中國的CIO(首席信息官)和安全領導者來說，對抗性暴露面驗證提供了對漏洞和安全控制的主動驗證，有利于保持策略的一致性，從而有效預防和應對威脅。未來，該技術將在中國的紅隊測試、安全決策、合規監管等方面發揮重要作用，甚至可能降低網絡安全保險的保費。

　　中國的企業機構多年來一直在進行滲透測試和紅隊測試。雖然滲透測試和紅隊測試通過專家的人為干預為企業機構提供了量身定制的深入安全態勢洞察，但對抗性暴露面驗證提供了一種更持續的自動驗證方法，具有更高的可擴展性、更頻繁的評估頻次，且需要的人工參與程度更低。企業機構在手動執行安全驗證時遇到的挑戰包括：

　　•    依賴個人判斷和經驗，可能導致結果不完整。

　　•    測試人員需要具備較高的能力，而無論企業機構通過內部構建還是第三方采購來獲取這些能力，都會導致高昂的成本。

　　•    定期驗證的較低驗證頻率無法應對新出現的安全威脅，可能導致發現和應對安全暴露的延遲。

　　在中國市場，許多企業機構仍然使用人工主導的安全驗證服務，通過增加驗證頻率或細化驗證范圍來提升驗證的有效性。此外，對自動化和一致的安全驗證需求日益增長，促進了對抗性暴露面驗證技術的發展。

　　中國市場在快速推進數字化轉型的同時，也伴隨著獨特的監管和網絡安全挑戰。對抗性暴露面驗證代表著中國網絡安全測試和驗證方法的重大進步。基于Gartner與中國客戶的互動，對抗性暴露面驗證技術的主要使用者為安全成熟度較高的企業機構，尤其是在金融、電信、互聯網、智能制造和能源等領域。對抗性暴露面驗證可以幫助中國CIO量化安全投資成果，減少風險暴露面，改善防御態勢。