企業(yè)機構要求安全領導者必須不斷優(yōu)化安全控制，滿足合規(guī)標準以及監(jiān)管要求。其中，對抗性暴露面驗證是一種主動安全評估方法，驗證是持續(xù)威脅暴露面管理（CTEM）等更廣泛的暴露面管理流程和計劃中的一個重要步驟。

圖1簡要介紹了持續(xù)威脅暴露面管理，驗證是這一流程中的第四步。

隨著對抗性暴露面驗證市場的發(fā)展，一些供應商可能會專注于涵蓋所有用例，另一些可能選擇支持其傳統(tǒng)市場中的用例。目前，中國市場上尚未出現(xiàn)具備所有能力的綜合性對抗性暴露面驗證工具。

通過高度自動化和一致的攻擊模擬，對抗性暴露面驗證允許用戶驗證、評估和持續(xù)優(yōu)化安全措施的有效性，包括切實增強預防、檢測和響應能力。對抗性暴露面驗證通過提供攻擊場景、安全技術棧、人員和流程方面的反饋，提升防御安全團隊的工作效率（見圖2）。

對于中國的CIO（首席信息官）和安全領導者來說，對抗性暴露面驗證提供了對漏洞和安全控制的主動驗證，有利于保持策略的一致性，從而有效預防和應對威脅。未來，該技術將在中國的紅隊測試、安全決策、合規(guī)監(jiān)管等方面發(fā)揮重要作用，甚至可能降低網(wǎng)絡安全保險的保費。

中國的企業(yè)機構多年來一直在進行滲透測試和紅隊測試。雖然滲透測試和紅隊測試通過專家的人為干預為企業(yè)機構提供了量身定制的深入安全態(tài)勢洞察，但對抗性暴露面驗證提供了一種更持續(xù)的自動驗證方法，具有更高的可擴展性、更頻繁的評估頻次，且需要的人工參與程度更低。企業(yè)機構在手動執(zhí)行安全驗證時遇到的挑戰(zhàn)包括：

●   依賴個人判斷和經(jīng)驗，可能導致結果不完整。

●   測試人員需要具備較高的能力，而無論企業(yè)機構通過內(nèi)部構建還是第三方采購來獲取這些能力，都會導致高昂的成本。

●   定期驗證的較低驗證頻率無法應對新出現(xiàn)的安全威脅，可能導致發(fā)現(xiàn)和應對安全暴露的延遲。

在中國市場，許多企業(yè)機構仍然使用人工主導的安全驗證服務，通過增加驗證頻率或細化驗證范圍來提升驗證的有效性。此外，對自動化和一致的安全驗證需求日益增長，促進了對抗性暴露面驗證技術的發(fā)展。

中國市場在快速推進數(shù)字化轉型的同時，也伴隨著獨特的監(jiān)管和網(wǎng)絡安全挑戰(zhàn)。對抗性暴露面驗證代表著中國網(wǎng)絡安全測試和驗證方法的重大進步?；?a class="contentlabel" href="http://cqxgywz.com/news/listbylabel/label/Gartner">Gartner與中國客戶的互動，對抗性暴露面驗證技術的主要使用者為安全成熟度較高的企業(yè)機構，尤其是在金融、電信、互聯(lián)網(wǎng)、智能制造和能源等領域。對抗性暴露面驗證可以幫助中國CIO量化安全投資成果，減少風險暴露面，改善防御態(tài)勢。