隨著信息技術(shù)邁入“云大物移智”時(shí)代,網(wǎng)絡(luò)安全形勢(shì)也發(fā)生了深刻的變化。但在實(shí)際工作中,很多企業(yè)安全建設(shè)的重點(diǎn)仍舊是由合規(guī)驅(qū)動(dòng)的安全產(chǎn)品采購(gòu),在體系化和持續(xù)性方面存在較大不足,同時(shí)對(duì)實(shí)際具備的安全能力缺乏評(píng)估手段。在此背景下構(gòu)建的安全防護(hù)體系建設(shè),在面對(duì)當(dāng)前新型網(wǎng)絡(luò)安全攻擊時(shí),往往會(huì)表現(xiàn)的不堪一擊。
在2015年,美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS)提出了一種科學(xué)規(guī)劃網(wǎng)絡(luò)安全建設(shè)投入的滑動(dòng)標(biāo)尺模型,將網(wǎng)絡(luò)安全體系建設(shè)過(guò)程階段化,按照每個(gè)階段的建設(shè)水平來(lái)對(duì)安全防護(hù)能力進(jìn)行評(píng)估,從而指導(dǎo)企業(yè)未來(lái)安全防護(hù)能力的建設(shè)。該模型的防護(hù)思路,目前在國(guó)內(nèi)一些領(lǐng)先機(jī)構(gòu)的網(wǎng)絡(luò)安全規(guī)劃與建設(shè)中已開(kāi)始借鑒與使用,但總的來(lái)說(shuō),國(guó)內(nèi)的應(yīng)用深度與廣度仍有不足。但其疊加演進(jìn)的安全建設(shè)思想,與新一代網(wǎng)絡(luò)安全體系建設(shè)理念高度符合,對(duì)現(xiàn)代企業(yè)如何科學(xué)做好安全預(yù)算、優(yōu)化資源配置、改進(jìn)建設(shè)效果等有著較強(qiáng)的指引價(jià)值。
一、滑動(dòng)標(biāo)尺模型的價(jià)值
研究人員發(fā)現(xiàn),企業(yè)現(xiàn)階段網(wǎng)絡(luò)安全工作建設(shè)中的不足主要包括以下幾點(diǎn):
忽視科學(xué)的體系化安全架構(gòu)。目前,很多企業(yè)仍把單點(diǎn)化的安全設(shè)備采購(gòu)作為安全防護(hù)建設(shè)的重點(diǎn),對(duì)信息系統(tǒng)自身的架構(gòu)安全缺乏重視,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備三大件仍是采購(gòu)主要對(duì)象。
安全運(yùn)營(yíng)能力不足。網(wǎng)絡(luò)安全工作對(duì)專(zhuān)業(yè)化人才及能力要求很高,目前很多企業(yè)缺少人才積累,導(dǎo)致了很多安全設(shè)備無(wú)法真正的發(fā)揮出應(yīng)有的價(jià)值,在遇到突發(fā)性安全事件時(shí)無(wú)法進(jìn)行快速定位及應(yīng)急響應(yīng)。
缺乏安全能力評(píng)估措施。安全是一個(gè)動(dòng)態(tài)、對(duì)抗的過(guò)程,不能僅以滿(mǎn)足合規(guī)要求來(lái)推動(dòng)安全建設(shè)。企業(yè)需要對(duì)真實(shí)具備的安全能力或安全建設(shè)成熟度進(jìn)行客觀評(píng)價(jià),及時(shí)發(fā)現(xiàn)安全能力的不足或隱患。
針對(duì)以上不足,迫切需要引入新思路、新技術(shù)和新方案來(lái)對(duì)現(xiàn)有安全防護(hù)體系進(jìn)行優(yōu)化和改造。而應(yīng)用網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型可以為組織平衡網(wǎng)絡(luò)安全資源和技能投入提供參考框架。滑動(dòng)標(biāo)尺模型不僅可以展示各防御階段的重點(diǎn),同時(shí)也提出了企業(yè)進(jìn)行信息安全建設(shè)時(shí)的部署步驟建議。通過(guò)參考借鑒滑動(dòng)標(biāo)尺模型,企業(yè)在進(jìn)行安全規(guī)劃和建設(shè)時(shí),可以基于自身的資源和現(xiàn)狀對(duì)目前工作進(jìn)行優(yōu)化和改進(jìn)。
圖表 1 滑動(dòng)標(biāo)尺模型
滑動(dòng)標(biāo)尺模型可應(yīng)用在多個(gè)方面,包括:
- 向非技術(shù)人員解釋安全技術(shù)問(wèn)題;
- 明確資源投入優(yōu)先級(jí)、追蹤資源和技能投入情況;
- 評(píng)估企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全防護(hù)能力實(shí)際水平;
- 確認(rèn)網(wǎng)絡(luò)安全事件的溯源分析是否準(zhǔn)確。
滑動(dòng)標(biāo)尺模型的核心在于“動(dòng)”字,各防御分類(lèi)不是孤立靜態(tài)的。首先,同一項(xiàng)技術(shù)的應(yīng)用場(chǎng)景不同,可能所屬的分類(lèi)就不同;其次,企業(yè)的資源投入不能停留在一個(gè)分類(lèi),而是著重放在一個(gè)分類(lèi),并不斷地根據(jù)自身情況在多個(gè)分類(lèi)同時(shí)部署或升級(jí);最后,安全建設(shè)不是孤立的,只有做好左側(cè)的防御分類(lèi),才能讓右側(cè)的防御以及合法進(jìn)攻反制分類(lèi)發(fā)揮最大價(jià)值。
需要指出的是,滑動(dòng)標(biāo)尺模型是一個(gè)宏觀模型,在進(jìn)行具體建設(shè)布局和產(chǎn)品采購(gòu)時(shí),還需要結(jié)合PPDR模型、殺傷鏈模型等,進(jìn)一步制定安全建設(shè)工作的落實(shí)細(xì)則。
二、滑動(dòng)標(biāo)尺模型的分類(lèi)
通過(guò)網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型,企業(yè)可以了解自身所處的階段,以及未來(lái)建設(shè)時(shí)應(yīng)該采取的措施和投入,一共可以分為五大類(lèi):框架安全、被動(dòng)防御、積極防御、威脅情報(bào)及進(jìn)攻反制。每個(gè)分類(lèi)的投入回報(bào)比不同,能夠抵御的威脅攻擊類(lèi)型也不同,組織可以根據(jù)自身的情況將安全投入放到不同分類(lèi)中。
架構(gòu)安全
定義:在系統(tǒng)進(jìn)行規(guī)劃、工程管理和設(shè)計(jì)時(shí),引入架構(gòu)安全措施。企業(yè)需要將網(wǎng)絡(luò)安全思想融入到網(wǎng)絡(luò)建設(shè)之初,將業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)建設(shè)、安全規(guī)劃融合到一體,采用增加安全性的措施,減少攻擊面,并提升響應(yīng)速度。
特點(diǎn):網(wǎng)絡(luò)安全建設(shè)的基石。
主要模型:NIST800系列模型、普度模型(PERA)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。
主要技術(shù):網(wǎng)段劃分、補(bǔ)丁管理、供應(yīng)鏈管理、員工管理、安全規(guī)劃。
落地建議:架構(gòu)安全是企業(yè)能夠以最小的開(kāi)銷(xiāo)獲得最大安全價(jià)值的方法,因此也是最需要重視的方法。我們建議,企業(yè)可以從管理和建設(shè)兩個(gè)維度做好架構(gòu)安全。從建設(shè)維度,可以參照等保2.0中的網(wǎng)絡(luò)架構(gòu)安全,構(gòu)建清晰的企業(yè)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D,列好資產(chǎn)清單,同步做好網(wǎng)絡(luò)建設(shè)規(guī)劃和安全建設(shè)規(guī)劃。從管理維度,依照ISO 27001的管理體系構(gòu)建相應(yīng)的管理要求。
被動(dòng)防御
定義:在無(wú)人員介入的情況下,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。被動(dòng)防御保護(hù)資產(chǎn),阻止或限制已知安全漏洞被利用、已知安全風(fēng)險(xiǎn)的發(fā)生。被動(dòng)防御更多依賴(lài)靜態(tài)的規(guī)則,因此需要持續(xù)的優(yōu)化升級(jí)。
特點(diǎn):網(wǎng)絡(luò)安全建設(shè)的起始階段,也是核心投入階段。
主要模型:縱深防御模型、NIST網(wǎng)絡(luò)安全架構(gòu)。
主要技術(shù):樣本系統(tǒng),如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)和類(lèi)似的傳統(tǒng)安全系統(tǒng)。
落地建議:被動(dòng)防御是企業(yè)所需要做的基礎(chǔ)安全防護(hù)工作,在建設(shè)時(shí)可以參照等保2.0中的安全區(qū)域邊界和安全計(jì)算環(huán)境進(jìn)行構(gòu)建。被動(dòng)防御涉及的技術(shù)已較為成熟,企業(yè)在進(jìn)行產(chǎn)品選型時(shí),可以先對(duì)積極防御階段進(jìn)行規(guī)劃,然后依據(jù)積極防御時(shí)的產(chǎn)品選擇,進(jìn)行被動(dòng)階段防御產(chǎn)品選型。
積極防御
定義:分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)(經(jīng)驗(yàn))和應(yīng)用知識(shí)(理解)的過(guò)程。積極防御階段注重人工的參與,在這一階段人工將結(jié)合工具對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)的監(jiān)督與分析,對(duì)風(fēng)險(xiǎn)采用動(dòng)態(tài)的分析策略,與實(shí)際網(wǎng)絡(luò)態(tài)勢(shì)、業(yè)務(wù)相結(jié)合,與攻擊者的能力進(jìn)行對(duì)抗。
特點(diǎn):網(wǎng)絡(luò)安全建設(shè)的進(jìn)階階段,一般需要能達(dá)到的階段。
主要模型:主動(dòng)網(wǎng)絡(luò)防御周期、網(wǎng)絡(luò)安全監(jiān)控。
圖表 2 積極網(wǎng)絡(luò)防御周期
主要技術(shù):SIEM、威脅情報(bào)消費(fèi)、網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng)。
參與人員:事件響應(yīng)人、惡意軟件逆向工程師、威脅分析師、網(wǎng)絡(luò)安全監(jiān)控分析師。
落地建議:積極防御階段既要求產(chǎn)品的能力,也要求了人員能力素養(yǎng)。積極防御的建設(shè)可參照等保2.0中的安全管理中心進(jìn)行建設(shè)。積極防御的建設(shè)落地需要產(chǎn)品和人員同步進(jìn)行,人員能力可以通過(guò)雇傭?qū)I(yè)的信息安全人員,或者采購(gòu)信息安全服務(wù)方式獲得。
威脅情報(bào)
定義:收集數(shù)據(jù),將數(shù)據(jù)利用轉(zhuǎn)換為信息,并將信息生產(chǎn)加工。威脅情報(bào)是情報(bào)的一種,即收集信息分析并創(chuàng)建的有關(guān)攻擊者的情報(bào)。情報(bào)需要做到:威脅是切實(shí)能夠?qū)追接脩?hù)造成威脅;情報(bào)必須能夠被實(shí)際利用。情報(bào)需要結(jié)合甲方用戶(hù)的實(shí)際情況,并妥善使用。使用者的實(shí)際情況包括網(wǎng)絡(luò)情況、業(yè)務(wù)情況、安全防護(hù)情況等。因此情報(bào)依賴(lài)于前三分類(lèi)的狀態(tài)。
特點(diǎn):網(wǎng)絡(luò)安全主動(dòng)防御建設(shè),必須與實(shí)際情況緊密結(jié)合。
主要模型:網(wǎng)絡(luò)殺傷鏈模型、ATT&CK模型、鉆石模型、情報(bào)生命周期。
圖表 3 威脅情報(bào)生成系統(tǒng)
主要技術(shù):威脅情報(bào)生成、蜜罐。
落地建議:情報(bào)更多的是指主動(dòng)生成威脅情報(bào)的過(guò)程,企業(yè)最直接的生成威脅情報(bào)的方式就是部署蜜罐系統(tǒng)。企業(yè)在部署蜜罐、蜜網(wǎng)等系統(tǒng)時(shí),同時(shí)也需要與服務(wù)共同采購(gòu)。
進(jìn)攻反制
定義:對(duì)抗攻擊者的法律反制措施、自衛(wèi)反擊行為。這是一種提升自身網(wǎng)絡(luò)安全的進(jìn)攻行為,因?yàn)橥ǔT诤戏ㄐ缘倪吘売巫摺?duì)于民間機(jī)構(gòu),這些行為可能形成負(fù)面影響,帶來(lái)法律風(fēng)險(xiǎn),因此不建議直接采用這類(lèi)方法進(jìn)行防護(hù),但可以引入“主動(dòng)出擊”的思想和合法反制措施,來(lái)提升自身防攻擊能力。
特點(diǎn):本階段屬于網(wǎng)絡(luò)安全建設(shè)的較高目標(biāo),通過(guò)模擬攻擊和合法反制來(lái)提升網(wǎng)絡(luò)的抗攻擊能力。
主要技術(shù):攻擊溯源、攻防實(shí)驗(yàn)室、紅藍(lán)隊(duì)攻防演練。
落地建議:通過(guò)對(duì)攻擊溯源,獲得攻擊者的準(zhǔn)確信息,利用法律手段或其他合法手段進(jìn)行反制;建立攻防實(shí)驗(yàn)室,對(duì)組織的重要系統(tǒng)進(jìn)行模擬攻擊,來(lái)驗(yàn)證防護(hù)手段的健狀性;組織紅藍(lán)隊(duì)攻防演練,在實(shí)戰(zhàn)中不斷提升網(wǎng)絡(luò)抗攻擊能力。
三、滑動(dòng)標(biāo)尺模型應(yīng)用建議
滑動(dòng)標(biāo)尺是一種能力疊加演進(jìn)的安全思想,左側(cè)是右側(cè)的基礎(chǔ),右側(cè)是應(yīng)對(duì)更高級(jí)威脅的能力。只有在具備堅(jiān)實(shí)的安全基礎(chǔ)前提下,才能實(shí)現(xiàn)從被動(dòng)到主動(dòng)的防御。從左到右是安全能力的提升,也是安全成本的提升,企業(yè)在進(jìn)行安全架構(gòu)選型時(shí),需根據(jù)自身所面臨的的風(fēng)險(xiǎn)以及預(yù)算能力,選擇適合自己的安全防護(hù)建設(shè)模式。
企業(yè)整體安全能力建設(shè)
對(duì)于需要進(jìn)行體系化網(wǎng)絡(luò)能力建設(shè)的企業(yè),我們建議將重心放置在架構(gòu)安全上。在進(jìn)行安全規(guī)劃時(shí),可優(yōu)先做好架構(gòu)安全、被動(dòng)防御和積極防御三個(gè)階段的防護(hù)建設(shè)。
在進(jìn)行網(wǎng)絡(luò)安全實(shí)際建設(shè)過(guò)程中,組織則需要優(yōu)先將安全預(yù)算落實(shí)在網(wǎng)絡(luò)建設(shè)、被動(dòng)防御兩個(gè)分類(lèi)當(dāng)中。
企業(yè)原有安全能力升級(jí)
對(duì)于已有一定安全基礎(chǔ),需要在此基礎(chǔ)上優(yōu)化提升的企業(yè),我們建議:
1、評(píng)估自身網(wǎng)絡(luò)安全能力成熟度
企業(yè)可以選擇網(wǎng)絡(luò)安全能力成熟度模型模型(C2M2),以簡(jiǎn)單普適性的方法快速對(duì)企業(yè)安全現(xiàn)狀進(jìn)行評(píng)估。
圖表 4 C2M2模型
C2M2模型的10個(gè)域可對(duì)應(yīng)到滑動(dòng)標(biāo)尺模型的5個(gè)分類(lèi):
圖表 5 滑動(dòng)標(biāo)尺模型與C2M2模型對(duì)應(yīng)
C2M2模型的10個(gè)域可根據(jù)實(shí)際情況分為四個(gè)成熟度,通過(guò)計(jì)算滑動(dòng)標(biāo)尺每個(gè)分類(lèi)中各域的平均成熟度,可以得出相應(yīng)分類(lèi)的成熟度值。
2、評(píng)估自身面臨的客觀安全風(fēng)險(xiǎn)
安全風(fēng)險(xiǎn)分為外部攻擊者意圖帶來(lái)的風(fēng)險(xiǎn)和自身業(yè)務(wù)帶來(lái)的風(fēng)險(xiǎn)。根據(jù)Check Point《2022年安全報(bào)告》,教育行業(yè)、政府、通訊機(jī)構(gòu)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。不同行業(yè)的情報(bào)價(jià)值、整體防護(hù)能力是不同的,攻擊者可能依據(jù)行業(yè)選擇攻擊目標(biāo)。此外,企業(yè)業(yè)務(wù)開(kāi)放數(shù)量也會(huì)影響企業(yè)信息資產(chǎn)的互聯(lián)網(wǎng)暴露面,從而提升安全風(fēng)險(xiǎn)。
3、評(píng)估自身資源情況
自身資源狀況是指可應(yīng)用于網(wǎng)絡(luò)安全建設(shè)的人力、物力、財(cái)力。資源數(shù)量的核心在于管理層對(duì)網(wǎng)絡(luò)安全建設(shè)的認(rèn)可程度,網(wǎng)絡(luò)安全一般被認(rèn)為是信息系統(tǒng)建設(shè)的伴生產(chǎn)物,無(wú)法直接產(chǎn)生經(jīng)濟(jì)效益,因此不同的領(lǐng)導(dǎo)者對(duì)網(wǎng)絡(luò)安全的態(tài)度不同。在評(píng)估自身資源現(xiàn)狀時(shí),一方面要評(píng)估已有網(wǎng)絡(luò)安全預(yù)算數(shù)量和專(zhuān)業(yè)的安全人員,另一方面也要評(píng)估管理層對(duì)網(wǎng)絡(luò)安全的態(tài)度,以對(duì)未來(lái)網(wǎng)絡(luò)安全建設(shè)進(jìn)行整體把控。
4、評(píng)估下一步安全建設(shè)方向
在進(jìn)行下一步安全可遵循以下原則:
- 高安全風(fēng)險(xiǎn)企業(yè)可將資源分布到滑動(dòng)標(biāo)尺模型的各個(gè)分類(lèi)中,向各個(gè)方面平衡進(jìn)行安全投入。而低安全風(fēng)險(xiǎn)企業(yè),則可以將預(yù)算資源重點(diǎn)左移。
- 當(dāng)資源豐富時(shí),可多個(gè)分類(lèi)均衡布局,如果未來(lái)安全預(yù)算明確,可從左到右依次布局。如果網(wǎng)絡(luò)資源不夠豐富,則優(yōu)先選擇左移部署。
- 優(yōu)先升級(jí)左側(cè)區(qū)域的安全成熟度。
