隨著信息技術(shù)邁入“云大物移智”時代,,網(wǎng)絡安全形勢也發(fā)生了深刻的變化。但在實際工作中,,很多企業(yè)安全建設的重點仍舊是由合規(guī)驅(qū)動的安全產(chǎn)品采購,,在體系化和持續(xù)性方面存在較大不足,,同時對實際具備的安全能力缺乏評估手段,。在此背景下構(gòu)建的安全防護體系建設,,在面對當前新型網(wǎng)絡安全攻擊時,,往往會表現(xiàn)的不堪一擊。
在2015年,,美國系統(tǒng)網(wǎng)絡安全協(xié)會(SANS)提出了一種科學規(guī)劃網(wǎng)絡安全建設投入的滑動標尺模型,,將網(wǎng)絡安全體系建設過程階段化,按照每個階段的建設水平來對安全防護能力進行評估,,從而指導企業(yè)未來安全防護能力的建設,。該模型的防護思路,目前在國內(nèi)一些領(lǐng)先機構(gòu)的網(wǎng)絡安全規(guī)劃與建設中已開始借鑒與使用,,但總的來說,,國內(nèi)的應用深度與廣度仍有不足。但其疊加演進的安全建設思想,,與新一代網(wǎng)絡安全體系建設理念高度符合,,對現(xiàn)代企業(yè)如何科學做好安全預算、優(yōu)化資源配置,、改進建設效果等有著較強的指引價值,。
01 滑動標尺模型的價值
研究人員發(fā)現(xiàn),企業(yè)現(xiàn)階段網(wǎng)絡安全工作建設中的不足主要包括以下幾點:
忽視科學的體系化安全架構(gòu),。目前,,很多企業(yè)仍把單點化的安全設備采購作為安全防護建設的重點,對信息系統(tǒng)自身的架構(gòu)安全缺乏重視,,傳統(tǒng)的網(wǎng)絡安全設備三大件仍是采購主要對象,。
安全運營能力不足。網(wǎng)絡安全工作對專業(yè)化人才及能力要求很高,,目前很多企業(yè)缺少人才積累,,導致了很多安全設備無法真正的發(fā)揮出應有的價值,在遇到突發(fā)性安全事件時無法進行快速定位及應急響應,。
缺乏安全能力評估措施,。安全是一個動態(tài)、對抗的過程,,不能僅以滿足合規(guī)要求來推動安全建設。企業(yè)需要對真實具備的安全能力或安全建設成熟度進行客觀評價,,及時發(fā)現(xiàn)安全能力的不足或隱患,。
針對以上不足,迫切需要引入新思路,、新技術(shù)和新方案來對現(xiàn)有安全防護體系進行優(yōu)化和改造,。而應用網(wǎng)絡安全滑動標尺模型可以為組織平衡網(wǎng)絡安全資源和技能投入提供參考框架?;瑒訕顺吣P筒粌H可以展示各防御階段的重點,,同時也提出了企業(yè)進行信息安全建設時的部署步驟建議,。通過參考借鑒滑動標尺模型,企業(yè)在進行安全規(guī)劃和建設時,,可以基于自身的資源和現(xiàn)狀對目前工作進行優(yōu)化和改進,。
圖表 1 滑動標尺模型
滑動標尺模型可應用在多個方面,包括:
向非技術(shù)人員解釋安全技術(shù)問題,;
明確資源投入優(yōu)先級,、追蹤資源和技能投入情況;
評估企業(yè)的網(wǎng)絡安全風險和安全防護能力實際水平,;
確認網(wǎng)絡安全事件的溯源分析是否準確,。
滑動標尺模型的核心在于“動”字,各防御分類不是孤立靜態(tài)的,。首先,,同一項技術(shù)的應用場景不同,可能所屬的分類就不同,;其次,,企業(yè)的資源投入不能停留在一個分類,而是著重放在一個分類,,并不斷地根據(jù)自身情況在多個分類同時部署或升級,;最后,安全建設不是孤立的,,只有做好左側(cè)的防御分類,,才能讓右側(cè)的防御以及合法進攻反制分類發(fā)揮最大價值。
需要指出的是,,滑動標尺模型是一個宏觀模型,,在進行具體建設布局和產(chǎn)品采購時,還需要結(jié)合PPDR模型,、殺傷鏈模型等,,進一步制定安全建設工作的落實細則。
02 滑動標尺模型的分類
通過網(wǎng)絡安全滑動標尺模型,,企業(yè)可以了解自身所處的階段,,以及未來建設時應該采取的措施和投入,一共可以分為五大類:框架安全,、被動防御,、積極防御、威脅情報及進攻反制,。每個分類的投入回報比不同,,能夠抵御的威脅攻擊類型也不同,組織可以根據(jù)自身的情況將安全投入放到不同分類中,。
架構(gòu)安全
定義:在系統(tǒng)進行規(guī)劃,、工程管理和設計時,,引入架構(gòu)安全措施。企業(yè)需要將網(wǎng)絡安全思想融入到網(wǎng)絡建設之初,,將業(yè)務應用,、網(wǎng)絡建設、安全規(guī)劃融合到一體,,采用增加安全性的措施,,減少攻擊面,并提升響應速度,。
特點:網(wǎng)絡安全建設的基石,。
主要模型:NIST800系列模型、普度模型(PERA),、支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS),。
主要技術(shù):網(wǎng)段劃分、補丁管理,、供應鏈管理,、員工管理、安全規(guī)劃,。
落地建議:架構(gòu)安全是企業(yè)能夠以最小的開銷獲得最大安全價值的方法,,因此也是最需要重視的方法。我們建議,,企業(yè)可以從管理和建設兩個維度做好架構(gòu)安全,。從建設維度,可以參照等保2.0中的網(wǎng)絡架構(gòu)安全,,構(gòu)建清晰的企業(yè)網(wǎng)絡架構(gòu)拓撲圖,,列好資產(chǎn)清單,同步做好網(wǎng)絡建設規(guī)劃和安全建設規(guī)劃,。從管理維度,,依照ISO 27001的管理體系構(gòu)建相應的管理要求。
被動防御
定義:在無人員介入的情況下,,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng),。被動防御保護資產(chǎn),阻止或限制已知安全漏洞被利用,、已知安全風險的發(fā)生,。被動防御更多依賴靜態(tài)的規(guī)則,因此需要持續(xù)的優(yōu)化升級,。
特點:網(wǎng)絡安全建設的起始階段,也是核心投入階段,。
主要模型:縱深防御模型,、NIST網(wǎng)絡安全架構(gòu),。
主要技術(shù):樣本系統(tǒng),如防火墻,、反惡意軟件系統(tǒng),、入侵防御系統(tǒng)、防病毒系統(tǒng),、入侵檢測系統(tǒng)和類似的傳統(tǒng)安全系統(tǒng),。
落地建議:被動防御是企業(yè)所需要做的基礎安全防護工作,在建設時可以參照等保2.0中的安全區(qū)域邊界和安全計算環(huán)境進行構(gòu)建,。被動防御涉及的技術(shù)已較為成熟,,企業(yè)在進行產(chǎn)品選型時,可以先對積極防御階段進行規(guī)劃,,然后依據(jù)積極防御時的產(chǎn)品選擇,,進行被動階段防御產(chǎn)品選型。
積極防御
定義:分析人員對處于所防御網(wǎng)絡內(nèi)的威脅進行監(jiān)控,、響應,、學習(經(jīng)驗)和應用知識(理解)的過程。積極防御階段注重人工的參與,,在這一階段人工將結(jié)合工具對網(wǎng)絡進行持續(xù)的監(jiān)督與分析,,對風險采用動態(tài)的分析策略,與實際網(wǎng)絡態(tài)勢,、業(yè)務相結(jié)合,,與攻擊者的能力進行對抗。
特點:網(wǎng)絡安全建設的進階階段,,一般需要能達到的階段,。
主要模型:主動網(wǎng)絡防御周期、網(wǎng)絡安全監(jiān)控,。
圖表 2 積極網(wǎng)絡防御周期
主要技術(shù):SIEM,、威脅情報消費、網(wǎng)絡安全監(jiān)控,、事件響應,。
參與人員:事件響應人、惡意軟件逆向工程師,、威脅分析師,、網(wǎng)絡安全監(jiān)控分析師。
落地建議:積極防御階段既要求產(chǎn)品的能力,,也要求了人員能力素養(yǎng),。積極防御的建設可參照等保2.0中的安全管理中心進行建設。積極防御的建設落地需要產(chǎn)品和人員同步進行,,人員能力可以通過雇傭?qū)I(yè)的信息安全人員,,或者采購信息安全服務方式獲得,。
威脅情報
定義:收集數(shù)據(jù),將數(shù)據(jù)利用轉(zhuǎn)換為信息,,并將信息生產(chǎn)加工,。威脅情報是情報的一種,即收集信息分析并創(chuàng)建的有關(guān)攻擊者的情報,。情報需要做到:威脅是切實能夠?qū)追接脩粼斐赏{,;情報必須能夠被實際利用。情報需要結(jié)合甲方用戶的實際情況,,并妥善使用,。使用者的實際情況包括網(wǎng)絡情況、業(yè)務情況,、安全防護情況等,。因此情報依賴于前三分類的狀態(tài)。
特點:網(wǎng)絡安全主動防御建設,,必須與實際情況緊密結(jié)合,。
主要模型:網(wǎng)絡殺傷鏈模型、ATT&CK模型,、鉆石模型,、情報生命周期。
圖表 3 威脅情報生成系統(tǒng)
主要技術(shù):威脅情報生成,、蜜罐,。
落地建議:情報更多的是指主動生成威脅情報的過程,企業(yè)最直接的生成威脅情報的方式就是部署蜜罐系統(tǒng),。企業(yè)在部署蜜罐,、蜜網(wǎng)等系統(tǒng)時,同時也需要與服務共同采購,。
進攻反制
定義:對抗攻擊者的法律反制措施,、自衛(wèi)反擊行為。這是一種提升自身網(wǎng)絡安全的進攻行為,,因為通常在合法性的邊緣游走,。對于民間機構(gòu),這些行為可能形成負面影響,,帶來法律風險,,因此不建議直接采用這類方法進行防護,但可以引入“主動出擊”的思想和合法反制措施,,來提升自身防攻擊能力,。
特點:本階段屬于網(wǎng)絡安全建設的較高目標,通過模擬攻擊和合法反制來提升網(wǎng)絡的抗攻擊能力。
主要技術(shù):攻擊溯源,、攻防實驗室,、紅藍隊攻防演練。
落地建議:通過對攻擊溯源,,獲得攻擊者的準確信息,利用法律手段或其他合法手段進行反制,;建立攻防實驗室,,對組織的重要系統(tǒng)進行模擬攻擊,來驗證防護手段的健狀性,;組織紅藍隊攻防演練,,在實戰(zhàn)中不斷提升網(wǎng)絡抗攻擊能力。
03 滑動標尺模型應用建議
滑動標尺是一種能力疊加演進的安全思想,,左側(cè)是右側(cè)的基礎,,右側(cè)是應對更高級威脅的能力。只有在具備堅實的安全基礎前提下,,才能實現(xiàn)從被動到主動的防御,。從左到右是安全能力的提升,也是安全成本的提升,,企業(yè)在進行安全架構(gòu)選型時,,需根據(jù)自身所面臨的的風險以及預算能力,選擇適合自己的安全防護建設模式,。
企業(yè)整體安全能力建設
對于需要進行體系化網(wǎng)絡能力建設的企業(yè),,我們建議將重心放置在架構(gòu)安全上。在進行安全規(guī)劃時,,可優(yōu)先做好架構(gòu)安全,、被動防御和積極防御三個階段的防護建設。
在進行網(wǎng)絡安全實際建設過程中,,組織則需要優(yōu)先將安全預算落實在網(wǎng)絡建設,、被動防御兩個分類當中。
企業(yè)原有安全能力升級
對于已有一定安全基礎,,需要在此基礎上優(yōu)化提升的企業(yè),,我們建議:
01 評估自身網(wǎng)絡安全能力成熟度
企業(yè)可以選擇網(wǎng)絡安全能力成熟度模型模型(C2M2),以簡單普適性的方法快速對企業(yè)安全現(xiàn)狀進行評估,。
圖表 4 C2M2模型
C2M2模型的10個域可對應到滑動標尺模型的5個分類:
圖表 5 滑動標尺模型與C2M2模型對應
C2M2模型的10個域可根據(jù)實際情況分為四個成熟度,,通過計算滑動標尺每個分類中各域的平均成熟度,可以得出相應分類的成熟度值,。
02 評估自身面臨的客觀安全風險
安全風險分為外部攻擊者意圖帶來的風險和自身業(yè)務帶來的風險,。根據(jù)Check Point《2022年安全報告》,教育行業(yè)、政府,、通訊機構(gòu)是網(wǎng)絡攻擊的重災區(qū),。不同行業(yè)的情報價值、整體防護能力是不同的,,攻擊者可能依據(jù)行業(yè)選擇攻擊目標,。此外,企業(yè)業(yè)務開放數(shù)量也會影響企業(yè)信息資產(chǎn)的互聯(lián)網(wǎng)暴露面,,從而提升安全風險,。
03 評估自身資源情況
自身資源狀況是指可應用于網(wǎng)絡安全建設的人力、物力,、財力,。資源數(shù)量的核心在于管理層對網(wǎng)絡安全建設的認可程度,網(wǎng)絡安全一般被認為是信息系統(tǒng)建設的伴生產(chǎn)物,,無法直接產(chǎn)生經(jīng)濟效益,,因此不同的領(lǐng)導者對網(wǎng)絡安全的態(tài)度不同。在評估自身資源現(xiàn)狀時,,一方面要評估已有網(wǎng)絡安全預算數(shù)量和專業(yè)的安全人員,,另一方面也要評估管理層對網(wǎng)絡安全的態(tài)度,以對未來網(wǎng)絡安全建設進行整體把控,。
04 評估下一步安全建設方向
在進行下一步安全可遵循以下原則:
高安全風險企業(yè)可將資源分布到滑動標尺模型的各個分類中,,向各個方面平衡進行安全投入。而低安全風險企業(yè),,則可以將預算資源重點左移,。
當資源豐富時,可多個分類均衡布局,,如果未來安全預算明確,,可從左到右依次布局。如果網(wǎng)絡資源不夠豐富,,則優(yōu)先選擇左移部署,。
優(yōu)先升級左側(cè)區(qū)域的安全成熟度。
更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<
