從滑動標尺模型看企業網絡安全能力評估與建設
隨著信息技術邁入“云大物移智”時代,網絡安全形勢也發生了深刻的變化。但在實際工作中,很多企業安全建設的重點仍舊是由合規驅動的安全產品采購,在體系化和持續性方面存在較大不足,同時對實際具備的安全能力缺乏評估手段。在此背景下構建的安全防護體系建設,在面對當前新型網絡安全攻擊時,往往會表現的不堪一擊。
在2015年,美國系統網絡安全協會(SANS)提出了一種科學規劃網絡安全建設投入的滑動標尺模型,將網絡安全體系建設過程階段化,按照每個階段的建設水平來對安全防護能力進行評估,從而指導企業未來安全防護能力的建設。該模型的防護思路,目前在國內一些領先機構的網絡安全規劃與建設中已開始借鑒與使用,但總的來說,國內的應用深度與廣度仍有不足。但其疊加演進的安全建設思想,與新一代網絡安全體系建設理念高度符合,對現代企業如何科學做好安全預算、優化資源配置、改進建設效果等有著較強的指引價值。
01、滑動標尺模型的價值
研究人員發現,企業現階段網絡安全工作建設中的不足主要包括以下幾點:
忽視科學的體系化安全架構。目前,很多企業仍把單點化的安全設備采購作為安全防護建設的重點,對信息系統自身的架構安全缺乏重視,傳統的網絡安全設備三大件仍是采購主要對象。
安全運營能力不足。網絡安全工作對專業化人才及能力要求很高,目前很多企業缺少人才積累,導致了很多安全設備無法真正的發揮出應有的價值,在遇到突發性安全事件時無法進行快速定位及應急響應。
缺乏安全能力評估措施。安全是一個動態、對抗的過程,不能僅以滿足合規要求來推動安全建設。企業需要對真實具備的安全能力或安全建設成熟度進行客觀評價,及時發現安全能力的不足或隱患。
針對以上不足,迫切需要引入新思路、新技術和新方案來對現有安全防護體系進行優化和改造。而應用網絡安全滑動標尺模型可以為組織平衡網絡安全資源和技能投入提供參考框架。滑動標尺模型不僅可以展示各防御階段的重點,同時也提出了企業進行信息安全建設時的部署步驟建議。通過參考借鑒滑動標尺模型,企業在進行安全規劃和建設時,可以基于自身的資源和現狀對目前工作進行優化和改進。
圖表 1 滑動標尺模型
滑動標尺模型可應用在多個方面,包括:
- 向非技術人員解釋安全技術問題;
- 明確資源投入優先級、追蹤資源和技能投入情況;
- 評估企業的網絡安全風險和安全防護能力實際水平;
- 確認網絡安全事件的溯源分析是否準確。
滑動標尺模型的核心在于“動”字,各防御分類不是孤立靜態的。首先,同一項技術的應用場景不同,可能所屬的分類就不同;其次,企業的資源投入不能停留在一個分類,而是著重放在一個分類,并不斷地根據自身情況在多個分類同時部署或升級;最后,安全建設不是孤立的,只有做好左側的防御分類,才能讓右側的防御以及合法進攻反制分類發揮最大價值。
需要指出的是,滑動標尺模型是一個宏觀模型,在進行具體建設布局和產品采購時,還需要結合PPDR模型、殺傷鏈模型等,進一步制定安全建設工作的落實細則。
02、滑動標尺模型的分類
通過網絡安全滑動標尺模型,企業可以了解自身所處的階段,以及未來建設時應該采取的措施和投入,一共可以分為五大類:框架安全、被動防御、積極防御、威脅情報及進攻反制。每個分類的投入回報比不同,能夠抵御的威脅攻擊類型也不同,組織可以根據自身的情況將安全投入放到不同分類中。
架構安全
定義:在系統進行規劃、工程管理和設計時,引入架構安全措施。企業需要將網絡安全思想融入到網絡建設之初,將業務應用、網絡建設、安全規劃融合到一體,采用增加安全性的措施,減少攻擊面,并提升響應速度。
特點:網絡安全建設的基石。
主要模型:NIST800系列模型、普度模型(PERA)、支付卡行業數據安全標準(PCI DSS)。
主要技術:網段劃分、補丁管理、供應鏈管理、員工管理、安全規劃。
落地建議:架構安全是企業能夠以最小的開銷獲得最大安全價值的方法,因此也是最需要重視的方法。我們建議,企業可以從管理和建設兩個維度做好架構安全。從建設維度,可以參照等保2.0中的網絡架構安全,構建清晰的企業網絡架構拓撲圖,列好資產清單,同步做好網絡建設規劃和安全建設規劃。從管理維度,依照ISO 27001的管理體系構建相應的管理要求。
被動防御
定義:在無人員介入的情況下,附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統。被動防御保護資產,阻止或限制已知安全漏洞被利用、已知安全風險的發生。被動防御更多依賴靜態的規則,因此需要持續的優化升級。
特點:網絡安全建設的起始階段,也是核心投入階段。
主要模型:縱深防御模型、NIST網絡安全架構。
主要技術:樣本系統,如防火墻、反惡意軟件系統、入侵防御系統、防病毒系統、入侵檢測系統和類似的傳統安全系統。
落地建議:被動防御是企業所需要做的基礎安全防護工作,在建設時可以參照等保2.0中的安全區域邊界和安全計算環境進行構建。被動防御涉及的技術已較為成熟,企業在進行產品選型時,可以先對積極防御階段進行規劃,然后依據積極防御時的產品選擇,進行被動階段防御產品選型。
積極防御
定義:分析人員對處于所防御網絡內的威脅進行監控、響應、學習(經驗)和應用知識(理解)的過程。積極防御階段注重人工的參與,在這一階段人工將結合工具對網絡進行持續的監督與分析,對風險采用動態的分析策略,與實際網絡態勢、業務相結合,與攻擊者的能力進行對抗。
特點:網絡安全建設的進階階段,一般需要能達到的階段。
主要模型:主動網絡防御周期、網絡安全監控。
圖表 2 積極網絡防御周期
主要技術:SIEM、威脅情報消費、網絡安全監控、事件響應。
參與人員:事件響應人、惡意軟件逆向工程師、威脅分析師、網絡安全監控分析師。
落地建議:積極防御階段既要求產品的能力,也要求了人員能力素養。積極防御的建設可參照等保2.0中的安全管理中心進行建設。積極防御的建設落地需要產品和人員同步進行,人員能力可以通過雇傭專業的信息安全人員,或者采購信息安全服務方式獲得。
威脅情報
定義:收集數據,將數據利用轉換為信息,并將信息生產加工。威脅情報是情報的一種,即收集信息分析并創建的有關攻擊者的情報。情報需要做到:威脅是切實能夠對甲方用戶造成威脅;情報必須能夠被實際利用。情報需要結合甲方用戶的實際情況,并妥善使用。使用者的實際情況包括網絡情況、業務情況、安全防護情況等。因此情報依賴于前三分類的狀態。
特點:網絡安全主動防御建設,必須與實際情況緊密結合。
主要模型:網絡殺傷鏈模型、ATT&CK模型、鉆石模型、情報生命周期。
圖表 3 威脅情報生成系統
主要技術:威脅情報生成、蜜罐。
落地建議:情報更多的是指主動生成威脅情報的過程,企業最直接的生成威脅情報的方式就是部署蜜罐系統。企業在部署蜜罐、蜜網等系統時,同時也需要與服務共同采購。
進攻反制
定義:對抗攻擊者的法律反制措施、自衛反擊行為。這是一種提升自身網絡安全的進攻行為,因為通常在合法性的邊緣游走。對于民間機構,這些行為可能形成負面影響,帶來法律風險,因此不建議直接采用這類方法進行防護,但可以引入“主動出擊”的思想和合法反制措施,來提升自身防攻擊能力。
特點:本階段屬于網絡安全建設的較高目標,通過模擬攻擊和合法反制來提升網絡的抗攻擊能力。
主要技術:攻擊溯源、攻防實驗室、紅藍隊攻防演練。
落地建議:通過對攻擊溯源,獲得攻擊者的準確信息,利用法律手段或其他合法手段進行反制;建立攻防實驗室,對組織的重要系統進行模擬攻擊,來驗證防護手段的健狀性;組織紅藍隊攻防演練,在實戰中不斷提升網絡抗攻擊能力。
03、滑動標尺模型應用建議
滑動標尺是一種能力疊加演進的安全思想,左側是右側的基礎,右側是應對更高級威脅的能力。只有在具備堅實的安全基礎前提下,才能實現從被動到主動的防御。從左到右是安全能力的提升,也是安全成本的提升,企業在進行安全架構選型時,需根據自身所面臨的的風險以及預算能力,選擇適合自己的安全防護建設模式。
企業整體安全能力建設
對于需要進行體系化網絡能力建設的企業,我們建議將重心放置在架構安全上。在進行安全規劃時,可優先做好架構安全、被動防御和積極防御三個階段的防護建設。
在進行網絡安全實際建設過程中,組織則需要優先將安全預算落實在網絡建設、被動防御兩個分類當中。
企業原有安全能力升級
對于已有一定安全基礎,需要在此基礎上優化提升的企業,我們建議:
01、評估自身網絡安全能力成熟度
企業可以選擇網絡安全能力成熟度模型模型(C2M2),以簡單普適性的方法快速對企業安全現狀進行評估。
圖表 4 C2M2模型
C2M2模型的10個域可對應到滑動標尺模型的5個分類:
圖表 5 滑動標尺模型與C2M2模型對應
C2M2模型的10個域可根據實際情況分為四個成熟度,通過計算滑動標尺每個分類中各域的平均成熟度,可以得出相應分類的成熟度值。
02、評估自身面臨的客觀安全風險
安全風險分為外部攻擊者意圖帶來的風險和自身業務帶來的風險。根據Check Point《2022年安全報告》,教育行業、政府、通訊機構是網絡攻擊的重災區。不同行業的情報價值、整體防護能力是不同的,攻擊者可能依據行業選擇攻擊目標。此外,企業業務開放數量也會影響企業信息資產的互聯網暴露面,從而提升安全風險。
03、評估自身資源情況
自身資源狀況是指可應用于網絡安全建設的人力、物力、財力。資源數量的核心在于管理層對網絡安全建設的認可程度,網絡安全一般被認為是信息系統建設的伴生產物,無法直接產生經濟效益,因此不同的領導者對網絡安全的態度不同。在評估自身資源現狀時,一方面要評估已有網絡安全預算數量和專業的安全人員,另一方面也要評估管理層對網絡安全的態度,以對未來網絡安全建設進行整體把控。
04、評估下一步安全建設方向
在進行下一步安全可遵循以下原則:
- 高安全風險企業可將資源分布到滑動標尺模型的各個分類中,向各個方面平衡進行安全投入。而低安全風險企業,則可以將預算資源重點左移。
- 當資源豐富時,可多個分類均衡布局,如果未來安全預算明確,可從左到右依次布局。如果網絡資源不夠豐富,則優先選擇左移部署。
- 優先升級左側區域的安全成熟度。
