企業應對高級威脅攻擊的六項原則

目前，高級威脅已成為企業網絡安全的新常態，定向攻擊總是能輕而易舉地繞過傳統防護系統的檢查機制，泛在化攻擊使所有的企業都面臨著更加持續的安全風險挑戰。

以防護面和防護技術為主的傳統邊界防護模型已逐漸失效，應對當下的高級威脅只靠劃分防護面和增加防護手段是不夠的。通過對現有的縱深防護理念與CARTA模型的分析，安全牛研究團隊在近期開展的《企業高級威脅防護能力構建指南》報告中，梳理出以焦點區域為面、防護機制為體、防護技術為器的新一代企業高級威脅防護能力模型，將防護區域、防護機制、防護技術定義為企業高級威脅能力構建的三要素。

新一代企業高級威脅新防護能力模型

• 防護區域
• 防護面劃分是實施細粒度防護的基礎，可以保證最有效的防護措施應用到可能被攻擊的關鍵線路上，減少攻擊橫向擴散范圍。數字化時期高級威脅防護系統的防護區域應該是多層的、遞進的，并且應在原來IATF的基礎上增加“應用和數據”域。
• 防護機制
• 防護機制是建立保證安全防護持久化的流程體系。高級威脅防護系統中的防護機制應該是動態的，并且應當有多層嵌套，典型的包括攻擊防護機制、業務驗證機制、策略合規機制。
• 防護技術
• 防護技術是防護系統中使用的手段和方法。高級威脅防護系統中技術手段不僅要多樣化，而且還應確保差異化技術能力可以相互轉化。典型的技術手段有預測、防護、檢測和響應。

本次研究中，安全牛對近百家企業用戶進行了現場訪談和問卷調研，通過梳理分析上述受訪企業的高級威脅防護現況及實踐經驗，我們建議企業在高級威脅防護能力構建中可以參考以下六項原則：

企業高級威脅防護能力構建的六項原則

原則一：用頂層視角進行戰略性安全規劃

高級威脅對抗是常態化的對抗，其特性決定企業需要用戰略性思維并從頂層視角統籌安全規劃，結合安全風險評估保證規劃結果可執行并符合企業真實的安全訴求。除了防護面還應考慮時間維度，以確保安全基礎設施在未來一段時間更持續有效；從平戰結合的維度考慮如何最大化基礎設施的成本效益；此外，企業安全戰略還要立足當下，做好升維能力構建預期。

原則二：用系統化的理念構筑韌性的安全架構

安全架構首先要保障頂層框架設計自上而下逐層、逐面的展開。其次，由于網絡攻擊的多變性，安全產品種類多、迭代快，無序的產品堆疊猶如散沙在高級威脅攻擊面前不能形成戰斗力。任何時期的安全能力構建都需要做好擴展和迭代的長遠考慮，系統/產品架構比功能的選擇更重要。安全架構設計要做好核心能力和支撐能力的規劃，并使用系統化和科學化的方法進行有效的合力構建，使安全體系圍繞核心能力螺旋狀生長，并保證在業務變化、場景遷移中有更好的彈性。

原則三：不能忽略基礎防護能力的構建

任何一個低級漏洞利用都可能造成高級威脅的嚴重后果，沒有基礎防護，高級威脅構建就猶如沙灘樓閣。基線建設、法律合規是網絡安全防護的基礎防線，只有在基礎安全能力上才能更高效的構建高級威脅的防護能力。但需要認識到，安全基線建設、法律合規僅僅是企業網絡安全防護的紅線，不能等同于高級威脅防護能力。

原則四：選擇差異化的技術進行能力互補

從防護面、防護技術到防護機制，都需要差異化。在不同防護面選擇差異化的技術避免重疊可以有效增加防護面被全面突破的難度，降低攻擊成功率。其次，硬碰硬的較量在任何時候都不一定有完全的勝算，在做好攻擊識別和檢測同時，做好敏感資源、數據的防護也同樣重要。

原則五：任何的最佳實踐都不能完全照搬

行業特點決定了企業遭受攻擊的類型和風險程度，每個企業安全建設的目標和立足點不同，加之企業自身受保護的系統和資源的差別，決定了自適應的安全防護在企業落地都需要一定程度的訂制。行業最佳實踐的分享提高了攻防的水平，但能公開能拿到的經驗，一般都不會是完全有效的。

原則六：重視網絡安全團隊的能力構建

盡管安全自動化處置的能力正在日益成熟，但技防是基礎，人防才是保障。高級威脅從識別到響應處置等環節，都無法完全離開專業安全人員介入。此外，員工安全意識需要持續提高，企業安全制度的建立、執行、管理、運維都是安全團隊能力構建的重要訴求。