安全圈的老司機趙武前輩寫了一篇“構(gòu)建基于攻防實效的安全體系,有效解決通報問題”的文章,提出了從技術(shù)層面來解決企業(yè)現(xiàn)目前不勝其煩的安全通報問題。其觀點提出:一是摸清家底,構(gòu)建完整的資產(chǎn)庫,聚焦“靶標(biāo)漏洞”;二是結(jié)合業(yè)務(wù),聯(lián)防聯(lián)控,構(gòu)建快速響應(yīng)機制;三是識別未知風(fēng)險。結(jié)合我對安全的觀察與分析,我認為,目前能夠有效解決企業(yè)面臨的安全風(fēng)險,進而規(guī)避通報問題的有效方式是建立企業(yè)的安全文化基因。
對于一個企業(yè),主張安全文化的建設(shè)要“將企業(yè)安全理念和安全價值觀表現(xiàn)在決策者和管理者的態(tài)度和行動中,落實在企業(yè)的管理制度中,將安全管理溶入企業(yè)整個管理的實踐中,將安全法規(guī)、制度落實在決策者、管理者和員工的行為方式中,將安全標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品等落實在企業(yè)運營的業(yè)務(wù)、流程和應(yīng)用中,由此構(gòu)成一個良好的安全文化氣氛。通過安全文化的建設(shè),影響企業(yè)各級管理人員和員工的安全自覺性,以文化的力量保障企業(yè)安全制度和安全體系的持續(xù)運營。”這樣才能抓住企業(yè)目前安全建設(shè)的實質(zhì)和根本內(nèi)涵。
如何來落實企業(yè)的安全文化建設(shè)?在我看來,通過網(wǎng)絡(luò)靶場可構(gòu)建企業(yè)的安全文化,網(wǎng)絡(luò)靶場是建立企業(yè)安全文化的一種手段和工具。具體來說,在趙武前輩攻防實效的安全體系的基礎(chǔ)上,基于網(wǎng)絡(luò)靶場構(gòu)建基于攻防實效的安全文化體系,主要包含四個階段:
一是企業(yè)攻擊面分析:摸清家底,構(gòu)建完整的資產(chǎn)庫和網(wǎng)絡(luò)拓撲,聚焦“靶標(biāo)漏洞”。攻擊面分析需要從網(wǎng)絡(luò)安全角度梳理企業(yè)的“攻擊暴露面”,通過分析企業(yè)組織體系的“攻擊暴露面”并建立安全知識庫。安全知識庫除了聚焦“靶標(biāo)漏洞”,還得包括企業(yè)的安全策略、管理制度、人員習(xí)慣等影響“攻擊暴露面”的內(nèi)容。基于收集和評估的企業(yè)“攻擊暴露面”知識數(shù)據(jù),企業(yè)攻擊面分析需要對這些知識進行進一步處理,目標(biāo)是通過網(wǎng)絡(luò)靶場的仿真數(shù)據(jù)/安全事件構(gòu)造工具生成針對性的綜合安全事件(針對性的流量、攻擊等模擬)。
在此階段,網(wǎng)絡(luò)靶場具備或者提供的能力是:①企業(yè)組織體系資源管控能力,該能力能夠識別或梳理企業(yè)中網(wǎng)絡(luò)可達的完整的資產(chǎn)庫,建立捕獲“靶標(biāo)漏洞”在技術(shù)方面所需信息(例如已識別資產(chǎn)的類型和版本以及對應(yīng)的CVE漏洞等)的能力(或集成、對接目前各大安全廠商安全監(jiān)測平臺的能力);②建立企業(yè)“攻擊暴露面”安全行為基線,比如攻擊路徑分析,為構(gòu)造安全事件提供數(shù)據(jù)和基準(zhǔn)。
二是企業(yè)網(wǎng)絡(luò)靶場環(huán)境:結(jié)合企業(yè)網(wǎng)絡(luò)、資產(chǎn)和業(yè)務(wù)等內(nèi)容,將企業(yè)的生產(chǎn)環(huán)境復(fù)制到網(wǎng)絡(luò)靶場中,建立監(jiān)測與仿真體系。監(jiān)測體系要求在企業(yè)的生產(chǎn)環(huán)境中安裝安全監(jiān)測采集探針,對企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)及人員等建立操作行為建立數(shù)據(jù)采集。這些采集的數(shù)據(jù)將作為整體體系中重要的評估環(huán)節(jié)的原始數(shù)據(jù)。仿真體系使用虛擬化技術(shù)和仿真技術(shù)、以及結(jié)合不可模擬的實際設(shè)備對企業(yè)的生產(chǎn)環(huán)境進行復(fù)制,建立孿生環(huán)境或鏡像副本。同時,仿真體系還需要根據(jù)企業(yè)的“攻擊暴露面”分析,針對性構(gòu)造網(wǎng)絡(luò)安全事件、防御者的防御工具和技術(shù)、攻擊者的工具(戰(zhàn)術(shù))和技術(shù)等亞歷山大?科特(Alexander Kott)所述的網(wǎng)絡(luò)空間安全概念模型的4元組內(nèi)容。
在此階段,網(wǎng)絡(luò)靶場具備或者提供的能力是:①具備對企業(yè)的運營資產(chǎn)、網(wǎng)絡(luò)、系統(tǒng)及人員等進行安全監(jiān)測的能力,建立全方位的安全檢測體系(或者集成、對接各個安全廠商的安全監(jiān)測平臺及態(tài)勢感知系統(tǒng)等);②具備對企業(yè)網(wǎng)絡(luò)空間場景/組織的基礎(chǔ)結(jié)構(gòu)進行建模的能力。主要包含網(wǎng)絡(luò)空間靶場需要構(gòu)造或合成的4元組,即{ I:網(wǎng)絡(luò)事件,可以理解為不應(yīng)該發(fā)生的網(wǎng)絡(luò)安全事件}、{Td:防御者的防御工具和技術(shù)}、{Nd:防御者的運營資產(chǎn),網(wǎng)絡(luò)和系統(tǒng)}、{ Ta:攻擊者的工具(戰(zhàn)術(shù))和技術(shù)}。
三是結(jié)合業(yè)務(wù)建模培訓(xùn):根據(jù)企業(yè)“攻擊面分析”和“網(wǎng)絡(luò)靶場環(huán)境”,針對企業(yè)的業(yè)務(wù)特殊需求量身定制結(jié)合業(yè)務(wù)的建模培訓(xùn)內(nèi)容,這些培訓(xùn)內(nèi)容是針對企業(yè)的“攻擊暴露面”進行的針對性培訓(xùn),將在“網(wǎng)絡(luò)靶場環(huán)境”中對企業(yè)的“攻擊暴露面”進行還原,并要求企業(yè)員工在“網(wǎng)絡(luò)靶場環(huán)境”中,結(jié)合孿生的實際業(yè)務(wù)操作環(huán)境,練習(xí)、演練企業(yè)暴露面收斂,學(xué)習(xí)培訓(xùn)的相關(guān)安全教材(例如講座、教程、意識視頻等),并基于靶場仿真,構(gòu)建基于業(yè)務(wù)的劇情式培訓(xùn)演練和應(yīng)急響應(yīng)機制。
在此階段,網(wǎng)絡(luò)靶場具備或者提供的能力是:①具備結(jié)合企業(yè)業(yè)務(wù)及“攻擊暴露面”建模培訓(xùn)內(nèi)容的能力,靶場將在企業(yè)的復(fù)制環(huán)境中,能夠建模構(gòu)造可能引發(fā)的攻擊戰(zhàn)術(shù)、防御策略以及綜合安全事件,并將可能性引入到培訓(xùn)環(huán)節(jié)對學(xué)員進行安全應(yīng)對培訓(xùn)和指引;②具備提供學(xué)員快速場景構(gòu)建及場景還原的測試和評估新的策略和技術(shù)的能力。
四是企業(yè)監(jiān)測評估反饋:通過在第二階段建立的監(jiān)測體系,將實時監(jiān)測企業(yè)生產(chǎn)環(huán)境和企業(yè)網(wǎng)絡(luò)靶場環(huán)境。在靶場環(huán)境中,通過培訓(xùn)完成后,監(jiān)測體系將顯示每個學(xué)員和整個計劃的結(jié)果。監(jiān)測體系將對培訓(xùn)的結(jié)果做一個初步的評估。然后,監(jiān)測體系將在企業(yè)生產(chǎn)環(huán)境中,監(jiān)測學(xué)員的安全培訓(xùn)習(xí)慣和技能操作行為反饋,并最終評估是否達到培訓(xùn)的效果,如果監(jiān)測顯示,某項制度或技術(shù)在培訓(xùn)后,在企業(yè)的生產(chǎn)環(huán)境實際操作中,學(xué)員還是沒有遵循安全培訓(xùn)的要求,企業(yè)可將該學(xué)員再次回返到企業(yè)靶場的孿生環(huán)境,再次進行針對性訓(xùn)練,直到學(xué)員養(yǎng)成安全習(xí)慣,變成學(xué)員自身的行為習(xí)慣為止。
在此階段,網(wǎng)絡(luò)靶場具備或者提供的能力是:①具備企業(yè)生產(chǎn)環(huán)境和靶場復(fù)制環(huán)境操作行為和操作培訓(xùn)監(jiān)測采集、分析評估的能力。網(wǎng)絡(luò)靶場需在培訓(xùn)階段結(jié)束后在生產(chǎn)環(huán)境繼續(xù)審核學(xué)員的操作行為,目的是捕捉學(xué)員是否真正運用了自己的培訓(xùn)能力,建立了安全意識和操作習(xí)慣。②具備長期運營的能力,靶場需要在企業(yè)的業(yè)務(wù)和安全運營中一直進行不間斷的安全運營,為企業(yè)的安全文化建立提供運營手段。
網(wǎng)絡(luò)空間安全是此消彼長、對抗激烈的高科技較量,其能力的提升依賴于安全人員、攻防裝備、技戰(zhàn)法等多個方面的整體進步。而這些方面的進步,無不需要緊貼企業(yè)實際的安全需求,緊貼業(yè)務(wù)運行動態(tài),反復(fù)檢驗、改進和完善。只有將安全文化融入到企業(yè)的文化基因,凝結(jié)起來一種文化氛圍,將員工的安全觀念、安全意識、安全態(tài)度、安全技能、行為習(xí)慣、以及對安全價值的理解和領(lǐng)導(dǎo)及個人所認同的安全原則和接受的行為方式。才能很好的解決網(wǎng)絡(luò)安全層面對企業(yè)現(xiàn)目前困擾問題。
通過安全觀念文化的建設(shè),影響決策者、管理者和員工對安全的正確態(tài)度和意識,強化企業(yè)每一個人的安全意識。安全運營和安全文化,是提升企業(yè)安全保障體系長治久安的固本之舉。