目前,高級威脅已成為企業(yè)網(wǎng)絡(luò)安全的新常態(tài),定向攻擊總是能輕而易舉地繞過傳統(tǒng)防護系統(tǒng)的檢查機制,泛在化攻擊使所有的企業(yè)都面臨著更加持續(xù)的安全風(fēng)險挑戰(zhàn)。
以防護面和防護技術(shù)為主的傳統(tǒng)邊界防護模型已逐漸失效,應(yīng)對當(dāng)下的高級威脅只靠劃分防護面和增加防護手段是不夠的。通過對現(xiàn)有的縱深防護理念與CARTA模型的分析,安全牛研究團隊在近期開展的《企業(yè)高級威脅防護能力構(gòu)建指南》報告中,梳理出以焦點區(qū)域為面、防護機制為體、防護技術(shù)為器的新一代企業(yè)高級威脅防護能力模型,將防護區(qū)域、防護機制、防護技術(shù)定義為企業(yè)高級威脅能力構(gòu)建的三要素。
圖片
新一代企業(yè)高級威脅新防護能力模型
防護區(qū)域
防護面劃分是實施細粒度防護的基礎(chǔ),可以保證最有效的防護措施應(yīng)用到可能被攻擊的關(guān)鍵線路上,減少攻擊橫向擴散范圍。數(shù)字化時期高級威脅防護系統(tǒng)的防護區(qū)域應(yīng)該是多層的、遞進的,并且應(yīng)在原來IATF的基礎(chǔ)上增加“應(yīng)用和數(shù)據(jù)”域。
防護機制
防護機制是建立保證安全防護持久化的流程體系。高級威脅防護系統(tǒng)中的防護機制應(yīng)該是動態(tài)的,并且應(yīng)當(dāng)有多層嵌套,典型的包括攻擊防護機制、業(yè)務(wù)驗證機制、策略合規(guī)機制。
防護技術(shù)
防護技術(shù)是防護系統(tǒng)中使用的手段和方法。高級威脅防護系統(tǒng)中技術(shù)手段不僅要多樣化,而且還應(yīng)確保差異化技術(shù)能力可以相互轉(zhuǎn)化。典型的技術(shù)手段有預(yù)測、防護、檢測和響應(yīng)。
本次研究中,安全牛對近百家企業(yè)用戶進行了現(xiàn)場訪談和問卷調(diào)研,通過梳理分析上述受訪企業(yè)的高級威脅防護現(xiàn)況及實踐經(jīng)驗,我們建議企業(yè)在高級威脅防護能力構(gòu)建中可以參考以下六項原則:
圖片
企業(yè)高級威脅防護能力構(gòu)建的六項原則
原則一:用頂層視角進行戰(zhàn)略性安全規(guī)劃
高級威脅對抗是常態(tài)化的對抗,其特性決定企業(yè)需要用戰(zhàn)略性思維并從頂層視角統(tǒng)籌安全規(guī)劃,結(jié)合安全風(fēng)險評估保證規(guī)劃結(jié)果可執(zhí)行并符合企業(yè)真實的安全訴求。除了防護面還應(yīng)考慮時間維度,以確保安全基礎(chǔ)設(shè)施在未來一段時間更持續(xù)有效;從平戰(zhàn)結(jié)合的維度考慮如何最大化基礎(chǔ)設(shè)施的成本效益;此外,企業(yè)安全戰(zhàn)略還要立足當(dāng)下,做好升維能力構(gòu)建預(yù)期。
原則二:用系統(tǒng)化的理念構(gòu)筑韌性的安全架構(gòu)
安全架構(gòu)首先要保障頂層框架設(shè)計自上而下逐層、逐面的展開。其次,由于網(wǎng)絡(luò)攻擊的多變性,安全產(chǎn)品種類多、迭代快,無序的產(chǎn)品堆疊猶如散沙在高級威脅攻擊面前不能形成戰(zhàn)斗力。任何時期的安全能力構(gòu)建都需要做好擴展和迭代的長遠考慮,系統(tǒng)/產(chǎn)品架構(gòu)比功能的選擇更重要。安全架構(gòu)設(shè)計要做好核心能力和支撐能力的規(guī)劃,并使用系統(tǒng)化和科學(xué)化的方法進行有效的合力構(gòu)建,使安全體系圍繞核心能力螺旋狀生長,并保證在業(yè)務(wù)變化、場景遷移中有更好的彈性。
原則三:不能忽略基礎(chǔ)防護能力的構(gòu)建
任何一個低級漏洞利用都可能造成高級威脅的嚴(yán)重后果,沒有基礎(chǔ)防護,高級威脅構(gòu)建就猶如沙灘樓閣?;€建設(shè)、法律合規(guī)是網(wǎng)絡(luò)安全防護的基礎(chǔ)防線,只有在基礎(chǔ)安全能力上才能更高效的構(gòu)建高級威脅的防護能力。但需要認識到,安全基線建設(shè)、法律合規(guī)僅僅是企業(yè)網(wǎng)絡(luò)安全防護的紅線,不能等同于高級威脅防護能力。
原則四:選擇差異化的技術(shù)進行能力互補
從防護面、防護技術(shù)到防護機制,都需要差異化。在不同防護面選擇差異化的技術(shù)避免重疊可以有效增加防護面被全面突破的難度,降低攻擊成功率。其次,硬碰硬的較量在任何時候都不一定有完全的勝算,在做好攻擊識別和檢測同時,做好敏感資源、數(shù)據(jù)的防護也同樣重要。
原則五:任何的最佳實踐都不能完全照搬
行業(yè)特點決定了企業(yè)遭受攻擊的類型和風(fēng)險程度,每個企業(yè)安全建設(shè)的目標(biāo)和立足點不同,加之企業(yè)自身受保護的系統(tǒng)和資源的差別,決定了自適應(yīng)的安全防護在企業(yè)落地都需要一定程度的訂制。行業(yè)最佳實踐的分享提高了攻防的水平,但能公開能拿到的經(jīng)驗,一般都不會是完全有效的。
原則六:重視網(wǎng)絡(luò)安全團隊的能力構(gòu)建
盡管安全自動化處置的能力正在日益成熟,但技防是基礎(chǔ),人防才是保障。高級威脅從識別到響應(yīng)處置等環(huán)節(jié),都無法完全離開專業(yè)安全人員介入。此外,員工安全意識需要持續(xù)提高,企業(yè)安全制度的建立、執(zhí)行、管理、運維都是安全團隊能力構(gòu)建的重要訴求。