隨著信息技術(shù)邁入“云大物移智”時(shí)代，網(wǎng)絡(luò)安全形勢(shì)也發(fā)生了深刻的變化。但在實(shí)際工作中，很多企業(yè)安全建設(shè)的重點(diǎn)仍舊是由合規(guī)驅(qū)動(dòng)的安全產(chǎn)品采購(gòu)，在體系化和持續(xù)性方面存在較大不足，同時(shí)對(duì)實(shí)際具備的安全能力缺乏評(píng)估手段。在此背景下構(gòu)建的安全防護(hù)體系建設(shè)，在面對(duì)當(dāng)前新型網(wǎng)絡(luò)安全攻擊時(shí)，往往會(huì)表現(xiàn)的不堪一擊。

　　在2015年，美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)（SANS）提出了一種科學(xué)規(guī)劃網(wǎng)絡(luò)安全建設(shè)投入的滑動(dòng)標(biāo)尺模型，將網(wǎng)絡(luò)安全體系建設(shè)過(guò)程階段化，按照每個(gè)階段的建設(shè)水平來(lái)對(duì)安全防護(hù)能力進(jìn)行評(píng)估，從而指導(dǎo)企業(yè)未來(lái)安全防護(hù)能力的建設(shè)。該模型的防護(hù)思路，目前在國(guó)內(nèi)一些領(lǐng)先機(jī)構(gòu)的網(wǎng)絡(luò)安全規(guī)劃與建設(shè)中已開始借鑒與使用，但總的來(lái)說(shuō)，國(guó)內(nèi)的應(yīng)用深度與廣度仍有不足。但其疊加演進(jìn)的安全建設(shè)思想，與新一代網(wǎng)絡(luò)安全體系建設(shè)理念高度符合，對(duì)現(xiàn)代企業(yè)如何科學(xué)做好安全預(yù)算、優(yōu)化資源配置、改進(jìn)建設(shè)效果等有著較強(qiáng)的指引價(jià)值。

　　01 滑動(dòng)標(biāo)尺模型的價(jià)值

　　研究人員發(fā)現(xiàn)，企業(yè)現(xiàn)階段網(wǎng)絡(luò)安全工作建設(shè)中的不足主要包括以下幾點(diǎn)：

　　忽視科學(xué)的體系化安全架構(gòu)。目前，很多企業(yè)仍把單點(diǎn)化的安全設(shè)備采購(gòu)作為安全防護(hù)建設(shè)的重點(diǎn)，對(duì)信息系統(tǒng)自身的架構(gòu)安全缺乏重視，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備三大件仍是采購(gòu)主要對(duì)象。

　　安全運(yùn)營(yíng)能力不足。網(wǎng)絡(luò)安全工作對(duì)專業(yè)化人才及能力要求很高，目前很多企業(yè)缺少人才積累，導(dǎo)致了很多安全設(shè)備無(wú)法真正的發(fā)揮出應(yīng)有的價(jià)值，在遇到突發(fā)性安全事件時(shí)無(wú)法進(jìn)行快速定位及應(yīng)急響應(yīng)。

　　缺乏安全能力評(píng)估措施。安全是一個(gè)動(dòng)態(tài)、對(duì)抗的過(guò)程，不能僅以滿足合規(guī)要求來(lái)推動(dòng)安全建設(shè)。企業(yè)需要對(duì)真實(shí)具備的安全能力或安全建設(shè)成熟度進(jìn)行客觀評(píng)價(jià)，及時(shí)發(fā)現(xiàn)安全能力的不足或隱患。

　　針對(duì)以上不足，迫切需要引入新思路、新技術(shù)和新方案來(lái)對(duì)現(xiàn)有安全防護(hù)體系進(jìn)行優(yōu)化和改造。而應(yīng)用網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型可以為組織平衡網(wǎng)絡(luò)安全資源和技能投入提供參考框架?；瑒?dòng)標(biāo)尺模型不僅可以展示各防御階段的重點(diǎn)，同時(shí)也提出了企業(yè)進(jìn)行信息安全建設(shè)時(shí)的部署步驟建議。通過(guò)參考借鑒滑動(dòng)標(biāo)尺模型，企業(yè)在進(jìn)行安全規(guī)劃和建設(shè)時(shí)，可以基于自身的資源和現(xiàn)狀對(duì)目前工作進(jìn)行優(yōu)化和改進(jìn)。

　　圖表 1 滑動(dòng)標(biāo)尺模型

　　滑動(dòng)標(biāo)尺模型可應(yīng)用在多個(gè)方面，包括：

　　向非技術(shù)人員解釋安全技術(shù)問(wèn)題；

　　明確資源投入優(yōu)先級(jí)、追蹤資源和技能投入情況；

　　評(píng)估企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全防護(hù)能力實(shí)際水平；

　　確認(rèn)網(wǎng)絡(luò)安全事件的溯源分析是否準(zhǔn)確。

　　滑動(dòng)標(biāo)尺模型的核心在于“動(dòng)”字，各防御分類不是孤立靜態(tài)的。首先，同一項(xiàng)技術(shù)的應(yīng)用場(chǎng)景不同，可能所屬的分類就不同；其次，企業(yè)的資源投入不能停留在一個(gè)分類，而是著重放在一個(gè)分類，并不斷地根據(jù)自身情況在多個(gè)分類同時(shí)部署或升級(jí)；最后，安全建設(shè)不是孤立的，只有做好左側(cè)的防御分類，才能讓右側(cè)的防御以及合法進(jìn)攻反制分類發(fā)揮最大價(jià)值。

　　需要指出的是，滑動(dòng)標(biāo)尺模型是一個(gè)宏觀模型，在進(jìn)行具體建設(shè)布局和產(chǎn)品采購(gòu)時(shí)，還需要結(jié)合PPDR模型、殺傷鏈模型等，進(jìn)一步制定安全建設(shè)工作的落實(shí)細(xì)則。

　　02 滑動(dòng)標(biāo)尺模型的分類

　　通過(guò)網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型，企業(yè)可以了解自身所處的階段，以及未來(lái)建設(shè)時(shí)應(yīng)該采取的措施和投入，一共可以分為五大類：框架安全、被動(dòng)防御、積極防御、威脅情報(bào)及進(jìn)攻反制。每個(gè)分類的投入回報(bào)比不同，能夠抵御的威脅攻擊類型也不同，組織可以根據(jù)自身的情況將安全投入放到不同分類中。

　　架構(gòu)安全

　　定義：在系統(tǒng)進(jìn)行規(guī)劃、工程管理和設(shè)計(jì)時(shí)，引入架構(gòu)安全措施。企業(yè)需要將網(wǎng)絡(luò)安全思想融入到網(wǎng)絡(luò)建設(shè)之初，將業(yè)務(wù)應(yīng)用、網(wǎng)絡(luò)建設(shè)、安全規(guī)劃融合到一體，采用增加安全性的措施，減少攻擊面，并提升響應(yīng)速度。

　　特點(diǎn)：網(wǎng)絡(luò)安全建設(shè)的基石。

　　主要模型：NIST800系列模型、普度模型（PERA）、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）。

　　主要技術(shù)：網(wǎng)段劃分、補(bǔ)丁管理、供應(yīng)鏈管理、員工管理、安全規(guī)劃。

　　落地建議：架構(gòu)安全是企業(yè)能夠以最小的開銷獲得最大安全價(jià)值的方法，因此也是最需要重視的方法。我們建議，企業(yè)可以從管理和建設(shè)兩個(gè)維度做好架構(gòu)安全。從建設(shè)維度，可以參照等保2.0中的網(wǎng)絡(luò)架構(gòu)安全，構(gòu)建清晰的企業(yè)網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D，列好資產(chǎn)清單，同步做好網(wǎng)絡(luò)建設(shè)規(guī)劃和安全建設(shè)規(guī)劃。從管理維度，依照ISO 27001的管理體系構(gòu)建相應(yīng)的管理要求。

　　被動(dòng)防御

　　定義：在無(wú)人員介入的情況下，附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。被動(dòng)防御保護(hù)資產(chǎn)，阻止或限制已知安全漏洞被利用、已知安全風(fēng)險(xiǎn)的發(fā)生。被動(dòng)防御更多依賴靜態(tài)的規(guī)則，因此需要持續(xù)的優(yōu)化升級(jí)。

　　特點(diǎn)：網(wǎng)絡(luò)安全建設(shè)的起始階段，也是核心投入階段。

　　主要模型：縱深防御模型、NIST網(wǎng)絡(luò)安全架構(gòu)。

　　主要技術(shù)：樣本系統(tǒng)，如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)和類似的傳統(tǒng)安全系統(tǒng)。

　　落地建議：被動(dòng)防御是企業(yè)所需要做的基礎(chǔ)安全防護(hù)工作，在建設(shè)時(shí)可以參照等保2.0中的安全區(qū)域邊界和安全計(jì)算環(huán)境進(jìn)行構(gòu)建。被動(dòng)防御涉及的技術(shù)已較為成熟，企業(yè)在進(jìn)行產(chǎn)品選型時(shí)，可以先對(duì)積極防御階段進(jìn)行規(guī)劃，然后依據(jù)積極防御時(shí)的產(chǎn)品選擇，進(jìn)行被動(dòng)階段防御產(chǎn)品選型。

　　積極防御

　　定義：分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)（經(jīng)驗(yàn)）和應(yīng)用知識(shí)（理解）的過(guò)程。積極防御階段注重人工的參與，在這一階段人工將結(jié)合工具對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)的監(jiān)督與分析，對(duì)風(fēng)險(xiǎn)采用動(dòng)態(tài)的分析策略，與實(shí)際網(wǎng)絡(luò)態(tài)勢(shì)、業(yè)務(wù)相結(jié)合，與攻擊者的能力進(jìn)行對(duì)抗。

　　特點(diǎn)：網(wǎng)絡(luò)安全建設(shè)的進(jìn)階階段，一般需要能達(dá)到的階段。

　　主要模型：主動(dòng)網(wǎng)絡(luò)防御周期、網(wǎng)絡(luò)安全監(jiān)控。

　　圖表 2 積極網(wǎng)絡(luò)防御周期

　　主要技術(shù)：SIEM、威脅情報(bào)消費(fèi)、網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng)。

　　參與人員：事件響應(yīng)人、惡意軟件逆向工程師、威脅分析師、網(wǎng)絡(luò)安全監(jiān)控分析師。

　　落地建議：積極防御階段既要求產(chǎn)品的能力，也要求了人員能力素養(yǎng)。積極防御的建設(shè)可參照等保2.0中的安全管理中心進(jìn)行建設(shè)。積極防御的建設(shè)落地需要產(chǎn)品和人員同步進(jìn)行，人員能力可以通過(guò)雇傭?qū)I(yè)的信息安全人員，或者采購(gòu)信息安全服務(wù)方式獲得。

　　威脅情報(bào)

　　定義：收集數(shù)據(jù)，將數(shù)據(jù)利用轉(zhuǎn)換為信息，并將信息生產(chǎn)加工。威脅情報(bào)是情報(bào)的一種，即收集信息分析并創(chuàng)建的有關(guān)攻擊者的情報(bào)。情報(bào)需要做到：威脅是切實(shí)能夠?qū)追接脩粼斐赏{；情報(bào)必須能夠被實(shí)際利用。情報(bào)需要結(jié)合甲方用戶的實(shí)際情況，并妥善使用。使用者的實(shí)際情況包括網(wǎng)絡(luò)情況、業(yè)務(wù)情況、安全防護(hù)情況等。因此情報(bào)依賴于前三分類的狀態(tài)。

　　特點(diǎn)：網(wǎng)絡(luò)安全主動(dòng)防御建設(shè)，必須與實(shí)際情況緊密結(jié)合。

　　主要模型：網(wǎng)絡(luò)殺傷鏈模型、ATT&CK模型、鉆石模型、情報(bào)生命周期。

　　圖表 3 威脅情報(bào)生成系統(tǒng)

　　主要技術(shù)：威脅情報(bào)生成、蜜罐。

　　落地建議：情報(bào)更多的是指主動(dòng)生成威脅情報(bào)的過(guò)程，企業(yè)最直接的生成威脅情報(bào)的方式就是部署蜜罐系統(tǒng)。企業(yè)在部署蜜罐、蜜網(wǎng)等系統(tǒng)時(shí)，同時(shí)也需要與服務(wù)共同采購(gòu)。

　　進(jìn)攻反制

　　定義：對(duì)抗攻擊者的法律反制措施、自衛(wèi)反擊行為。這是一種提升自身網(wǎng)絡(luò)安全的進(jìn)攻行為，因?yàn)橥ǔＴ诤戏ㄐ缘倪吘売巫?。?duì)于民間機(jī)構(gòu)，這些行為可能形成負(fù)面影響，帶來(lái)法律風(fēng)險(xiǎn)，因此不建議直接采用這類方法進(jìn)行防護(hù)，但可以引入“主動(dòng)出擊”的思想和合法反制措施，來(lái)提升自身防攻擊能力。

　　特點(diǎn)：本階段屬于網(wǎng)絡(luò)安全建設(shè)的較高目標(biāo)，通過(guò)模擬攻擊和合法反制來(lái)提升網(wǎng)絡(luò)的抗攻擊能力。

　　主要技術(shù)：攻擊溯源、攻防實(shí)驗(yàn)室、紅藍(lán)隊(duì)攻防演練。

　　落地建議：通過(guò)對(duì)攻擊溯源，獲得攻擊者的準(zhǔn)確信息，利用法律手段或其他合法手段進(jìn)行反制；建立攻防實(shí)驗(yàn)室，對(duì)組織的重要系統(tǒng)進(jìn)行模擬攻擊，來(lái)驗(yàn)證防護(hù)手段的健狀性；組織紅藍(lán)隊(duì)攻防演練，在實(shí)戰(zhàn)中不斷提升網(wǎng)絡(luò)抗攻擊能力。

　　03 滑動(dòng)標(biāo)尺模型應(yīng)用建議

　　滑動(dòng)標(biāo)尺是一種能力疊加演進(jìn)的安全思想，左側(cè)是右側(cè)的基礎(chǔ)，右側(cè)是應(yīng)對(duì)更高級(jí)威脅的能力。只有在具備堅(jiān)實(shí)的安全基礎(chǔ)前提下，才能實(shí)現(xiàn)從被動(dòng)到主動(dòng)的防御。從左到右是安全能力的提升，也是安全成本的提升，企業(yè)在進(jìn)行安全架構(gòu)選型時(shí)，需根據(jù)自身所面臨的的風(fēng)險(xiǎn)以及預(yù)算能力，選擇適合自己的安全防護(hù)建設(shè)模式。

　　企業(yè)整體安全能力建設(shè)

　　對(duì)于需要進(jìn)行體系化網(wǎng)絡(luò)能力建設(shè)的企業(yè)，我們建議將重心放置在架構(gòu)安全上。在進(jìn)行安全規(guī)劃時(shí)，可優(yōu)先做好架構(gòu)安全、被動(dòng)防御和積極防御三個(gè)階段的防護(hù)建設(shè)。

　　在進(jìn)行網(wǎng)絡(luò)安全實(shí)際建設(shè)過(guò)程中，組織則需要優(yōu)先將安全預(yù)算落實(shí)在網(wǎng)絡(luò)建設(shè)、被動(dòng)防御兩個(gè)分類當(dāng)中。

　　企業(yè)原有安全能力升級(jí)

　　對(duì)于已有一定安全基礎(chǔ)，需要在此基礎(chǔ)上優(yōu)化提升的企業(yè)，我們建議：

　　01 評(píng)估自身網(wǎng)絡(luò)安全能力成熟度

　　企業(yè)可以選擇網(wǎng)絡(luò)安全能力成熟度模型模型（C2M2），以簡(jiǎn)單普適性的方法快速對(duì)企業(yè)安全現(xiàn)狀進(jìn)行評(píng)估。

　　圖表 4 C2M2模型

　　C2M2模型的10個(gè)域可對(duì)應(yīng)到滑動(dòng)標(biāo)尺模型的5個(gè)分類：

　　圖表 5 滑動(dòng)標(biāo)尺模型與C2M2模型對(duì)應(yīng)

　　C2M2模型的10個(gè)域可根據(jù)實(shí)際情況分為四個(gè)成熟度，通過(guò)計(jì)算滑動(dòng)標(biāo)尺每個(gè)分類中各域的平均成熟度，可以得出相應(yīng)分類的成熟度值。

　　02 評(píng)估自身面臨的客觀安全風(fēng)險(xiǎn)

　　安全風(fēng)險(xiǎn)分為外部攻擊者意圖帶來(lái)的風(fēng)險(xiǎn)和自身業(yè)務(wù)帶來(lái)的風(fēng)險(xiǎn)。根據(jù)Check Point《2022年安全報(bào)告》，教育行業(yè)、政府、通訊機(jī)構(gòu)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。不同行業(yè)的情報(bào)價(jià)值、整體防護(hù)能力是不同的，攻擊者可能依據(jù)行業(yè)選擇攻擊目標(biāo)。此外，企業(yè)業(yè)務(wù)開放數(shù)量也會(huì)影響企業(yè)信息資產(chǎn)的互聯(lián)網(wǎng)暴露面，從而提升安全風(fēng)險(xiǎn)。

　　03 評(píng)估自身資源情況

　　自身資源狀況是指可應(yīng)用于網(wǎng)絡(luò)安全建設(shè)的人力、物力、財(cái)力。資源數(shù)量的核心在于管理層對(duì)網(wǎng)絡(luò)安全建設(shè)的認(rèn)可程度，網(wǎng)絡(luò)安全一般被認(rèn)為是信息系統(tǒng)建設(shè)的伴生產(chǎn)物，無(wú)法直接產(chǎn)生經(jīng)濟(jì)效益，因此不同的領(lǐng)導(dǎo)者對(duì)網(wǎng)絡(luò)安全的態(tài)度不同。在評(píng)估自身資源現(xiàn)狀時(shí)，一方面要評(píng)估已有網(wǎng)絡(luò)安全預(yù)算數(shù)量和專業(yè)的安全人員，另一方面也要評(píng)估管理層對(duì)網(wǎng)絡(luò)安全的態(tài)度，以對(duì)未來(lái)網(wǎng)絡(luò)安全建設(shè)進(jìn)行整體把控。

　　04 評(píng)估下一步安全建設(shè)方向

　　在進(jìn)行下一步安全可遵循以下原則：

　　高安全風(fēng)險(xiǎn)企業(yè)可將資源分布到滑動(dòng)標(biāo)尺模型的各個(gè)分類中，向各個(gè)方面平衡進(jìn)行安全投入。而低安全風(fēng)險(xiǎn)企業(yè)，則可以將預(yù)算資源重點(diǎn)左移。

　　當(dāng)資源豐富時(shí)，可多個(gè)分類均衡布局，如果未來(lái)安全預(yù)算明確，可從左到右依次布局。如果網(wǎng)絡(luò)資源不夠豐富，則優(yōu)先選擇左移部署。

　　優(yōu)先升級(jí)左側(cè)區(qū)域的安全成熟度。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<