《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 從滑動標尺模型看企業(yè)網(wǎng)絡(luò)安全能力評估與建設(shè)

從滑動標尺模型看企業(yè)網(wǎng)絡(luò)安全能力評估與建設(shè)

2022-11-08
來源:安全牛
關(guān)鍵詞: 滑動標尺

  隨著信息技術(shù)邁入“云大物移智”時代,,網(wǎng)絡(luò)安全形勢也發(fā)生了深刻的變化,。但在實際工作中,很多企業(yè)安全建設(shè)的重點仍舊是由合規(guī)驅(qū)動的安全產(chǎn)品采購,,在體系化和持續(xù)性方面存在較大不足,,同時對實際具備的安全能力缺乏評估手段,。在此背景下構(gòu)建的安全防護體系建設(shè),在面對當(dāng)前新型網(wǎng)絡(luò)安全攻擊時,,往往會表現(xiàn)的不堪一擊,。

  在2015年,美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS)提出了一種科學(xué)規(guī)劃網(wǎng)絡(luò)安全建設(shè)投入的滑動標尺模型,,將網(wǎng)絡(luò)安全體系建設(shè)過程階段化,,按照每個階段的建設(shè)水平來對安全防護能力進行評估,從而指導(dǎo)企業(yè)未來安全防護能力的建設(shè),。該模型的防護思路,,目前在國內(nèi)一些領(lǐng)先機構(gòu)的網(wǎng)絡(luò)安全規(guī)劃與建設(shè)中已開始借鑒與使用,但總的來說,,國內(nèi)的應(yīng)用深度與廣度仍有不足,。但其疊加演進的安全建設(shè)思想,與新一代網(wǎng)絡(luò)安全體系建設(shè)理念高度符合,,對現(xiàn)代企業(yè)如何科學(xué)做好安全預(yù)算,、優(yōu)化資源配置、改進建設(shè)效果等有著較強的指引價值,。

  01 滑動標尺模型的價值

  研究人員發(fā)現(xiàn),,企業(yè)現(xiàn)階段網(wǎng)絡(luò)安全工作建設(shè)中的不足主要包括以下幾點:

  忽視科學(xué)的體系化安全架構(gòu)。目前,,很多企業(yè)仍把單點化的安全設(shè)備采購作為安全防護建設(shè)的重點,,對信息系統(tǒng)自身的架構(gòu)安全缺乏重視,傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備三大件仍是采購主要對象,。

  安全運營能力不足,。網(wǎng)絡(luò)安全工作對專業(yè)化人才及能力要求很高,目前很多企業(yè)缺少人才積累,,導(dǎo)致了很多安全設(shè)備無法真正的發(fā)揮出應(yīng)有的價值,,在遇到突發(fā)性安全事件時無法進行快速定位及應(yīng)急響應(yīng)。

  缺乏安全能力評估措施,。安全是一個動態(tài),、對抗的過程,不能僅以滿足合規(guī)要求來推動安全建設(shè),。企業(yè)需要對真實具備的安全能力或安全建設(shè)成熟度進行客觀評價,,及時發(fā)現(xiàn)安全能力的不足或隱患,。

  針對以上不足,迫切需要引入新思路,、新技術(shù)和新方案來對現(xiàn)有安全防護體系進行優(yōu)化和改造,。而應(yīng)用網(wǎng)絡(luò)安全滑動標尺模型可以為組織平衡網(wǎng)絡(luò)安全資源和技能投入提供參考框架?;瑒訕顺吣P筒粌H可以展示各防御階段的重點,,同時也提出了企業(yè)進行信息安全建設(shè)時的部署步驟建議。通過參考借鑒滑動標尺模型,,企業(yè)在進行安全規(guī)劃和建設(shè)時,,可以基于自身的資源和現(xiàn)狀對目前工作進行優(yōu)化和改進。

  微信圖片_20221108140200.png

  圖表 1 滑動標尺模型

  滑動標尺模型可應(yīng)用在多個方面,,包括:

  向非技術(shù)人員解釋安全技術(shù)問題,;

  明確資源投入優(yōu)先級、追蹤資源和技能投入情況,;

  評估企業(yè)的網(wǎng)絡(luò)安全風(fēng)險和安全防護能力實際水平,;

  確認網(wǎng)絡(luò)安全事件的溯源分析是否準確。

  滑動標尺模型的核心在于“動”字,,各防御分類不是孤立靜態(tài)的,。首先,同一項技術(shù)的應(yīng)用場景不同,,可能所屬的分類就不同,;其次,企業(yè)的資源投入不能停留在一個分類,,而是著重放在一個分類,,并不斷地根據(jù)自身情況在多個分類同時部署或升級;最后,,安全建設(shè)不是孤立的,只有做好左側(cè)的防御分類,,才能讓右側(cè)的防御以及合法進攻反制分類發(fā)揮最大價值,。

  需要指出的是,滑動標尺模型是一個宏觀模型,,在進行具體建設(shè)布局和產(chǎn)品采購時,,還需要結(jié)合PPDR模型、殺傷鏈模型等,,進一步制定安全建設(shè)工作的落實細則,。

  02 滑動標尺模型的分類

  通過網(wǎng)絡(luò)安全滑動標尺模型,企業(yè)可以了解自身所處的階段,,以及未來建設(shè)時應(yīng)該采取的措施和投入,,一共可以分為五大類:框架安全,、被動防御、積極防御,、威脅情報及進攻反制,。每個分類的投入回報比不同,能夠抵御的威脅攻擊類型也不同,,組織可以根據(jù)自身的情況將安全投入放到不同分類中,。

  微信圖片_20221108140202.png

  架構(gòu)安全

  定義:在系統(tǒng)進行規(guī)劃、工程管理和設(shè)計時,,引入架構(gòu)安全措施,。企業(yè)需要將網(wǎng)絡(luò)安全思想融入到網(wǎng)絡(luò)建設(shè)之初,將業(yè)務(wù)應(yīng)用,、網(wǎng)絡(luò)建設(shè),、安全規(guī)劃融合到一體,采用增加安全性的措施,,減少攻擊面,,并提升響應(yīng)速度。

  特點:網(wǎng)絡(luò)安全建設(shè)的基石,。

  主要模型:NIST800系列模型,、普度模型(PERA)、支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS),。

  主要技術(shù):網(wǎng)段劃分,、補丁管理、供應(yīng)鏈管理,、員工管理,、安全規(guī)劃。

  落地建議:架構(gòu)安全是企業(yè)能夠以最小的開銷獲得最大安全價值的方法,,因此也是最需要重視的方法,。我們建議,企業(yè)可以從管理和建設(shè)兩個維度做好架構(gòu)安全,。從建設(shè)維度,,可以參照等保2.0中的網(wǎng)絡(luò)架構(gòu)安全,構(gòu)建清晰的企業(yè)網(wǎng)絡(luò)架構(gòu)拓撲圖,,列好資產(chǎn)清單,,同步做好網(wǎng)絡(luò)建設(shè)規(guī)劃和安全建設(shè)規(guī)劃。從管理維度,,依照ISO 27001的管理體系構(gòu)建相應(yīng)的管理要求,。

  被動防御

  定義:在無人員介入的情況下,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。被動防御保護資產(chǎn),,阻止或限制已知安全漏洞被利用,、已知安全風(fēng)險的發(fā)生。被動防御更多依賴靜態(tài)的規(guī)則,,因此需要持續(xù)的優(yōu)化升級,。

  特點:網(wǎng)絡(luò)安全建設(shè)的起始階段,也是核心投入階段,。

  主要模型:縱深防御模型,、NIST網(wǎng)絡(luò)安全架構(gòu)。

  主要技術(shù):樣本系統(tǒng),,如防火墻,、反惡意軟件系統(tǒng)、入侵防御系統(tǒng),、防病毒系統(tǒng),、入侵檢測系統(tǒng)和類似的傳統(tǒng)安全系統(tǒng)。

  落地建議:被動防御是企業(yè)所需要做的基礎(chǔ)安全防護工作,,在建設(shè)時可以參照等保2.0中的安全區(qū)域邊界和安全計算環(huán)境進行構(gòu)建,。被動防御涉及的技術(shù)已較為成熟,企業(yè)在進行產(chǎn)品選型時,,可以先對積極防御階段進行規(guī)劃,,然后依據(jù)積極防御時的產(chǎn)品選擇,進行被動階段防御產(chǎn)品選型,。

  積極防御

  定義:分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進行監(jiān)控,、響應(yīng)、學(xué)習(xí)(經(jīng)驗)和應(yīng)用知識(理解)的過程,。積極防御階段注重人工的參與,,在這一階段人工將結(jié)合工具對網(wǎng)絡(luò)進行持續(xù)的監(jiān)督與分析,對風(fēng)險采用動態(tài)的分析策略,,與實際網(wǎng)絡(luò)態(tài)勢,、業(yè)務(wù)相結(jié)合,與攻擊者的能力進行對抗,。

  特點:網(wǎng)絡(luò)安全建設(shè)的進階階段,,一般需要能達到的階段。

  主要模型:主動網(wǎng)絡(luò)防御周期,、網(wǎng)絡(luò)安全監(jiān)控,。

  微信圖片_20221108140205.png

  圖表 2 積極網(wǎng)絡(luò)防御周期

  主要技術(shù):SIEM,、威脅情報消費,、網(wǎng)絡(luò)安全監(jiān)控、事件響應(yīng),。

  參與人員:事件響應(yīng)人,、惡意軟件逆向工程師,、威脅分析師、網(wǎng)絡(luò)安全監(jiān)控分析師,。

  落地建議:積極防御階段既要求產(chǎn)品的能力,,也要求了人員能力素養(yǎng)。積極防御的建設(shè)可參照等保2.0中的安全管理中心進行建設(shè),。積極防御的建設(shè)落地需要產(chǎn)品和人員同步進行,,人員能力可以通過雇傭?qū)I(yè)的信息安全人員,或者采購信息安全服務(wù)方式獲得,。

  威脅情報

  定義:收集數(shù)據(jù),,將數(shù)據(jù)利用轉(zhuǎn)換為信息,并將信息生產(chǎn)加工,。威脅情報是情報的一種,,即收集信息分析并創(chuàng)建的有關(guān)攻擊者的情報。情報需要做到:威脅是切實能夠?qū)追接脩粼斐赏{,;情報必須能夠被實際利用,。情報需要結(jié)合甲方用戶的實際情況,并妥善使用,。使用者的實際情況包括網(wǎng)絡(luò)情況,、業(yè)務(wù)情況、安全防護情況等,。因此情報依賴于前三分類的狀態(tài),。

  特點:網(wǎng)絡(luò)安全主動防御建設(shè),必須與實際情況緊密結(jié)合,。

  主要模型:網(wǎng)絡(luò)殺傷鏈模型,、ATT&CK模型、鉆石模型,、情報生命周期,。

  微信圖片_20221108140207.png

  圖表 3 威脅情報生成系統(tǒng)

  主要技術(shù):威脅情報生成、蜜罐,。

  落地建議:情報更多的是指主動生成威脅情報的過程,,企業(yè)最直接的生成威脅情報的方式就是部署蜜罐系統(tǒng)。企業(yè)在部署蜜罐,、蜜網(wǎng)等系統(tǒng)時,,同時也需要與服務(wù)共同采購。

  進攻反制

  定義:對抗攻擊者的法律反制措施,、自衛(wèi)反擊行為,。這是一種提升自身網(wǎng)絡(luò)安全的進攻行為,因為通常在合法性的邊緣游走。對于民間機構(gòu),,這些行為可能形成負面影響,,帶來法律風(fēng)險,因此不建議直接采用這類方法進行防護,,但可以引入“主動出擊”的思想和合法反制措施,,來提升自身防攻擊能力。

  特點:本階段屬于網(wǎng)絡(luò)安全建設(shè)的較高目標,,通過模擬攻擊和合法反制來提升網(wǎng)絡(luò)的抗攻擊能力,。

  主要技術(shù):攻擊溯源、攻防實驗室,、紅藍隊攻防演練,。

  落地建議:通過對攻擊溯源,獲得攻擊者的準確信息,,利用法律手段或其他合法手段進行反制,;建立攻防實驗室,對組織的重要系統(tǒng)進行模擬攻擊,,來驗證防護手段的健狀性,;組織紅藍隊攻防演練,在實戰(zhàn)中不斷提升網(wǎng)絡(luò)抗攻擊能力,。

  03 滑動標尺模型應(yīng)用建議

  滑動標尺是一種能力疊加演進的安全思想,,左側(cè)是右側(cè)的基礎(chǔ),右側(cè)是應(yīng)對更高級威脅的能力,。只有在具備堅實的安全基礎(chǔ)前提下,,才能實現(xiàn)從被動到主動的防御。從左到右是安全能力的提升,,也是安全成本的提升,,企業(yè)在進行安全架構(gòu)選型時,需根據(jù)自身所面臨的的風(fēng)險以及預(yù)算能力,,選擇適合自己的安全防護建設(shè)模式,。

  企業(yè)整體安全能力建設(shè)

  對于需要進行體系化網(wǎng)絡(luò)能力建設(shè)的企業(yè),我們建議將重心放置在架構(gòu)安全上,。在進行安全規(guī)劃時,,可優(yōu)先做好架構(gòu)安全、被動防御和積極防御三個階段的防護建設(shè),。

  在進行網(wǎng)絡(luò)安全實際建設(shè)過程中,,組織則需要優(yōu)先將安全預(yù)算落實在網(wǎng)絡(luò)建設(shè)、被動防御兩個分類當(dāng)中,。

  企業(yè)原有安全能力升級

  對于已有一定安全基礎(chǔ),,需要在此基礎(chǔ)上優(yōu)化提升的企業(yè),,我們建議:

  01 評估自身網(wǎng)絡(luò)安全能力成熟度

  企業(yè)可以選擇網(wǎng)絡(luò)安全能力成熟度模型模型(C2M2),以簡單普適性的方法快速對企業(yè)安全現(xiàn)狀進行評估,。

  微信圖片_20221108140210.png

  圖表 4 C2M2模型

  C2M2模型的10個域可對應(yīng)到滑動標尺模型的5個分類:

  微信圖片_20221108140212.jpg

  圖表 5 滑動標尺模型與C2M2模型對應(yīng)

  C2M2模型的10個域可根據(jù)實際情況分為四個成熟度,通過計算滑動標尺每個分類中各域的平均成熟度,,可以得出相應(yīng)分類的成熟度值,。

  02 評估自身面臨的客觀安全風(fēng)險

  安全風(fēng)險分為外部攻擊者意圖帶來的風(fēng)險和自身業(yè)務(wù)帶來的風(fēng)險。根據(jù)Check Point《2022年安全報告》,,教育行業(yè),、政府、通訊機構(gòu)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),。不同行業(yè)的情報價值,、整體防護能力是不同的,攻擊者可能依據(jù)行業(yè)選擇攻擊目標,。此外,,企業(yè)業(yè)務(wù)開放數(shù)量也會影響企業(yè)信息資產(chǎn)的互聯(lián)網(wǎng)暴露面,從而提升安全風(fēng)險,。

  03 評估自身資源情況

  自身資源狀況是指可應(yīng)用于網(wǎng)絡(luò)安全建設(shè)的人力,、物力、財力,。資源數(shù)量的核心在于管理層對網(wǎng)絡(luò)安全建設(shè)的認可程度,,網(wǎng)絡(luò)安全一般被認為是信息系統(tǒng)建設(shè)的伴生產(chǎn)物,無法直接產(chǎn)生經(jīng)濟效益,,因此不同的領(lǐng)導(dǎo)者對網(wǎng)絡(luò)安全的態(tài)度不同,。在評估自身資源現(xiàn)狀時,一方面要評估已有網(wǎng)絡(luò)安全預(yù)算數(shù)量和專業(yè)的安全人員,,另一方面也要評估管理層對網(wǎng)絡(luò)安全的態(tài)度,,以對未來網(wǎng)絡(luò)安全建設(shè)進行整體把控。

  04 評估下一步安全建設(shè)方向

  在進行下一步安全可遵循以下原則:

  高安全風(fēng)險企業(yè)可將資源分布到滑動標尺模型的各個分類中,,向各個方面平衡進行安全投入,。而低安全風(fēng)險企業(yè),則可以將預(yù)算資源重點左移,。

  當(dāng)資源豐富時,,可多個分類均衡布局,如果未來安全預(yù)算明確,,可從左到右依次布局,。如果網(wǎng)絡(luò)資源不夠豐富,則優(yōu)先選擇左移部署,。

  優(yōu)先升級左側(cè)區(qū)域的安全成熟度,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]