信息化觀察網(wǎng)

目前，高級(jí)威脅已成為企業(yè)網(wǎng)絡(luò)安全的新常態(tài)，定向攻擊總是能輕而易舉地繞過傳統(tǒng)防護(hù)系統(tǒng)的檢查機(jī)制，泛在化攻擊使所有的企業(yè)都面臨著更加持續(xù)的安全風(fēng)險(xiǎn)挑戰(zhàn)。

以防護(hù)面和防護(hù)技術(shù)為主的傳統(tǒng)邊界防護(hù)模型已逐漸失效，應(yīng)對(duì)當(dāng)下的高級(jí)威脅只靠劃分防護(hù)面和增加防護(hù)手段是不夠的。通過對(duì)現(xiàn)有的縱深防護(hù)理念與CARTA模型的分析，安全牛研究團(tuán)隊(duì)在近期開展的《企業(yè)高級(jí)威脅防護(hù)能力構(gòu)建指南》報(bào)告中，梳理出以焦點(diǎn)區(qū)域?yàn)槊妗⒎雷o(hù)機(jī)制為體、防護(hù)技術(shù)為器的新一代企業(yè)高級(jí)威脅防護(hù)能力模型，將防護(hù)區(qū)域、防護(hù)機(jī)制、防護(hù)技術(shù)定義為企業(yè)高級(jí)威脅能力構(gòu)建的三要素。

新一代企業(yè)高級(jí)威脅新防護(hù)能力模型

防護(hù)區(qū)域

防護(hù)面劃分是實(shí)施細(xì)粒度防護(hù)的基礎(chǔ)，可以保證最有效的防護(hù)措施應(yīng)用到可能被攻擊的關(guān)鍵線路上，減少攻擊橫向擴(kuò)散范圍。數(shù)字化時(shí)期高級(jí)威脅防護(hù)系統(tǒng)的防護(hù)區(qū)域應(yīng)該是多層的、遞進(jìn)的，并且應(yīng)在原來IATF的基礎(chǔ)上增加“應(yīng)用和數(shù)據(jù)”域。

防護(hù)機(jī)制

防護(hù)機(jī)制是建立保證安全防護(hù)持久化的流程體系。高級(jí)威脅防護(hù)系統(tǒng)中的防護(hù)機(jī)制應(yīng)該是動(dòng)態(tài)的，并且應(yīng)當(dāng)有多層嵌套，典型的包括攻擊防護(hù)機(jī)制、業(yè)務(wù)驗(yàn)證機(jī)制、策略合規(guī)機(jī)制。

防護(hù)技術(shù)

防護(hù)技術(shù)是防護(hù)系統(tǒng)中使用的手段和方法。高級(jí)威脅防護(hù)系統(tǒng)中技術(shù)手段不僅要多樣化，而且還應(yīng)確保差異化技術(shù)能力可以相互轉(zhuǎn)化。典型的技術(shù)手段有預(yù)測(cè)、防護(hù)、檢測(cè)和響應(yīng)。

本次研究中，安全牛對(duì)近百家企業(yè)用戶進(jìn)行了現(xiàn)場(chǎng)訪談和問卷調(diào)研，通過梳理分析上述受訪企業(yè)的高級(jí)威脅防護(hù)現(xiàn)況及實(shí)踐經(jīng)驗(yàn)，我們建議企業(yè)在高級(jí)威脅防護(hù)能力構(gòu)建中可以參考以下六項(xiàng)原則：

企業(yè)高級(jí)威脅防護(hù)能力構(gòu)建的六項(xiàng)原則

原則一：用頂層視角進(jìn)行戰(zhàn)略性安全規(guī)劃

高級(jí)威脅對(duì)抗是常態(tài)化的對(duì)抗，其特性決定企業(yè)需要用戰(zhàn)略性思維并從頂層視角統(tǒng)籌安全規(guī)劃，結(jié)合安全風(fēng)險(xiǎn)評(píng)估保證規(guī)劃結(jié)果可執(zhí)行并符合企業(yè)真實(shí)的安全訴求。除了防護(hù)面還應(yīng)考慮時(shí)間維度，以確保安全基礎(chǔ)設(shè)施在未來一段時(shí)間更持續(xù)有效；從平戰(zhàn)結(jié)合的維度考慮如何最大化基礎(chǔ)設(shè)施的成本效益；此外，企業(yè)安全戰(zhàn)略還要立足當(dāng)下，做好升維能力構(gòu)建預(yù)期。

原則二：用系統(tǒng)化的理念構(gòu)筑韌性的安全架構(gòu)

安全架構(gòu)首先要保障頂層框架設(shè)計(jì)自上而下逐層、逐面的展開。其次，由于網(wǎng)絡(luò)攻擊的多變性，安全產(chǎn)品種類多、迭代快，無序的產(chǎn)品堆疊猶如散沙在高級(jí)威脅攻擊面前不能形成戰(zhàn)斗力。任何時(shí)期的安全能力構(gòu)建都需要做好擴(kuò)展和迭代的長遠(yuǎn)考慮，系統(tǒng)/產(chǎn)品架構(gòu)比功能的選擇更重要。安全架構(gòu)設(shè)計(jì)要做好核心能力和支撐能力的規(guī)劃，并使用系統(tǒng)化和科學(xué)化的方法進(jìn)行有效的合力構(gòu)建，使安全體系圍繞核心能力螺旋狀生長，并保證在業(yè)務(wù)變化、場(chǎng)景遷移中有更好的彈性。

原則三：不能忽略基礎(chǔ)防護(hù)能力的構(gòu)建

任何一個(gè)低級(jí)漏洞利用都可能造成高級(jí)威脅的嚴(yán)重后果，沒有基礎(chǔ)防護(hù)，高級(jí)威脅構(gòu)建就猶如沙灘樓閣。基線建設(shè)、法律合規(guī)是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)防線，只有在基礎(chǔ)安全能力上才能更高效的構(gòu)建高級(jí)威脅的防護(hù)能力。但需要認(rèn)識(shí)到，安全基線建設(shè)、法律合規(guī)僅僅是企業(yè)網(wǎng)絡(luò)安全防護(hù)的紅線，不能等同于高級(jí)威脅防護(hù)能力。

原則四：選擇差異化的技術(shù)進(jìn)行能力互補(bǔ)

從防護(hù)面、防護(hù)技術(shù)到防護(hù)機(jī)制，都需要差異化。在不同防護(hù)面選擇差異化的技術(shù)避免重疊可以有效增加防護(hù)面被全面突破的難度，降低攻擊成功率。其次，硬碰硬的較量在任何時(shí)候都不一定有完全的勝算，在做好攻擊識(shí)別和檢測(cè)同時(shí)，做好敏感資源、數(shù)據(jù)的防護(hù)也同樣重要。

原則五：任何的最佳實(shí)踐都不能完全照搬

行業(yè)特點(diǎn)決定了企業(yè)遭受攻擊的類型和風(fēng)險(xiǎn)程度，每個(gè)企業(yè)安全建設(shè)的目標(biāo)和立足點(diǎn)不同，加之企業(yè)自身受保護(hù)的系統(tǒng)和資源的差別，決定了自適應(yīng)的安全防護(hù)在企業(yè)落地都需要一定程度的訂制。行業(yè)最佳實(shí)踐的分享提高了攻防的水平，但能公開能拿到的經(jīng)驗(yàn)，一般都不會(huì)是完全有效的。

原則六：重視網(wǎng)絡(luò)安全團(tuán)隊(duì)的能力構(gòu)建

盡管安全自動(dòng)化處置的能力正在日益成熟，但技防是基礎(chǔ)，人防才是保障。高級(jí)威脅從識(shí)別到響應(yīng)處置等環(huán)節(jié)，都無法完全離開專業(yè)安全人員介入。此外，員工安全意識(shí)需要持續(xù)提高，企業(yè)安全制度的建立、執(zhí)行、管理、運(yùn)維都是安全團(tuán)隊(duì)能力構(gòu)建的重要訴求。