安全模型中的4个P

 引言:在安全模型中,经常会碰到PDR,PPDR,IPDRR,CARTA-PPDR等模型,其中的P,是predict?是prevent?还是protect?还是policy呢?

一、4P字典意思解释

1、predict:动词,预测的意思,to say that something will happen in the future;

2、prevent:动词,预防、阻止的意思,to stop somebody from doing something; to stop something from happening

3、protect:动词,保护的意思,to make sure that somebody/something is not harmed, injured, damaged, etc。protection,名词,更多时候解释为防护。

4、policy:名词,策略的意思。a plan of action agreed or chosen by a political party, a business, etc.

predict预测和policy策略,比较好理解,但prevent 和protect没那么好理解,Quora上关于prevention 和protection的区别讨论,总结来说,

prevention偏向对动作的预防,即事件还没发生;

protection偏向对发生中的动作带来危害的保护。

二、模型简述

2.1 PDR

        PDR,即Protection-Detection-Response模型,被业界认为是基于时间计算的安全保护模型,其架构如下如所示:

        通常认为,只要保护时间大于检测与响应的时间之和,即:Pt>Dt+Rt,系统就是安全的。这种用数学公式就体现出了安全是攻防对抗中的时间差,简单明了,与当前安全建设都在追求降低MTTD和MTTR的思想是一致的。

参考:PDR模型_北京安软天地

2.2 PPDR(P2DR)

        PPDR(P2DR),及 Policy-Protection-Detection-Response,是PDR模型的升级,在PDR模型的基础上,增加了policy(策略),其架构通常如下所示:

        P2DR在PDR的基础上增加的policy,开始将焦点放到策略制定与调整上,使得整个模型趋向动态防护,且在防御维度上更加具有立体感,网上关于二者的区别做了阐述。

参考:pdr和ppdr模型学习 - 修心而结网 - 博客园

2.3 IPDRR

        IPDRR,即Identify- Protect-Detect- Respond- Recover,是NIST Cybersecurity Framework的5要素,其基本框架如下所示:

NIST官网最近公布了新的草案,适用范围由原来的关键基础设施扩大世界所有组织,且在原来框架的基础上,增加了治理层GOVERN。

参考:NIST 网络安全框架导读_nist cybersecurity framework_云上笛暮的博客-CSDN博客

2.4 CARTA

        CARTA,即Continuous Adaptive Risk and Trust Assessment(持续的适应性风险和信任评估),为什么将CARTA加入此次对比?因为CARTA其实是Gartner提出的ASA架构的3.0版本,而ASA架构是基于PPDR(Predict-Prevent-Detect-Respond)设计的。乍看起来也是“PPDR”,但显然与2.2节中的PPDR不是同一个事情。

 自适应安全架构描述了一种方法,该方法使用综合策略的组合来帮助企业领先于网络犯罪分子,采取灵活的安全措施以尽可能敏捷的方式保护数据和系统,而不是依赖过时的外围防御策略。

自适应安全架构是企业安全免疫系统。自适应安全架构 (ASA) 基于使用自适应和动态操作方式来维护数据、系统及其生存能力的完整性的解决方案。为了扩展生物生态系统和企业 IT 基础设施之间的并行性,ASA 遵循达尔文“适应或死亡”的概念。成功的 IT 基础设施必须适应,否则最终将遭受掠夺者攻击、病毒感染或无法适应环境变化。ASA 的行为类似于生物体抵御局部疾病爆发甚至大流行的方式。ASA 采用自适应方法,是一种自主系统,可以有效模仿有机免疫系统和大规模自然生态系统。

参考:Adaptive Security Architecture (ASA) - CIO Wiki

        ASA 自适应安全架构经历了1.0到3.0 的阶段。

        早在2014年,Gartner分析师就提出了ASAAdaptive Security Architecture )自适应安全架构,随后Gartner在2016年的十大科技技术趋势中列入了ASA,在2014到2016期间,可以认为是ASA的1.0时代.2017年,ASA进入2.0时代,2.0在1.0的基础上增加了持续可视化评估、UEBA,以及每个象限的小循环。 2018年,ASA进入3.0时代,在2.0的基础上增加了接入保护,是的ASA架构从“鉴黑”和“鉴白”两个层面对目标进行保护。

        在CARTA的自适应攻击防护架构中,我们看下“PPDR"各个象限的具体内容,

CARTA中PPDR各象限内容及扩展解释:

predict:预测

do risk-prioritized exposure assessment:进行风险优先暴露评估
anticipate threats/attack: 预测威胁/攻击
baseline systems and security posture:基线系统和安全态势

自适应安全模型的预测组件涉及评估风险、预测潜在威胁以及评估组织当前的安全状态,以确定其是否能够抵御您正在准备应对的威胁。 它回顾当前的安全趋势并分析它们可能如何影响您的组织。此阶段提供预测未来威胁和准备响应所需的情报。

prevent:预防

harden systems:强化系统

isolate systems:隔离系统

prevent attacks:防御攻击

预防需要预防能力,使企业能够创建网络安全防御产品和设备,例如防火墙(物理或虚拟)、入侵防御设备和 SASE。

安全策略、流程和访问控制也在此阶段定义。预防元素将这些基于风险的安全措施集成到组织的数字框架中。

detect:检测

detect incidents:检测事件

confirm and priorize risk :确认风险并确定优先级

contain incidents:遏制事件

自适应安全模型的检测支柱可识别可能漏过预防协议的攻击。及早发现可以缩短阻止潜在风险转变为运营风险所需的时间。

该检测组件采用连续监控技术来检测威胁事件以及系统内发生的任何异常行为。IT 安全团队可以部署各种动态工具来完成此任务,例如人工智能 (AI) 算法。

respond:响应

remediate:补救

design/model policy change:设计/模型政策变更

investigate incidents/do retrospective analysis 调查事件/进行回顾性分析

通过响应组件,您可以构建流程和工具,以最好地响应预测的风险和威胁,从而减少未来类似的安全事件。在此阶段,您的自适应安全系统会评估其他层未捕获的风险。

三、思考与总结

首先对文中的组合做对比呈现:

PDR--------------------Protection-Detection-Response,防护-检测-响应;

PPDR------ -----------Policy-Protection-Detection-Response,策略-防护-检测-响应;

IPDRR-----------------Identify- Protect-Detect- Respond- Recover,识别-保护-检测-响应-恢复;

CARTA-PPDR-------Predict-Prevent-Detect-Respond,预测-预防-检测-响应;

        关于PDR很好理解,基于时间计算的安全模型,PPDR在此基础之上增加了policy,使得整个安全模型更加立体,能更加全面的应对黑客攻击。这两个模型笔者认为是在IT环境相对简单,攻击手段还未大幅度提高的环境下提炼出来的,模型很”朴素”但基本能展示出安全防护的本质和执行手段。

        到了ASA和IPDRR,可以看出,模型考虑的维度更加丰富,同时更加关注动态从用词也可以发现,PDR和P2DR用的都是名词,IPDRR和CARTA-PPDR用的都是动词),ASA和IPDRR可以看作交错发展,ASA1.0→IPDRR1.0→ASA2.0→ASA3.0→IPDRR2.0。二者都看重预测在防护中的价值,虽然IPDRR中没有提predict,但是其Identify中包含了比重较大的风险评估,且在IPDRR2.0的讨论稿中增加了govern中包含了制定和监控组织的网络安全风险管理战略、期望和政策,这其实比CARTA中predict象限内容更加丰富。

        在CARTA-PPDR架构中,可以看到没有pretect,其中的2个P都代表predict和prevent,笔者认为这代表了安全模型在强调防御的左移和主动,因为protect其实相对prevent已经靠后了,结合CARTA的自适应和可视化,可以不断降低组织的MTTD和MTTR。

        从PDR到CARTA和IPDRR2.0,也体现了IT环境的逐步复杂、攻击手段的快速提升以及组织对数字资产面临风险的预知式“拿捏”追求。

------------------------------------------------完------------------------------------------------------------

题外思考:

防御:防守抵御。这强调的是在问题已经出现或即将出现时进行的行动,是一种被动的应对。英文defense。抵御英文:resist

防预:这个词是错误的,没有这个词。应该叫预防。

预防:提前防护,预先做好事物发展过程中可能出现偏离主观预期轨道或客观普遍规律的应对措施。

防护:偏向对外,比如防护霜,强调对紫外线的防。

保护:偏向对内,比如保护地球,强调主动对地球的保护,省略了主语。

An intrusion detection system (IDS)is a passive monitoring solution for detecting cybersecurity threats to an organization. If a potential intrusion is detected, the IDS generates an alert that notifies security personnel to investigate the incident and take remediative action.

An intrusion prevention system (IPS) is an active protection system. Like the IDS, it attempts to identify potential threats based upon monitoring features of a protected host or network and can use signature, anomaly, or hybrid detection methods. Unlike an IDS, an IPS takes action to block or remediate an identified threat. While an IPS may raise an alert, it also helps to prevent the intrusion from occurring.

扩展阅读:

1、吕毅:从攻击视角构建弹性信息安全防御体系 - FreeBuf网络安全行业门户

2、Getting Started | NIST

3、Adaptive Security Architecture - Explained | Securus Communications Ltd

4、最具影响力的三大安全架构:零信任、ATT&CK、自适应安全

5、网络安全框架知多少?_云上笛暮的博客-CSDN博客

6、 Adaptive Security Architecture - Explained | Securus Communications Ltd 

7、自适应安全架构的历史和演进 - 安全内参 | 决策者的网络安全知识库 

 封面图片来源:https://www.behance.net/gallery/168788035/AIGCBeautiful-girls-all-over-the-world?locale=en_US 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/72850.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用内网负载机(Linux)执行Jmeter性能测试

一、背景 ​ 在我们工作中有时候会需要使用客户提供的内网负载机进行性能测试,一般在什么情况下我们需要要求客户提供内网负载机进行性能测试呢? 遇到公网环境下性能测试达到了带宽瓶颈。那么这时,我们就需要考虑在内网环境负载机下来执行我们…

中国ui设计师年终工作总结

一、萌芽阶段 记得初次应聘时,我对公司的认识仅仅局限于行业之一,对UI设计师一职的认识也局限于从事相对单纯的界面的设计创意和美术执行工作。除此之外,便一无所知了。所以,试用期中如何去认识、了解并熟悉自己所从事的行业&…

【Sword系列】Vulnhub靶机HACKADEMIC: RTB1 writeup

靶机介绍 官方下载地址:https://www.vulnhub.com/entry/hackademic-rtb1,17/ 需要读取靶机的root目录下key.txt 运行环境: 虚拟机网络设置的是NAT模式 靶机:IP地址:192.168.233.131 攻击机:kali linux,IP地…

哭了,python自动化办公,终于支持 Mac下载了

想了解更多精彩内容,快来关注程序员晚枫 大家好,这里是程序员晚枫,小红薯/小破站也叫这个名。 在我的主页发布的免费课程:给小白的《50讲Python自动化办公》,一直在更新中,昨晚12点多,有朋友在…

类,这一篇文章你就懂了!

提示:本文主要介绍C中类相关知识及基础概念总结 渺渺何所似,天地一沙鸥 文章目录 一、面向对象与面向过程二、类的框架知识2.1 类的定义2.2 类的封装性2.2.1 访问限定符2.2.2 封装的概念以及实现 2.3 类的作用域及实例化2.4 类中this指针 三、六大默认成…

网络分层的真实含义

复杂的程序都要分层,这是程序设计的要求。比如,复杂的电商还会分数据库层、缓存层、Compose 层、Controller 层和接入层,每一层专注做本层的事情。 当一个网络包从一个网口经过的时候,你看到了,首先先看看要不要请进来…

【ALM工具软件】上海道宁与Perforce为您带来用于整个生命周期的应用程序生命周期管理软件

Helix ALM是 用于整个生命周期的 应用程序生命周期管理的ALM软件 具有专用于 需求管理(Helix RM)、测试用例管理(Helix TCM) 问题管理(Helix IM)的功能模块 Helix ALM提供了 无与伦比的可追溯性 您将…

Fiddler如何比较两个接口请求?

进行APP测试时,往往会出现Android和iOS端同一请求,但执行结果不同,这通常是接口请求内容差异所致。 我习惯于用Fiddler抓包,那此时应该如何定位问题呢? 分别把Android和iOS的接口请求另存为TXT文件,然后用…

BMS电池管理系统——电芯需求数据(三)

BMS电池管理系统 文章目录 BMS电池管理系统前言一、有什么基础数据二、基础数据分析1.充放电的截至电压2.SOC-OCV关系表3.充放电电流限制表4.充放电容量特性5.自放电率 总结 前言 在新能源产业中电芯的开发也占有很大部分,下面我们就来看一下电芯的需求数据有哪些 …

JavaEE初阶(1)(冯诺依曼体系、CPU、CPU基本原理、如何衡量CPU的好坏?指令、操作系统、操作系统“内核”)

目录 冯诺依曼体系(Von Neumann Architecture) CPU CPU基本原理: 如何衡量CPU的好坏? 1、主频(时钟速度): 2、核心数: 指令 操作系统 操作系统“内核” 冯诺依曼体系&#x…

运动耳机哪种好、运动戴的蓝牙耳机推荐

作为一名运动爱好者,自然要有一款专业的运动耳机,运动耳机的重要作用就是它能帮我们缓解枯燥运动时的乏味,还能提高运动锻炼的效果。热爱运动的我,最喜欢就是运动音乐随行了,在用过众多蓝牙耳机之后,才明白…

海外ASO优化之如何优化游戏应用

如果我们发布了一款手机游戏或者管理了一款手机游戏,那么需要确保我们的手机游戏对合适的人可见,目的是增加应用的下载量。 1、优化游戏元数据的关键词。 Apple和Google在应用商店中为我们提供有限的空间,来描述手机游戏及其优势。我们需要使…

基于YOLOv8和WiderFace数据集的人脸目标检测系统(PyTorch+Pyside6+YOLOv8模型)

摘要:基于YOLOv8和WiderFace数据集的人脸目标检测系统可用于日常生活中检测与定位人脸目标,利用深度学习算法可实现图片、视频、摄像头等方式的目标检测,另外本系统还支持图片、视频等格式的结果可视化与结果导出。本系统采用YOLOv8目标检测算…

【KRouter】一个简单且轻量级的Kotlin Routing框架

【KRouter】一个简单且轻量级的Kotlin Routing框架 KRouter(Kotlin-Router)是一个简单而轻量级的Kotlin路由框架。 具体来说,KRouter是一个通过URI来发现接口实现类的框架。它的使用方式如下: val homeScreen KRouter.route&l…

OpenCV(三十二):轮廓检测

1.轮廓概念介绍 在计算机视觉和图像处理领域中,轮廓是指在图像中表示对象边界的连续曲线。它是由一系列相邻的点构成的,这些点在边界上连接起来形成一个封闭的路径。 轮廓层级: 轮廓层级(Contour Hierarchy)是指在包含…

雅思 《九分达人》阅读练习(二)

目录 雅思阅读练习 《九分达人》test3 paragraph3 1.单词含义要记准确,敏感度要上来。 2.找准定位,之后理解句子大致含义。 说说关于判断题的做题方法 关于“承认”有哪些单词 同替词汇 think 可以用什么其他单词来替换 单词 一些疑问 I have…

win10 sourcetree打开一闪就退出

参考文档: 解决方案参考文档一: Solved: cant install Sourcetree on Windows 10Solved: when I double-click the installation file or run as administrator,I can see a splash screen and disappear in 10 seconds,then I open thehttps://community.atlassian.com/t5…

【C++】vector的模拟实现【完整版】

目录 一、vector的默认成员函数 1、vector类的大体结构 2、无参构造函数 3、拷贝构造函数 4、Swap(operator需要用) 5、赋值重载operator 6、析构函数 二、vector的三种遍历方式 1、size和capacity(大小和容量) 2、 operator[]遍历 3、迭代器iterator遍历和范围for 三…

php常用算法

许多人都说 算法是程序的核心,一个程序的好于差,关键是这个程序算法的优劣。作为一个初级phper,虽然很少接触到算法方面的东西 。但是对于冒泡排序,插入排序,选择排序,快速排序四种基本算法,我想还是要掌握…

Oracle数据库环境变量配置以及可能遇到的问题解决

一、如何配置Oracle数据库环境变量(以win10为例) 1、找到此电脑,鼠标右键,点击属性。 2、点击属性成功后,进入如下页面,找到“高级系统设置”,点击进入。 3、找到环境变量,点击进入…