目前,国际主流的网络安全架构模型主要有:
● 信息技术咨询公司Gartner的ASA(Adaptive Security Architecture自适应安全架构)
● 美国政府资助的非营利研究机构MITRE的ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)
● 信息技术咨询公司Gartner的CSMA(Cybersecurity Mesh Architecture网络安全网格架构)
1. Gartner提出的ASA(Adaptive Security Architecture自适应安全架构)
2014年,针对于当时业界安全产品主要重在防御和边界,安全态势形成严重挑战的问题,Gartner公司首次提出ASA(Adaptive Security Architecture自适应安全架构),希望业界能从单纯被动防御和应急响应的思路中解放出来,通过加强持续监测和分析预测提升主动防御能力,1.0架构主要包括以下四个象限:
- 预防Pretect,通过系统加固和隔离等手段来减少系统暴漏面积,比如采用黑名单;
- 检测Detect,持续监视/检测事故的发生并对其进行评估,对检出的事故进行隔离,以防止其造成进一步的破坏;
- 响应Response,事故发生之后需要对事故进行补救和溯源;
- 预测Predict,根据以往已经存在的威胁,来预测潜在的威胁。
2017年,针对于高级攻击的防御架构,Gartner公司在1.0架构的基础上进行了相关的理论丰富,将自适应安全架构的外延扩大,自适应安全架构进入2.0时期:
- “持续监控分析”改成“持续可视化和评估”,同时加入UEBA相关的内容(User& Entity behavior analytics用户和实体的行为分析);
- 引入每个象限的小循环体系,不仅仅是四个象限大循环;
- 在大循环中加入了策略和合规要求,同时对大循环的每个步骤说明了循环的目的,到保护象限是实施动作、到检测象限是监测动作、到响应和预测象限都是调整动作。
2018年,Gartner公司正式确认了CARTA(Continuous Adaptive Risk and Trust Assessment持续自适应风险与信任评估)的安全趋势,即自适应安全架构3.0。相比2.0架构,3.0架构最大的变化是把2.0架构作为攻击的保护外环,增加关于访问的保护内环,原因在于:
- 2.0架构未考虑认证问题,导致完整性有缺失,如黑客获取有效认证内容,如用户名密码,自适应架构对于此类事件是“可信”的,威胁无法感知;
- 为加强云时代下的云服务的发现、访问、监控和管理,3.0架构将CASB(Cloud Access Security Broker云访问安全代理)作为原型挪到了这个总体架构中,解决了部分认证问题;
- 如果认证体系只是一次性认证并没有持续的监控和审计,必须要有被窃取认证信息的心理预期,所以要持续的进行监控和分析以及响应,形成闭环。
3.0架构的适用场景变得更为广泛,包括了安全响应、数据保护、安全运营中心、开发安全运维、物联网、供应链安全、业务持续和灾难恢复等领域。
2. MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)
ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)是一个知识库,它从攻击者的角度看待问题,理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链,建立了网络攻击中使用的战术和技术的详尽列表,呈现了攻击者在攻击网络时所采用的行为,并且详细介绍了每一种技术的利用方式。
该模型被CISA(美国网络安全与基础设施安全局)和FBI以及超过80%的企业用于威胁调查,它对于政府或企业组织来说都非常有用,因为组织需要建立一个基于威胁的防御体系。
ATT&CK模型可以帮助网络事件响应团队(CERT)、安全运营中心(SOC)、红蓝队、威胁猎手、IT部门等安全团队,更好地测试、开发和排序其检测和响应机制,对公司的业务、行业和知识产权提供高效安全保障,具体可分为:
- Detections and Analytics(检测和分析):帮助网络防御者开发分析程序,以检测对手使用的技术。
- Threat Intelligence(威胁情报):为分析人员提供了一种通用语言来构造,比较和分析威胁情报。
- Adversary Emulation and Red Teaming(攻击模拟):提供了一种通用语言和框架,攻击模拟团队可以使用该语言和框架来模拟特定威胁并计划其行动。
- Assessment and Engineering(评估与工程化):可用于评估组织的能力并推动工程决策。
但是,安全公司McAfee与加州大学伯克利分校长期网络安全中心的联合调研项目发现,很多网络安全团队在框架应用方面仍然面临诸多挑战:
- 大多数采用ATT&CK框架的安全团队都没有实现自动化。虽然91%的企业使用ATT&CK框架来标记网络安全事件,但只有不到一半的企业可以自动更改部分安全策略;
- ATT&CK框架和安全产品之间的互操作性存在困难;
- 难以将网络安全事件映射到安全策略更改,以及无法关联来自云、网络和端点的事件;
- 企业使用的安全产品可能无法检测到ATT&CK矩阵中存在的所有技术。
2021年,MITRE发布了ATT&CK的第十个版本,该版本最大的变化是在企业矩阵(Enterprise ATT&CK)中添加了一组新的数据源和数据组件对象,以补充ATT&CK v9中发布的数据源名称更改。新版ATT&CK企业矩阵包含14个战术、188个技术、379个子技术、129个组和638个软件。
3. Gartner提出的CSMA(Cybersecurity Mesh Architecture网络安全网格架构)
随着更多的应用和数据迁移到云服务,传统网络边界已经消失,网络安全威胁形势日益复杂。同时,网络攻击手段也在快速演进,AI和大规模自动化技术驱动的新型威胁层出不穷,带来了快速增长的网络攻击数量。在这种形势下,传统安全手段已经无以为继,组织普遍存在网络安全技能短缺的困境。因此,Gartner在2021年一种全新的安全架构模式CSMA(Cybersecurity Mesh Architecture网络安全网格架构)。
CSMA架构是一种现代安全方法,包括在最需要的地方部署控制措施、构建身份化的零信任网络并以身份作为安全边界,通过提供基础安全服务以及集中式策略管理和编排功能,使诸多工具能够协同操作,而不是每个安全工具都在孤岛环境中使用。
通过CSMA架构,可以获得所有边缘的深度可见性、集中管理分布式解决方案、策略的一致执行、利用威胁情报、通过集成第三方能力以更好地防卫已知和未知攻击、跨混合环境自动执行可操作响应等优势。
CSMA架构希望通过搭建一个全面覆盖、深度集成、动态协同的“网络安全网格平台”,将不同厂商的安全工具整合为一个协同生态系统,让组织能够灵活地进行方案部署,同时从集成和融合的运营、可视化和安全性中受益,对于在当前不断扩展的网络中,降低复杂度和提高整体安全有效性至关重要。
作者博客:http://xiejava.ishareread.com/
