阅读: 52
网络安全滑动标尺模型对组织在威胁防御方面的措施、能力以及所做的资源投资进行分类,详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。
作者 :罗伯特 梅里尔 . 李( Robert M. Lee )
文章目录
执行摘要网络安全滑动标尺模型是针对网络安全活动和投资领域进行详细探讨的模型。该模型包含五大类别:架构安全、被动防御、主动防御、威胁情报和进攻。这五大类别构成连续性整体,让人一目了然:各阶段活动经精心设计,呈动态变化趋势。了解互相关联的这几大网络安全阶段后,组织和个人可更好地理解资源投资的目标和影响,构建安全计划成熟度模型,按阶段划分网络攻击从而进行根本原因分析,助力防御方的发展。弄明白各阶段含义后,组织和个人会发现该标尺左侧的类别用于奠定相应基础,使标尺中其他阶段的措施更易实现,可以使用较少资源发挥更大作用。组织和个人利用滑动标尺要达成的目标是从该标尺的左侧部分开始投入资源,解决上述问题,从而获得合理投资收益,然后将大量资源分配给其他类别。
该模型表明,若组织做了充分的防护准备,攻击者需付出更大代价才能成功。此外,利用该模型,防御方可确保安全措施与时俱进。
网络安全滑动标尺模型网络安全滑动标尺模型对组织在威胁防御方面的措施、能力以及所做的资源投资进行分类,详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。
如图1所示,该模型可划分为五大类别,即架构安全、被动防御、主动防御、威胁情报和进攻。本文将围绕这些类别展开介绍,着重分析各类别的差异以及内在联系。
图1 网络安全滑动标尺模型
各类别并非一成不变,且重要性也不均等网络安全滑动标尺模型为组织和个人讨论网络安全的各类资源和技能投资提供了框架。该模型包含的五大类别――架构安全、被动防御、主动防御、威胁情报和进攻,各类别相互配合实现网络安全提升,但这些类别并不是一成不变的且其重要性也存在差异。
该模型使用了标尺,表明每个类别的某些措施与相邻类别密切相关。例如,修复软件漏洞属于架构安全范畴,而修复这一动作位于架构安全类别的右侧,要比构建系统更靠近被动防御类别。即便如此,架构安全涉及的措施也不能视为主动防御、情报或进攻相关活动。又如威胁情报活动,攻击者网络中开展的威胁情报活动更接近进攻活动,与搜集和分析开源信息相比,能够更快地转变为进攻活动。同样,收集和分析事件响应数据从而生成威胁情报更靠近主动防御类别,因为在此类别中,分析师会利用威胁情报达成防御目的。
滑动标尺的每个类别在安全方面的重要性并不均等。这一点可从本文在架构安全和进攻的对比中明显看出。若系统构建和实现过程考虑到了安全,则会显著提升这些系统的防御态势。要实现同样的安全目的,这些措施的投资收益远高于进攻。技术足够先进、目标极其坚定的攻击者总会找到办法绕过完善的架构。由此可见,投资不应仅对局限于架构本身。滑动标尺的每个类别都很重要,组织在考虑如何实现安全以及何时关注其他类别时应以预期投资收益为导向。比如,若组织对架构安全和被动防御缺乏维护会发现主动防御的价值不高,此类组织应首先修复基本问题再考虑威胁情报或进攻。
要实现网络安全目标,组织应构建安全根基和文化,并不断进行完善。这样,防御方在面对威胁和挑战时才能及时调整,更好地进行防御。由此可见,滑动标尺模型还能潜在促进组织的安全成熟进程。组织应首先将精力放在标尺左侧的类别,构筑相应基础,然后再对右侧的类别作出投资。组织在架构安全阶段进行合理投资会为其后有效实施被动防御打下了基础,能够获得更大收益。此外,主动防御若在具备完善架构安全和被动防御的环境中部署较易实现且更为有效。若缺乏该安全基础,开展网络安全监控或事件响应等主动防御活动则较为困难且开销较大。成本凸显的是各类别的投资收益,如图2所示。例如,要有效执行进攻行动,最起码要利用威胁情报,这需要组织充分了解其在主动防御、被动防御和架构安全阶段的安全措施,明确组织面临的威胁并进行应对。然而,进攻行动为组织带来的价值远不如合理构建和实施架构安全高。因此,我们强烈建议组织将主要精力放在滑动标尺左侧的阶段,从架构安全做起。
图2成本与安全价值
架构安全架构安全:用安全思维规划、构建和维护系统。
安全的一个最重要方面是合理构建系统,使其与组织的任务、资金和人员配备相匹配。架构安全指在 用安全思维规划、构建和维护系统 。安全的系统设计是基础,在此之上才能开展其他方面的网络安全建设。此外,根据组织的需求合理构建架构安全,可提升标尺的其他阶段的效率,降低开销。例如,若网络分段不合理且未安装软件补丁进行维护,则存在很多安全问题,防御方可能疲于应对,导致网络攻击者等真正需要识别的威胁淹没于各类安全问题、相关恶意软件以及由于架构不合理而导致的网络配置问题中。
架构安全通常从规划和设计系统以支撑组织需求开始。为此,组织应首先明确IT系统要支撑的业务目标,这可能因公司和行业而异。系统安全应为这些目标提供支撑。架构安全阶段的目的并非是防御攻击者,而是要满足正常运营环境和紧急运营环境的需求,包括偶发的恶意软件感染、误配置系统带来的网络流量峰值、以及系统仅仅因部署在同一网络而互相导致中断。所有这些情形在当今联网基础设施的正常环境中都非常常见,而且还不仅限于这些问题。在系统设计时考虑这些情况可以维持系统的保密性、可用性和完整性,从而为组织的业务要求提供支撑。
安全的系统构建、采购和实现是架构安全的另一关键要素。要确保质量控制措施落到实处,保护链条中各环节的安全很重要。这些措施与应用安全补丁等系统维护相结合,让系统更易于防护。软件和硬件补丁应用有时被误认为是一项防御措施,实际上,它们本身并非防御措施,但是会促进安全。与合理架构相关的各项举措还会降低攻击面,最大程度地减少攻击者进入系统的机会,万一攻击者进入系统,还可限制其行为。
下文将介绍几个样本模型,作为实现上述类别相关实践的参考。
样本架构模型 国家标准与技术研究院(NIST)的800系列特刊NIST发布的800系列特刊提供有关安全的系统采购、设计、实现和加固的多个指南。虽然系统架构由预期结果和系统需求驱动,这些特刊还是具有很好的指导意义。需特别关注的是800-137特刊“联邦信息系统与组织的信息安全持续监控”,该指南指出组织应持续主动监控网络,识别并及时修复安全违规和漏洞,以防止攻击者对其进行利用。
普渡企业参考体系结构-The-普渡模型是工业控制系统网络的高层体系结构模型的一个范例。。该模型旨在说明需按照功能对各网段进行划分和隔离。合理划分网络能显著提升其防护能力。
支付卡行业数据安全标准(PCI DSS)-PCI DSS作为信息安全标准,面向的是处理特定类型信用卡及其相关数据的组织。其中,一些标准与防火墙实现等被动防御相关,而大部分标准旨在实现架构安全,例如,开发和维护安全的系统、数据加密、持卡人数据访问限制以及不使用厂商提供的默认密码等要求都有助于实现合理的架构安全。
被动防御组织在通过投资该模型的架构安全类别构建了合理的安全基础后,就非常有必要投资构筑被动防御了。被动防御位于架构安全的上层,为系统提供攻击防护。攻击者或威胁若心怀叵测且有能力造成损害,一旦找到机会便会绕过架构,无论架构有多完善,因此被动防御非常必要。在定义被动防御前,我们先了解一下该术语的历史。
防御在传统上可划分为被动防御和主动防御。上个世纪三十至八十年代(网络这一术语还未出现),围绕这两个术语的定义引发了众多纷争。美国国防部对被动防御作了如下定义,结束了长期纷争:为降低恶意行为几率以及尽量减少恶意行为引发的损害而采取的措施,而非主动采取行动。然而,该定义是否可用于网络安全领域一直是众多学者、安全从业者和军事专业人员争论的焦点。该定义可能看似容易理解,但将其应用到网络领域的正常运营环境就不会像字面解释这么简单了。
要实现从军事领域到网络领域的转换,需了解术语的真实含义,而非字面定义。在最初的争论中,被动防御指无需军事部门交互的情况下提供攻击防御。加固防御工事防止导弹轰炸便是一个例子。尽管这看起来类似于在系统中安装软件补丁,但与加固结构而非防护攻击更为接近。因此,它不属于防御,只是对系统所处典型环境的一种认知。安装补丁是一项维护措施。同样,为军事会议室构筑屏障,应对各种恶劣气候不是“对抗大风的被动防御”,而只是该环境所需的正常行为。加固屏障、设置诱饵、伪装以及针对会议室的其他二次措施才是被动防御。最后一点,现实世界还存在资源消耗情况。攻击者会消耗物理资源,如炸弹投放一个就少一个。在数字世界,攻击者并不以这种方式消耗资源。若攻击者使用了一种恶意软件,而未被发现或反击就会多次反复使用。在这种情况下,攻击者所需的是时间、相关资源及人力。消耗攻击者的资源,包括其策划和实现恶意目的所需的时间,对于防御者来说至关重要。被动防御可帮助您实现这一点。
被动防御:架构中添加的提供持续威胁防护和检测且无需经常人工互动的系统
了解被动防御术语的历史,我们或许会得出这样一个结论:可在结构中添加插件实现防护。防御攻击而未必增强系统自身能力这一理念可帮助我们得出被动防御的定义。在现实世界中,被动防御同样也不需要频繁的人工互动。因此,被动防御的定义为: 架构中添加的提供持续威胁防护和洞察且无需经常人工互动的系统。 架构中添加的样本系统,如防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统和类似的传统安全系统,可提供资产防护、填补或缩小已知安全缺口,减少与威胁交互的机会,并提供威胁洞察分析。这些系统需定期维护、更换和保养,而不是需要时常人工互动才能运行。系统可能一直运行,但并非总是处于有效防护状态。目前,已有多个模型针对此类系统的部署提供建议。
建议被动防御模型 深度防御深度防御是在系统架构上层实施被动防御的一个基础概念。该模型是一个确保被动防御系统贯穿整个网络的概要方案。并且,该模型也与对手资源消耗这一概念直接关联,将防御划分为多个层级,致使攻击者投入更多时间和精力才能实现其目标。不过,这要求分级防御不仅仅是使用了相同的技术,还意味着在被绕过时,就无法耗费攻击者的时间。
NIST的800系列特刊NIST的800系列特刊提供了多个有关被动防御实施的文档。800-41、800-83和800-94特刊介绍了防火墙、反恶意软件系统和入侵防御系统,值得特别关注。
NIST网络安全框架-NIST网络安全框架提出了帮助组织防御威胁的路线图,涵盖架构安全、被动防御和主动防御,不过,该框架的主要贡献在于就如何正确实现和使用被动防御提供了建议。该框架是一个为组织提供指导性帮助的优秀参考模型。
主动防御被动防御机制在面对目标坚定、资源丰富的对手时会最终落败。针对这类技术先进、一意孤行的对手,需要采取主动的安全措施,同时还要有训练有素的安全人员来对抗训练有素的攻击者。至关重要的是,要对这些安全人员进行授权,保证其在安全架构内操作,而这样的安全架构应受到妥善部署的被动防御措施的保护及监控。然而,谈到网络安全时,媒体和新闻机构往往会误用主动防御一词,且对其理解各执己见。由于该术语屡屡被误用,所以我们需要深入探讨它的历史背景。
20世纪70年代,美国陆军在谈到陆地战时使用了“主动防御”一词,引发激烈辩论。一级上将威廉E德普伊(William E. DePuy)是陆军训练与条令司令部(Army Training and Doctrine Command)的第一任司令,他在1974年的一篇关于1973年阿拉伯/以色列战争的文章中使用了该词。文中,他谈及了防御方的动态而非静态的战斗能力:“这意味着防御方必须要有行动能力,必须对作战区域进 行主动防御。”之后,他进一步阐述了该术语的概念:“主动防御是指紧密联合的武装小组和特遣部队相互支持,在整个战斗区域从不同的位置展开战斗,连续不断地打击攻击者,最终拖垮攻击者。”他在1976的《美国陆军野战手册》100-5“军事行动”中收录了该词。德普伊将军后来指出,“主动防御”一词之所以饱受质疑,是因为对《野战手册》中的术语存在误解,尽管该手册被认为是开创了越战后的陆军条令先例。他表示,“‘主动防御’一词仅在100-5中作为形容词顺便提及而已,在71-2中很少提及。然而,在71-1中,‘主动防御’成为了该系列手册中所规定的防御原则的官方描述符。但是,正如我们之后看到的那样,对该术语的含义没有达成共识。”
军事领域对该术语莫衷一是,和当前在网络安全领域该术语使用的情形一致。但是,美国军方就军事行动方面(而非网络安全)的“主动防御”采用了官方定义。对传统战争来说,“主动防御”指:采用有限的进攻行动和反击,将敌人赶出被争夺的区域或位置。这里使用了“反击”一词,在网络安全领域,人们将其错误地按字面理解为“黑回去”。然而,这并非该术语的本意。事实证明,简单地将术语从战争的物理领域复制到网络安全中并不能准确地体现这些术语的含义。“主动防御”一词始终围绕的是机动性以及结合军事情报和指标来识别攻击、在防御区域/被争夺区域内应对攻击或对抗能力的能力。此外,还包括从对战中学习的能力。这在1965年开始的一项兰德研究中被重点提及,出现在关于使用综合防空系统跟踪洲际弹道导弹(ICBM)并在其击中目标之前进行摧毁的讨论之中。在谈及网络安全时需要注意的是,“反击”只发生在防御区内,且对抗的是能力,而不是对手。也就是说,网络安全中的“反击”在事件响应中可以得到更好的体现,因为事件响应涉及到人员通过遏制和补救威胁进行“反击”。事件响应者等人员不会在攻击者所在的网络或系统中对攻击者发动进攻,就像洲际弹道导弹的综合防空主动防御机制,这些机制只是摧毁导弹,而不是人或人所在的城市。
基于上述背景介绍以及理解,网络安全中的“主动防御”可被定义为:分析师监控、响应网络内部威胁、从中汲取经验并将知识应用其中的过程。这句话最后的“网络内部”很重要,进一步消除了“反击”即“黑回去”的误解。承担这一任务的分析师包括事件响应人、恶意软件逆向工程师、威胁分析师、网络安全监控分析师以及利用自己的环境探寻攻击者并进行响应的其他人员。
对分析师而不是工具的关注引入了一种主动的安全方法,突出了最初战略的意图:可操作性和适应性。系统本身无法提供主动防御,只能作为主动防守者的工具。同样,分析师仅坐在诸如系统信息和事件管理器之类的工具前面并不能让成为主动的防守者―这关乎行动和过程,就如人员的岗位安排和培训一样重要。使高级威胁持久且危险的是键盘背后的具有自适应能力和智慧的对手。打击这些对手需要同样灵活和聪明的防守者。
图3主动网络防御周期
主动防御建议模型: 主动网络防御周期主动网络防御周期是本文作者创建的模型,是SANS ICS515―主动防御和事件响应课程的研究对象。
它由四个行动阶段构成,形成持续流程,以主动监控、响应攻击并从中汲取经验。这四个阶段是:威胁情报使用、资产识别与网络安全监控、事件响应以及威胁和环境操控,如图3所示。
网络安全监控网络安全监控(NSM)在20世纪80年代被托德海伯林(Todd Heberlein)最终定义为一系列行动。当时,他开发了网络安全监控系统,用于检测网络入侵。随后,其他分析师推广和扩展了NSM的概念。值得注意的是,理查德贝杰利希(Richard Bejtlich)的作品拓展了这一领域,尤其是《网络安全监测之道》(The Tao of Network Security Monitoring)一书,让NSM引起了广泛关注。虽然NSM是主动网络防御周期的一个组成部分,但它本身就是一种模式,是一种主动防御方法。这种方法突出了分析师检测其环境内部对手的价值,可驱动对攻击事件而不是单一入侵的事件响应。
情报情报:收集数据、利用数据获取信息并进行评估的过程,以填补之前所发现的知识鸿沟。
有效实现主动防御的秘诀之一是能够利用攻击者相关情报并通过情报推动环境中的安全变化、流程和行动。使用情报是主动防御的一部分,但输出情报属于情报类别。正是在这个阶段,分析师使用各种方法从各种来源收集了关于攻击者的数据、
