《The Sliding Scale of Cyber Security》是 Robert M.lee 在2015年发表的一篇文章,和Gartner的“自适应安全”模型类似,提供了一种宏观角度的企业安全建设指导模型。Gartner 的安全自适应模型是针对被动防御措施必然被突破的现实,提出了安全投资应该同时兼顾防御、检测、响应和预防4个方面。Robert M.Lee的这篇文章则希望阐明面对不同的威胁类型需要建立怎样的安全能力,以及这些能力间的演进关系,从而帮助在管理层沟通安全建设投资、并确定和跟踪安全投入的优先级等活动。
DraggedImage.png
这个模型在国内很多地方都在使用。但其中两个问题上似乎存在不同的理解,下面就此讲讲笔者的理解。
滑动标尺的演进关系
滑动标尺模型从左到右,是一种明确的演进关系,这种演进至少包含以下几个层面的含义:
- 左侧是右侧的基础,如果右侧的建设没有一定的基础,在实际中也很难完成更右侧的能力建设。简单的例子,在架构安全阶段安全域划分、访问控制没有做好,被动防御要考虑的攻击面就会很大进而难以实施;而被动防御阶段做得不好,很多简单的事件/攻击无法快速处理,也就没有资源(需要分析的事件/数据,以及对应的安全运营资源)真正开展被动防御领域的工作。再进一步没有积极防御能力,也就不会有情报生产能力;没有情报能力,进攻反制也不可能有准确的目标。但这种依赖关系没有高下之别,架构安全和被动防御中的技术/运营挑战并不一定就弱于其他阶段。同时随着IT架构和网络攻防的变化,对架构安全和被动防御层面可能也会提出新的要求,我们需要不断审视,实际中的问题出现在哪个类别中。
- 从左到右,是逐步应对更高级网络威胁的过程。一般而言,做好架构安全和被动防御,可以较好地抵御非定向型的攻击(包括现今流行的勒索病毒或者挖矿等);积极防御面对的更多是具备定向攻击特点的网络威胁;情报阶段进一步增强了对定向攻击的发现、跟踪、处置能力,往往这些定向攻击有着丰富资源;而反制阶段考虑合法性等因素,一般组织不需要过多考虑。
- 从左到右,是投入成本逐步增加的过程,但基于考虑组织要面对的主要威胁,并不是需要一定要进行积极防御、情报或者反制能力的建设。同时我们可以认为一些许诺只需要很低成本就能快速建立的积极防御和情报能力,往往不是那么可信。就笔者所知,一些所谓的大数据安全分析方案/产品(概念上应该属于积极防御),其中核心的价值点,于10年前IDS/IPS提供的能力并无差别,甚至还有不如。
image.png
滑动标尺中的威胁情报
听过一些业内同仁在讲滑动标尺模型的时候,会介绍自己的产品中包含有情报能力,因此使用相应的产品,就是使安全建设进入了对应的情报阶段。这是一种典型的错误解读,滑动标尺中的情报阶段,是强调组织具备自身的情报生产能力而不是消费能力,这里面也不应包括开源情报收集这样的手段。
在笔者看来,威胁情报作为一种较为复杂的能力,在滑动标尺的多个阶段均有体现:
- 被动防御阶段:基于IOC情报(或战术情报)的检测/防御属于被动防御阶段的能力。从机制上讲,当前很多产品集成了域名、文件hash等失陷检测IOC,可以发现内部被控制的主机,其机制和最早通过对木马流量特征提取形成的规则没有本质的区别,更多是在恶意软件数量、规模急剧增长的情况下,建立一套规模化跟踪、提取、发布的机制,这种机制本身没有太多的技术挑战。如果威胁情报厂商的生产流程控制较好,可以做到99.99%以上的准确,大多数情况下可以直接用来产生防御动作。
- 积极防御阶段:一种更综合性的情报使用/消费,存在于积极防御阶段——“实现有效的积极防御,一个关键方面是针对攻击者的情报消费能力,并通过情报驱动在环境中的安全变更、安全流程和行动措施”,这其中对情报的使用,就不仅仅是战术类型的情报,也包含作战和战略两个层面的情报,经常被提到的基于威胁情报的狩猎(hunting)就属于此范畴。
- 情报阶段:情报消费属于前面两个类别,而只有做到具备情报生产能力,才属于情报阶段的内容,这是一个大的话题,准备后面单独讲,感兴趣的人可以先去了解一下 F3EAD模型(《威胁情报驱动的事件响应》大篇幅都在讲这个模型),或者看一个更经典的《 Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains 》
image.png
后续
在使用滑动标尺模型时,模型的阐述似乎还有进一步完善的空间,但这毕竟是Robert M.Lee 多年一线实际工作的总结,因此对阐述、规划、定位安全建设相关问题,是有很好的帮助,也许大家可以通过进一步的讨论,更深的理解、更好的使用这个模型。
