连载:演化的高级威胁治理(五)
5. 第五章 2020年战略4.0 - All In
上文开篇提到,2020年战略4.0有几个重点,分别是XDR 2.0升级、核心方法论2.0升级、高级威胁治理核心交互模型、四个新增战略支撑体系、以及基于战略4.0的2021年HVV产品解决方案,上文阐述了前三个部分,本文重点阐述接下来的内容。
5.5 四个新增战略支撑体系
近两年的HVV活动,让实网攻防对抗技术、产品以及方案得到了迅猛的发展,高级威胁治理体系也不断丰富,先后加入了实网攻防体系(体系6 - Cyber Range)、持续评估体系(体系7 - Continuous Assessment)和欺骗防御体系(体系8 - Deception Defense)。 2020年2月,我负责组建360南京研发中心,开始SaaS安全运营业务的探索和尝试,并与2021年2月总结发布《厂商视角的“安全运营”》一文,正式提出了高级威胁安全运营体系(体系9 - Security Operations),并加入到战略4.0中,以下一一说明。
5.5.1 实网攻防体系(体系6 - Cyber Range)
实战是检验安全的唯一标准。网络靶场、实网攻防并不是一个全新的概念,它从军事体系引申而来,在网络战场中不断演化,它的火热是这些年网络安全从“合规”发展到“有效”的一个重要现象,也是网络安全由“IT基础架构安全”发展到“高级威胁对抗”的必然要求。实网攻防是用户检验和提升安全对抗能力的有效方法,具体包括实网、实战和实训三个方面,实网指网络仿真、实战指实网对抗、实训指在实战训练。
图 29 实网攻防体系
实网攻防通常作为用户参加HVV活动之前自我评估和演练的重要手段,同时,各类HVV活动也是实网攻防的具体形式之一。实网攻防的价值不言而喻,既可以评估和检验网络对抗的实战水平,便于技战术留存和复盘,又能提升网络对抗的组织协同能力。
5.5.2 持续评估体系(体系7 - Continuous Assessment)
持续评估,是从上到下、从里到外、从人到产品、从管理到技术、从制度到流程、从单点到体系的长期复杂系统过程,目的是持续发现和定位安全体系中存在的问题和风险,评估安全能力的成熟度和水平,并作为后期规划和建设(或称整改)的有效依据。
关于咨询评估,很多国内外知名咨询机构都有一整套完善的方法论、评估体系以及相关模型,这里不做赘述,目前与高级威胁对抗结合比较紧密的有以下几个方面,供大家参考:
图 30 持续评估体系
a) 主观对象评估
人是安全的关键要素,主观对象评估主要指人员安全意识评估。有调查显示,90%以上的威胁来自于内部人员安全意识薄弱,攻击人员经常利用社交工程以及各类网络钓鱼对目标企业人员实施单点突破,令企业重兵防守的边界防御形同虚设,防不胜防。
b) 防护对象评估
高级威胁对抗,一定要知道所防护的资产对象是什么,资产作为有型目标,是被攻击的重点,通过资产测绘、漏洞扫描、弱配置、弱口令等脆弱性检查,配合常规及专项渗透测试服务,不断评估各类资产在不同威胁形势下的抗风险能力。资产对象根据重要性可分为一般资产和核心资产,核心资产在HVV中又称为靶标,如何针对不同等级的资产作出风险评估并给出整改建议以及整体防护策略,是防护对象评估的关键。
c) 实战能力评估
实战能力评估是针对实战对抗中的技战术、组织管理以及协同运营等能力的综合评估,这部分评估需要上述“实网攻防体系”的技术支撑。
d) 运营体系评估
运营体系评估是以完整的安全体系化运营为出发点,对用户安全运营的诸要素作出的完整评估,包括安全团队、安全资源(平台、产品、工具、数据等)、攻防技战术、规章制度、标准流程、业务目标、考核指标、领导决策、管理协同、流程保障、应急响应、日常演练等评估要素,这些都体现了运营体系的健壮性和成熟性,同样也构成了体系化对抗中的体系性风险,通过评估可以发现安全体系中存在的问题,并提供咨询规划建议。
谋定而后动,知彼先知己。从战略层面来讲,持续评估的价值在于不断发现和解决问题,是实现主动防御的关键,是高级威胁治理不断演化升级,实现周期性螺旋迭代的核心动力。持续评估并不是一个阶段性过程,它是长期的、频繁的、不断改进的过程,这个过程会贯穿高级威胁治理全生命周期的始终,会深入到安全运营的方方面面。
5.5.3 欺骗防御体系(体系8 - Deception Defense)
欺骗防御作为高级威胁对抗的重要手段和工具,很早就被Gartner提出,并在这几年的HVV活动中当作蜜罐溯源工具被广泛采用。欺骗诱捕体系从产品上通常由蜜罐、蜜网、蜜饵几部分构成,在方案上通常和XDR以及威胁情报并肩作战。欺骗防御作为一种无入侵的高效防御体系,正在高级威胁对抗中扮演越来越重要的角色,它有几个显而易见的优势和特点:
a) 零入侵低入侵部署能力
蜜罐和蜜网的部署,通常只需要在网络上部署相关的设备,虚拟出相应的网络、主机和终端即可完成,既无需改动现网,也不需要在主机和终端上安装任何代理。蜜饵通常会自动化分发到指定的主机和终端上,也可以做到用户无感。这种零入侵和低入侵的部署能力让用户在实践过程中更容易接受,而且,在某些关键网络和新型网络场景中(如生产网、调度网、工控网、物联网等),已经成为用户的必然选择。
b) 延缓攻击及诱捕攻击者
在欺骗诱捕和真实网络共同构成的烟如浩渺的各类网络、主机和终端环境中,攻击者如何判断哪些是真实的,哪些是虚假的?哪些是关键资产,哪些是普通资产?哪些是陷阱,哪些是糖衣?这将大大提升攻击者的攻击复杂度,攻击者不光在分辨真假资产和关键资产上会耗费大量时间,在躲避陷阱和攻击检测上也会付出不小的精力,因此,欺骗诱捕可以有效延缓攻击时间。同时,攻击者在网络中动作越多,被发现的可能也就越大,客观上又起到了诱捕攻击者的作用。
c) 攻击溯源和攻击者画像
在大量高交互蜜罐中,防守方通常会预先植入特定的反制脚本,当攻击者触碰到这些脚本时,这些脚本就会反向获取攻击者终端上的各类信息,从而完成攻击溯源和攻击者画像。
d) 实施联动威胁检测响应
欺骗诱捕体系可以和其他高级威胁防护体系进行深入联动,比如,当XDR体系检测到可疑攻击行为,产生告警但又无法实锤的时候,可以进行攻击引流,将攻击者引入到欺骗诱捕系统中,进一步观察攻击者的各类行为并最终确认攻击;再比如,通过欺骗诱捕系统可以采集攻击者所使用的各类静态攻击介质和动态攻击行为,作为威胁情报的重要来源;还有,针对欺骗诱捕系统实锤的各类告警,可以和SOAR进一步联动完成快速响应和修复补救,等等。
对于一个优秀的欺骗诱捕体系而言,要展现上述价值,必然对产品能力有更卓越的要求,体现在产品的高密度(攻击者进入的概率大)、高仿真(各类仿真环境不易被识破)、高交互(可支撑的各类系统、应用和数据等)、高检测(检测点多、检测类型多)等等多个方面。道高一尺魔高一丈,欺骗诱捕会提升攻击者的成本,但不会阻挡攻击者的步伐。
5.5.4 安全运营体系(体系9 - Security Operations)
安全运营不仅仅是高级威胁治理战略中不可或缺的体系构成,而且逐渐成为用户完整安全体系建设的重要组成部分。关于安全运营,去年已写专题做了阐述,大家可以参考《厂商视角的“安全运营”》一文。最近一年,安全运营也在实践过程中不断丰富化和具像化,逐渐成为面向用户可交付的产品体系,这里留个引子日后再表。
5.6 2021年HVV产品解决方案
2020年11月,我被公司任命负责2021年HVV产品解决方案的设计及落地,该产品解决方案最终成为战略4.0落地的关键实践。下图既是HVV产品解决方案的描述,也是高级威胁治理完整体系的概述,用图能解释清楚的就不过多文字赘述了。
图 31 2021 HVV产品解决方案
/************************************************************************
注:2020年零信任领域刚刚起步,还在小范围试点,只作为方案补充列入其中,今天,零信任在暴露面和攻击面管理方面的出色表现,可以让用户减少大量的攻击风险,在未来的高级威胁对抗领域一定大有作为,这里留下伏笔,我们拭目以待。
/************************************************************************
6. 后记
《演化的高级威胁治理》系列五篇文章,介绍了从2014年至今,我所从事的高级威胁治理战略规划2.0、3.0到4.0发展和演化的全部过程,从2021年5月到今天历时8个月时间陆续整理发布,就此暂告一段落,战略5.0也在2021年HVV结束之后逐渐孕育而成,假以时日再发布更新。
来自IT基础架构的演化、政策的演化、威胁的演化、用户行为的演化、服务模式的演化、商业模式的演化等等因素,无时无刻不在影响着我们这个行业;来自国家、用户、行业、市场、资本等层面的种种需求,又在不断推动这个行业高速发展;HVV作为网络对抗的实战检验,为高级威胁治理领域的发展揭开了序幕,提供了舞台,开辟了新章,它将长期、常态地持续下去,除此之外,各行各业围绕关键信息基础设施的防护工作也在紧锣密鼓地展开,国与国之间的网络对抗也面临着新的形势,高级威胁治理也即将演化上升到一个新的台阶。
物来顺应,未来不迎,如实观照。
(完)
