采用威脅框架，度量和提升網(wǎng)絡(luò)安全防護(hù)體系

王小豐

在合規(guī)建設(shè)的基礎(chǔ)上有效推動(dòng)安全防護(hù)體系的能力提升是一個(gè)較好的方案，我們要在實(shí)踐中運(yùn)用威脅框架，增強(qiáng)防護(hù)體系的威脅對(duì)抗能力。

前面的嘉賓介紹了在云端如何建立安全的防護(hù)體系，同時(shí)我們也注意到安全的最終目的是為了保障安全、對(duì)抗攻擊者。如何去度量我們的防護(hù)體系到底有沒(méi)有效果？這是我匯報(bào)的主要內(nèi)容。

現(xiàn)在的網(wǎng)絡(luò)應(yīng)用場(chǎng)景越來(lái)越復(fù)雜，網(wǎng)絡(luò)攻擊者越來(lái)越多，有兩個(gè)典型的數(shù)據(jù)：一是惡意代碼樣本種類增加了400倍，這是20年的變化情況。安天引擎本地檢測(cè)規(guī)則增加了500倍。并且不是單純的種類增加，每個(gè)種類里面的技術(shù)也相對(duì)增加了。二是SNORT的默認(rèn)生效規(guī)則數(shù)量，從2003年的2345條到2019年的11629條，16年間增加了約4倍。

一方面是攻擊種類、攻擊方法的增加，另一方面是攻擊復(fù)雜度的劇增。企業(yè)在這些年的發(fā)展情況是一個(gè)典型傳統(tǒng)架構(gòu)的防護(hù)體系，為了保證對(duì)IT場(chǎng)景的覆蓋，需要做這些安全措施：比如網(wǎng)絡(luò)安全能力、安全運(yùn)行支撐性措施、應(yīng)用與數(shù)據(jù)層、設(shè)備與計(jì)算層等，要對(duì)各個(gè)場(chǎng)景進(jìn)行安全覆蓋。進(jìn)一步對(duì)比私有云場(chǎng)景，我們會(huì)發(fā)現(xiàn)在供給數(shù)量上會(huì)劇增，做到云化安全防護(hù)之外，還要做到云平臺(tái)的基礎(chǔ)防護(hù)。如果是高度依賴IT的企業(yè)，多元混合云成為了選擇，防護(hù)體系和安全場(chǎng)景也會(huì)進(jìn)一步增加。

綜合來(lái)看，網(wǎng)絡(luò)攻擊的技術(shù)手法、應(yīng)用場(chǎng)景和防護(hù)體系、APT攻擊行動(dòng)的復(fù)雜性和危害性均在劇增，安全防護(hù)體系要想有效，亟待提升面向?qū)剐Ч脑u(píng)估方式和指引能力。

業(yè)內(nèi)和科研界對(duì)如何做出有效的防護(hù)體系也進(jìn)行了探索，但我們?nèi)绾稳ザ攘窟@些實(shí)踐的有效性呢？我認(rèn)為最重要的還是要從實(shí)際防護(hù)的效果出發(fā)，難免會(huì)碰到兩個(gè)問(wèn)題：一是不可能模擬出完整的攻擊效果;二是我們會(huì)發(fā)現(xiàn)，尤其是APT的隱蔽性和長(zhǎng)期性，我們不一定能夠發(fā)現(xiàn)真正的實(shí)際效果，不一定能夠保證這些效果。

如今，大數(shù)據(jù)領(lǐng)域的威脅框架比較多，我們舉的例子是ATT&CK，目前被業(yè)內(nèi)廣泛采用的威脅框架，這個(gè)框架有三個(gè)特點(diǎn)：一是從攻擊者的視角和攻擊過(guò)程的整體分析來(lái)說(shuō)較為全面。同時(shí)，它給出了整個(gè)攻擊行動(dòng)之后應(yīng)該采用的對(duì)抗行為。二是可以形成有效的知識(shí)庫(kù)，指導(dǎo)防御方通過(guò)采集+分析來(lái)識(shí)別攻擊行為。三是發(fā)展前景良好，獲得安全研究人員和安全廠商的廣泛支持。

關(guān)于ATT&CK威脅框架的三個(gè)域覽：一是企業(yè)域，二是移動(dòng)域，三是工控域。企業(yè)域主要運(yùn)用于公共平臺(tái)，包括云平臺(tái)。如果要對(duì)比的話，針對(duì)其他的研究模型來(lái)看，企業(yè)域主要應(yīng)用于攻擊發(fā)起之前的攻擊組織活動(dòng)。我們把整個(gè)威脅框架翻譯了一下，大概有十多類技術(shù)，細(xì)化到每一類技術(shù)中分別有20多種相關(guān)戰(zhàn)術(shù)。

目前從業(yè)內(nèi)應(yīng)用來(lái)看主要有兩大類：一是針對(duì)攻擊事件和攻擊組織的分析。比如，針對(duì)APT29空間組織的分析，目前來(lái)看通過(guò)這種方式可以刻畫(huà)出攻擊組織經(jīng)常采用的計(jì)算數(shù)，發(fā)現(xiàn)攻擊組織的計(jì)算數(shù)變化，同時(shí)監(jiān)測(cè)如何防護(hù)。二是度量自身的防護(hù)體系，通過(guò)將整個(gè)威脅框架進(jìn)行覆蓋，對(duì)自己應(yīng)用的IT場(chǎng)景進(jìn)行覆蓋，形成改善措施。

從我們對(duì)分析者的追蹤過(guò)程發(fā)現(xiàn)三種能力較為重要：一是驗(yàn)證和提升產(chǎn)品能力，二是提升威脅對(duì)抗能力，三是評(píng)估和改進(jìn)系統(tǒng)安全性。

在真正的攻擊實(shí)踐中往往會(huì)出現(xiàn)三個(gè)情況：一是在自己的IT場(chǎng)景中不可能把安全場(chǎng)景做全，二是不可能把安全場(chǎng)景做到最細(xì)，三是思考如何對(duì)抗威脅。比如折紙攻擊戰(zhàn)術(shù)相對(duì)而言不是那么高超，它是通過(guò)數(shù)源分析，用少量的攻擊資源不停地偽裝、變換、隱藏自己，我們就稱其為“折紙”。比較有意義的是其至今仍然活躍，在隔離了內(nèi)網(wǎng)的情況下仍然可以去傳播，去竊密。

我們針對(duì)“折紙”攻擊行動(dòng)的應(yīng)對(duì)措施分析：一是進(jìn)行傳統(tǒng)的攻擊戰(zhàn)術(shù)分析，二是把戰(zhàn)術(shù)分析的情況映射到整個(gè)ATT&CK威脅框架的技術(shù)和戰(zhàn)術(shù)上，三是應(yīng)用了ATT&CK框架中提供的SHIELD框架映射。因?yàn)椋琒HIELD框架中強(qiáng)調(diào)了蜜罐、誘捕，及時(shí)將攻擊者的攻擊行動(dòng)引入到蜜罐環(huán)境中或者密碼環(huán)境中捕獲威脅，能夠有助于更好的給自己留下時(shí)間窗，形成改善整個(gè)安全策略的時(shí)間，進(jìn)而映射到整個(gè)威脅行為，將威脅行為編排到各個(gè)安全產(chǎn)品中。四是制定對(duì)抗方案，這時(shí)候會(huì)把對(duì)抗策略大量地分發(fā)到蜜罐、密碼中，少量分發(fā)到防火墻中，形成整個(gè)對(duì)抗技巧，可以快速對(duì)抗APT的攻擊組織。

在合規(guī)建設(shè)的基礎(chǔ)上有效推動(dòng)安全防護(hù)體系的能力提升是一個(gè)比較好的方案，威脅框架提供了非常好的面向?qū)沟脑u(píng)估方式與提升指引。我們做了很多方法論的探索和技術(shù)指南的探索，但面對(duì)真正實(shí)戰(zhàn)效果和對(duì)抗效果的評(píng)估仍非常重要的。

網(wǎng)絡(luò)是人和人的對(duì)抗，從我們掌握的ATT&CK框架上來(lái)講，它是對(duì)攻擊型戰(zhàn)術(shù)的總結(jié)，千萬(wàn)不要因?yàn)榻⒘薃TT&CK框架就認(rèn)為建立了所有的安全感，不要以為建立了框架就建立了對(duì)抗所有攻擊的能力。在實(shí)踐中運(yùn)用威脅框架，全面增強(qiáng)防護(hù)體系的威脅對(duì)抗能力，才能達(dá)成保證體系對(duì)客戶有效方面的安全價(jià)值。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）