韓志峰，鄭瑞剛，許暖

（1.中移動(dòng)信息技術(shù)有限公司，北京100033；2.中國移動(dòng)通信集團(tuán)安徽有限公司,安徽合肥230000）

1 引言

近年來，隨著萬物互聯(lián)、人工智能等新技術(shù)革命的到來，網(wǎng)絡(luò)安全進(jìn)入了大安全時(shí)代，涉及到國家安全、國防安全、基礎(chǔ)設(shè)施安全、城市安全以及社會(huì)民生安全。網(wǎng)絡(luò)安全已經(jīng)成為企事業(yè)單位的支撐角色，并逐漸演變成了生產(chǎn)要素，其重要性不言而喻。

整個(gè)網(wǎng)絡(luò)世界一直在動(dòng)蕩中發(fā)展。自從云計(jì)算、大數(shù)據(jù)、AI等技術(shù)大范圍應(yīng)用后，網(wǎng)絡(luò)攻擊者們更加肆無忌憚，早已實(shí)現(xiàn)網(wǎng)絡(luò)攻擊武器的升級(jí)。面對(duì)這樣嚴(yán)峻的挑戰(zhàn)，作為安全防守者，應(yīng)及時(shí)提升安全防護(hù)能力水平，應(yīng)用更加科學(xué)合理的技術(shù)手段，及時(shí)發(fā)現(xiàn)和阻止每一次的攻擊行為。

過去二三十年，國內(nèi)主流安全能力建設(shè)的重心放在安全防護(hù)、阻止和檢測(cè)等領(lǐng)域，但在安全響應(yīng)環(huán)節(jié)仍然存在很大的短板。越來越多的企業(yè)開始重視安全應(yīng)急響應(yīng)，尤其是應(yīng)急響應(yīng)處置的速度、質(zhì)量。

今天，很多大型的企業(yè)或組織已經(jīng)能夠較為準(zhǔn)確地識(shí)別一起安全攻擊事件，但在響應(yīng)處置環(huán)節(jié)仍然存在重大短板。尤其是對(duì)風(fēng)險(xiǎn)嚴(yán)重性的判斷、風(fēng)險(xiǎn)遏制手段的決策和風(fēng)險(xiǎn)響應(yīng)措施的執(zhí)行，缺少科學(xué)合理和自動(dòng)化的應(yīng)對(duì)機(jī)制，導(dǎo)致安全響應(yīng)頻繁落后于攻擊者。其很大一部分原因是缺乏可靠地風(fēng)險(xiǎn)損失量化評(píng)估模型，無法第一時(shí)間給出量化指標(biāo)為響應(yīng)處置提供決策依據(jù)。

2 主流安全風(fēng)險(xiǎn)處置邏輯

主流網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)處置的框架或邏輯是：通過有效的感知系統(tǒng)收集各類系統(tǒng)的日志、活動(dòng)和告警，之后通過相關(guān)的分析技術(shù)（可以結(jié)合AI、大數(shù)據(jù)）判定安全事件的風(fēng)險(xiǎn)等級(jí)，然后予以告警通知，或采取初始的響應(yīng)動(dòng)作。主流風(fēng)險(xiǎn)識(shí)別與治理框架，如圖1所示。

針對(duì)安全風(fēng)險(xiǎn)處置邏輯，目前國內(nèi)外已有相關(guān)的機(jī)構(gòu)或企業(yè)在開展各類嘗試。總體來說，先要對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)算，之后開展對(duì)應(yīng)的處置措施。常見的風(fēng)險(xiǎn)計(jì)算主要有定量、定性和兩者結(jié)合等方式的計(jì)算。但此類風(fēng)險(xiǎn)計(jì)算邏輯往往偏于單一場(chǎng)景和靜態(tài)數(shù)據(jù)，缺乏動(dòng)態(tài)調(diào)整和決策能力支撐，對(duì)后續(xù)安全策略下發(fā)缺少足夠的實(shí)戰(zhàn)參考價(jià)值。

以某省級(jí)移動(dòng)運(yùn)營商為例，過去多年的網(wǎng)絡(luò)安全建設(shè)已經(jīng)取得一些成績(jī)，各類檢測(cè)手段、防護(hù)策略也已經(jīng)部署，但落實(shí)到具體的安全事件處置時(shí)，往往在風(fēng)險(xiǎn)識(shí)別、計(jì)算和決策等環(huán)節(jié)仍然需要大量的人工參與和不確定性。這導(dǎo)致事件處置和響應(yīng)缺乏可衡量的機(jī)制，無法做到經(jīng)驗(yàn)和邏輯的傳承和復(fù)制，不利于綜合安全能力的建設(shè)，更不能滿足新時(shí)代下網(wǎng)絡(luò)安全攻防場(chǎng)景的綜合挑戰(zhàn)。

3 國內(nèi)風(fēng)險(xiǎn)計(jì)算和處置現(xiàn)狀

國內(nèi)主流廠商或企業(yè)的風(fēng)險(xiǎn)計(jì)算邏輯和處置策略通常缺少量化指標(biāo)，風(fēng)險(xiǎn)計(jì)算維度單一，風(fēng)險(xiǎn)處置粗暴，總的可以概括為定性計(jì)算為主、過度依賴專家經(jīng)驗(yàn)、缺少可復(fù)制性。

3.1 定性計(jì)算為主

大多數(shù)安全事件風(fēng)險(xiǎn)計(jì)算以定性計(jì)算為主，例如給出高、中、低或緊急、重要、一般、輕微等說明，告警信息通常以圖文方式在產(chǎn)品儀表盤進(jìn)行展示，缺乏可以數(shù)字化衡量的基礎(chǔ)。

3.2 依賴個(gè)人經(jīng)驗(yàn)

風(fēng)險(xiǎn)計(jì)算依賴工程師經(jīng)驗(yàn)。同樣一個(gè)SQL注入告警或Webshell利用事件，不同的工程師給出的嚴(yán)重度判斷是不一樣的。單純看安全設(shè)備告警信息，普通工程師可能會(huì)定級(jí)為很高，但是了解攻擊行為和影響范圍的人員可能認(rèn)為是個(gè)低風(fēng)險(xiǎn)。

3.3 缺少可復(fù)制性

數(shù)據(jù)判定取決于樣本庫或人員主觀邏輯，不具備動(dòng)態(tài)適配能力。因?yàn)轱L(fēng)險(xiǎn)判斷結(jié)果不同，導(dǎo)致響應(yīng)所采取的措施也不同。而且風(fēng)險(xiǎn)判斷依賴人工，數(shù)字化衡量不精確，導(dǎo)致風(fēng)險(xiǎn)處置邏輯不具備可復(fù)制性。

4 國外風(fēng)險(xiǎn)處置發(fā)展現(xiàn)狀

國外一些新型的攻防理念和技術(shù)通常較為領(lǐng)先，在安全風(fēng)險(xiǎn)計(jì)算和處置領(lǐng)域也早已誕生一系列的標(biāo)準(zhǔn)。通常的風(fēng)險(xiǎn)計(jì)算適用于風(fēng)險(xiǎn)評(píng)估，而作為事件響應(yīng)處置的風(fēng)險(xiǎn)計(jì)算雖然有量化方式，但仍然缺少動(dòng)態(tài)適應(yīng)的能力，并且與國內(nèi)環(huán)境也存在適配的問題。

4.1 標(biāo)準(zhǔn)的模型僅適合資產(chǎn)風(fēng)險(xiǎn)評(píng)估

圖1 主流風(fēng)險(xiǎn)識(shí)別與治理框架

已有的風(fēng)險(xiǎn)計(jì)算模型主要是信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的ISO27005標(biāo)準(zhǔn)，通常從資產(chǎn)維度做風(fēng)險(xiǎn)評(píng)估，不適合對(duì)安全事件進(jìn)行風(fēng)險(xiǎn)評(píng)估。應(yīng)對(duì)實(shí)時(shí)變化的安全攻防事件，現(xiàn)有的風(fēng)險(xiǎn)評(píng)估模型和方式顯然不能滿足需求，安全防護(hù)者必須尋求新的突破。

4.2 風(fēng)險(xiǎn)計(jì)算過程僵化

資產(chǎn)通常是一個(gè)固定的對(duì)象，圍繞資產(chǎn)計(jì)算的因素也是固定的，因此容易通過簡(jiǎn)單的輸入得出一個(gè)風(fēng)險(xiǎn)值。但事件通常是動(dòng)態(tài)的，而且每個(gè)事件發(fā)生的上下文并不一樣，因此其風(fēng)險(xiǎn)計(jì)算邏輯和處置邏輯與普通資產(chǎn)完全不一樣。傳統(tǒng)風(fēng)險(xiǎn)計(jì)算的量化模式過于僵化，缺少上下文知識(shí)關(guān)聯(lián)。

4.3 自動(dòng)化風(fēng)險(xiǎn)處置劇本依賴專家經(jīng)驗(yàn)

一些企業(yè)或機(jī)構(gòu)已經(jīng)意識(shí)到動(dòng)態(tài)風(fēng)險(xiǎn)計(jì)算和處置的重要性，并開始了相關(guān)的探索，例如：IACD框架正在尋求實(shí)現(xiàn)自適應(yīng)動(dòng)態(tài)風(fēng)險(xiǎn)治理。雖然已經(jīng)有了自適應(yīng)的思想，并采取了自動(dòng)化的手段，但風(fēng)險(xiǎn)計(jì)算和決策邏輯本身仍然落后。已有的安全策略劇本仍然需要專家提前完成，并且針對(duì)風(fēng)險(xiǎn)處置的邏輯需要不斷調(diào)整，嚴(yán)重依賴人員。

4.4 缺乏國內(nèi)業(yè)務(wù)特征支撐

此外，國外相關(guān)的技術(shù)實(shí)現(xiàn)和規(guī)范往往有與其適配的技術(shù)場(chǎng)景和業(yè)務(wù)特征。相較于國外環(huán)境，國內(nèi)企業(yè)或組織的安全管理需求、方法和機(jī)制有很多差異的地方，還不能直接照搬。安全手段和技術(shù)的使用要適配國內(nèi)業(yè)務(wù)特征適配，對(duì)大型基礎(chǔ)設(shè)施企業(yè)、重點(diǎn)機(jī)關(guān)單位等組織更是如此。

5 現(xiàn)實(shí)安全應(yīng)急響應(yīng)的痛點(diǎn)

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)通常需要企業(yè)內(nèi)部多組織、多人員相互配合，完成一起事件的處置。這樣事件運(yùn)營過程通常需要安全系統(tǒng)或人員基于已有的安全告警信息，進(jìn)行綜合風(fēng)險(xiǎn)判斷，最終決策要采取的響應(yīng)動(dòng)作。但現(xiàn)實(shí)應(yīng)用場(chǎng)景與理想的標(biāo)準(zhǔn)模型存在的巨大的差異，實(shí)際響應(yīng)過程中有很多痛點(diǎn)和問題。

5.1 業(yè)務(wù)系統(tǒng)間存在依賴路徑

業(yè)務(wù)系統(tǒng)之間的通常有這個(gè)相互依賴或關(guān)聯(lián)的關(guān)系。企業(yè)業(yè)務(wù)邏輯比想象的復(fù)雜得多，不僅僅是簡(jiǎn)單的幾個(gè)網(wǎng)站或系統(tǒng)?，F(xiàn)在信息系統(tǒng)往往都是分布式、集群模式構(gòu)建，分為前端、中臺(tái)、后臺(tái)和底層數(shù)據(jù)等模式。系統(tǒng)內(nèi)部有層級(jí)依賴，系統(tǒng)之間有相互依賴關(guān)聯(lián)。例如管理系統(tǒng)需要調(diào)用SSO單點(diǎn)登錄系統(tǒng)，業(yè)務(wù)系統(tǒng)需要與OA系統(tǒng)關(guān)聯(lián)等，如圖2所示。

當(dāng)一個(gè)系統(tǒng)出現(xiàn)安全風(fēng)險(xiǎn)或者問題時(shí)，受影響的可能還包括其他系統(tǒng)。因此，評(píng)價(jià)一個(gè)安全事件所產(chǎn)生的風(fēng)險(xiǎn)，需要更加科學(xué)、合理的計(jì)算方法。

5.2 缺少信息關(guān)聯(lián)導(dǎo)致告警不準(zhǔn)

傳統(tǒng)安全告警基于配置檢查或漏洞掃描，依賴于特征庫覆蓋范圍和特征庫的更新。漏掃不及時(shí)，不準(zhǔn)確都會(huì)影響到告警和后續(xù)處置。安全事件日志的完整性、及時(shí)性和準(zhǔn)確性也會(huì)影響已有的告警統(tǒng)計(jì)分析。傳統(tǒng)的安全風(fēng)險(xiǎn)發(fā)現(xiàn)都是單個(gè)時(shí)間點(diǎn)的狀態(tài)值計(jì)算，即使增加了一些關(guān)聯(lián)分析，也是繼續(xù)靜態(tài)數(shù)據(jù)的疊加計(jì)算，仍然存在誤報(bào)、漏報(bào)的問題。

6 基于風(fēng)險(xiǎn)損失量化模型的應(yīng)急處置方法

6.1 主要思路

經(jīng)過過去幾年網(wǎng)絡(luò)安全事件運(yùn)營的積極參與和快速、高質(zhì)量的安全應(yīng)急處置策略的持續(xù)探索，文章針對(duì)上述遇到的問題和難點(diǎn)，給出了一種基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置的技術(shù)對(duì)策?；诖?，傳統(tǒng)的安全風(fēng)險(xiǎn)計(jì)算和處置的邏輯和質(zhì)量將得到更大的改進(jìn)優(yōu)化。

圖2 業(yè)務(wù)系統(tǒng)依賴關(guān)系圖

要解決風(fēng)險(xiǎn)計(jì)算難以量化，過于依賴人員，容易產(chǎn)生單點(diǎn)依賴，不支持動(dòng)態(tài)更新的問題，嘗試著從如下思路解決：構(gòu)造一種新的風(fēng)險(xiǎn)損失量化模型計(jì)算方法，將事件類型、嚴(yán)重度、資產(chǎn)嚴(yán)重度、系統(tǒng)依賴關(guān)系等等因素納入到風(fēng)險(xiǎn)計(jì)算邏輯，由此打破僵化，拒絕靜態(tài)，規(guī)避單點(diǎn)計(jì)算。

6.2 實(shí)現(xiàn)方法

基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置方法，是對(duì)當(dāng)前主流風(fēng)險(xiǎn)計(jì)算和處置的一種優(yōu)化，是安全攻防實(shí)戰(zhàn)過程的實(shí)踐與總結(jié)。為滿足應(yīng)急處置風(fēng)險(xiǎn)決策要求，系統(tǒng)設(shè)計(jì)需要遵循必要的原則，例如清晰的定義系統(tǒng)、科學(xué)地計(jì)算數(shù)據(jù)，數(shù)字化體現(xiàn)風(fēng)險(xiǎn)和損失。參與風(fēng)險(xiǎn)和損失計(jì)算的關(guān)鍵要素至少包括：資產(chǎn)嚴(yán)重度、漏洞嚴(yán)重度、受影響資產(chǎn)和被依賴資產(chǎn)、當(dāng)前系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)。

傳統(tǒng)風(fēng)險(xiǎn)計(jì)算表達(dá)式主要是面向單資產(chǎn)的風(fēng)險(xiǎn)計(jì)算，以風(fēng)險(xiǎn)計(jì)算因子的乘積作為最終結(jié)果，如：

風(fēng)險(xiǎn) = 威脅×影響×可能性

基于風(fēng)險(xiǎn)損失量化模型的計(jì)算方法實(shí)際上要計(jì)算多個(gè)依賴項(xiàng)各自的風(fēng)險(xiǎn)，并將結(jié)果再根據(jù)一定的邏輯合并，從而產(chǎn)生本次計(jì)算的數(shù)值。

以某個(gè)安全攻擊事件為例，針對(duì)目標(biāo)資產(chǎn)的直接風(fēng)險(xiǎn)計(jì)算邏輯如下：

A = 資產(chǎn)重要性（金額）， V=漏洞嚴(yán)重程度（百分比；表示資產(chǎn)受影響的概率），L=當(dāng)前內(nèi)部網(wǎng)絡(luò)整體風(fēng)險(xiǎn)等級(jí) （百分比，表示對(duì)漏洞防護(hù)的失效率）。

核心邏輯是 f'= A*V*L，注意這里的A，V，L通常都表現(xiàn)為概率分布（比如我們無法確定多少用戶可能會(huì)受到一次攻擊的影響），因此最終結(jié)果由將以數(shù)值模擬得出：f=MC(f')，MC表示蒙特卡洛模擬。偽代碼如下：

Sum ＜- 0

for (i from 1 to 1000) {

A ＜- random(A_min， A_max);

V ＜- random(V_min， V_max);

L ＜- random(0， 1);

Sum ＜- Sum + A*V*L

}

r ＜- Sum/1000

由于目標(biāo)資產(chǎn)可能是其它關(guān)鍵系統(tǒng)的依賴項(xiàng)，因此根據(jù)依賴路徑，其它系統(tǒng)可能也存在風(fēng)險(xiǎn)，我們將其稱為間接風(fēng)險(xiǎn)。以網(wǎng)站遭黑客SQL注入導(dǎo)致用戶信息泄露為例，直接風(fēng)險(xiǎn)表現(xiàn)為老用戶失去信任、不再使用產(chǎn)品帶來的經(jīng)濟(jì)損失。間接風(fēng)險(xiǎn)是由此帶來的政府罰單、排查問題、修復(fù)系統(tǒng)、長(zhǎng)期的信譽(yù)損失等等。每一項(xiàng)間接損失，都可以按照前述直接風(fēng)險(xiǎn)的計(jì)算方式來進(jìn)行量化，數(shù)據(jù)是可復(fù)用的。

綜合風(fēng)險(xiǎn)由直接風(fēng)險(xiǎn)和所有間接風(fēng)險(xiǎn)的求和得出：

R=最終風(fēng)險(xiǎn)數(shù)值， M=風(fēng)險(xiǎn)計(jì)算模型

d=依賴被攻擊資產(chǎn)的一個(gè)對(duì)象，可能有多個(gè)對(duì)象

模型M是針對(duì)當(dāng)前目標(biāo)資產(chǎn)風(fēng)險(xiǎn)和依賴該資產(chǎn)其它項(xiàng)的綜合風(fēng)險(xiǎn)計(jì)算模型。通過該模型可計(jì)算出某個(gè)攻擊事件可能產(chǎn)生的最終風(fēng)險(xiǎn)損失數(shù)值。

此外，用戶還可以從信息安全三要素C、I、A角度對(duì)模型做細(xì)化，計(jì)算在不同側(cè)重面的風(fēng)險(xiǎn)損失數(shù)值，從而滿足不同場(chǎng)景、不同業(yè)務(wù)的風(fēng)險(xiǎn)管理要求。針對(duì)機(jī)密性、完整性和可靠性的影響，可采采取的響應(yīng)措施也不盡相同。

M' =風(fēng)險(xiǎn)計(jì)算模型變化版

C=保密性、I=完整性、A=可用性

風(fēng)險(xiǎn)計(jì)算的數(shù)值取值有一個(gè)集合空間，例如[0，9]。安全人員可以根據(jù)具體需要?jiǎng)討B(tài)調(diào)整名參數(shù)和輸出格式，從而實(shí)現(xiàn)適合自身的風(fēng)險(xiǎn)損失量化計(jì)算過程。下圖是整個(gè)風(fēng)險(xiǎn)損失量化模型下，網(wǎng)絡(luò)安全應(yīng)急處置的整體流程，如圖3所示。

根據(jù)不同的風(fēng)險(xiǎn)數(shù)值可以決策出要開展的應(yīng)急響應(yīng)處置動(dòng)作，典型的風(fēng)險(xiǎn)處置的決策選項(xiàng)包括網(wǎng)絡(luò)封禁、應(yīng)用封禁、通知告警、提升系統(tǒng)風(fēng)險(xiǎn)等級(jí)、凍結(jié)用戶賬號(hào)、用戶降低權(quán)限、啟動(dòng)防病毒升級(jí)等等。

6.3 應(yīng)用落地

技術(shù)團(tuán)隊(duì)一直在探索嘗試將基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)應(yīng)用在某企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防護(hù)平臺(tái)的風(fēng)險(xiǎn)處置環(huán)節(jié)。迄今為止，該平臺(tái)已經(jīng)集中了態(tài)勢(shì)感知安全告警、CMDB（配置管理數(shù)據(jù)庫）、資產(chǎn)系統(tǒng)、業(yè)務(wù)關(guān)系拓?fù)?、知識(shí)圖譜和安全劇本編排能力。其中關(guān)鍵環(huán)節(jié)是在安全劇本中使用模型計(jì)算的結(jié)果進(jìn)行智能化的風(fēng)險(xiǎn)決策，根據(jù)風(fēng)險(xiǎn)計(jì)算的結(jié)果給出風(fēng)險(xiǎn)處置的手段，并在特定場(chǎng)景下直接采取風(fēng)險(xiǎn)處置手段。

目前該技術(shù)思路已經(jīng)在成熟使用，重點(diǎn)實(shí)現(xiàn)了動(dòng)態(tài)風(fēng)險(xiǎn)決策、自適應(yīng)風(fēng)險(xiǎn)治理等目標(biāo)，如圖4所示。

如圖4所示，圖中的主要邏輯是安全事件發(fā)生后，系統(tǒng)會(huì)根據(jù)事件的嚴(yán)重度、資產(chǎn)的重要性、資產(chǎn)漏洞弱點(diǎn)信息和受影響的可能性等做基礎(chǔ)風(fēng)險(xiǎn)計(jì)算，之后使用兩個(gè)以上的風(fēng)險(xiǎn)計(jì)算模型，對(duì)資產(chǎn)及依賴該資產(chǎn)的其它資產(chǎn)項(xiàng)風(fēng)險(xiǎn)做綜合計(jì)算，最終獲得綜合風(fēng)險(xiǎn)損失精細(xì)化計(jì)算數(shù)值。

這個(gè)數(shù)值在實(shí)際應(yīng)用中可以體現(xiàn)為損失的金額，根據(jù)事先確定的風(fēng)險(xiǎn)等級(jí)定義，轉(zhuǎn)化為風(fēng)險(xiǎn)等級(jí)。系統(tǒng)根據(jù)風(fēng)險(xiǎn)等級(jí)及風(fēng)險(xiǎn)類型智能決策要采取的措施，如資產(chǎn)單點(diǎn)隔離、資產(chǎn)網(wǎng)段隔離、系統(tǒng)賬號(hào)停用、攻擊流量清洗等手段，如表1所示。

圖3 網(wǎng)絡(luò)安全應(yīng)急處置的風(fēng)險(xiǎn)計(jì)算和處置決策流程

表1損失數(shù)值金額與等級(jí)映射關(guān)系（示例）

自適應(yīng)的風(fēng)險(xiǎn)治理除了需要能夠動(dòng)態(tài)計(jì)算安全事件風(fēng)險(xiǎn)數(shù)值并予以決策支持外，還需要能夠和企業(yè)內(nèi)部安全管理系統(tǒng)打通，實(shí)現(xiàn)動(dòng)態(tài)獲取全局風(fēng)險(xiǎn)，并根據(jù)事件風(fēng)險(xiǎn)實(shí)時(shí)更新已有的系統(tǒng)風(fēng)險(xiǎn)等級(jí)。只有這樣風(fēng)險(xiǎn)計(jì)算才不會(huì)成為單個(gè)事件的過程，而涉及到全局系統(tǒng)，成為真正意義上的自適應(yīng)安全防護(hù)，該過程如圖5所示。

如上圖所示，安全威脅被發(fā)現(xiàn)后系統(tǒng)自身的整體風(fēng)險(xiǎn)等級(jí)也參與了模型計(jì)算。根據(jù)最終計(jì)算結(jié)果，識(shí)別出要執(zhí)行的安全策略。而當(dāng)安全策略執(zhí)行完成后，再次執(zhí)行風(fēng)險(xiǎn)計(jì)算模型，同時(shí)更新系統(tǒng)整體綜合風(fēng)險(xiǎn)等級(jí)。通過該過程，安全風(fēng)險(xiǎn)計(jì)算不僅僅與單個(gè)事件有關(guān)，更增強(qiáng)了與整體系統(tǒng)風(fēng)險(xiǎn)的關(guān)聯(lián)關(guān)系，使得自適應(yīng)安全風(fēng)險(xiǎn)治理在技術(shù)上成為可能。

圖5 風(fēng)險(xiǎn)損失量化模型參與整體系統(tǒng)風(fēng)險(xiǎn)等級(jí)計(jì)算實(shí)現(xiàn)自適應(yīng)安全防護(hù)

7 技術(shù)應(yīng)用價(jià)值

通過基于落地風(fēng)險(xiǎn)損失量化計(jì)算模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)，企業(yè)可以實(shí)現(xiàn)真正動(dòng)態(tài)自適應(yīng)的安全風(fēng)險(xiǎn)治理。以一個(gè)具體的事件為例。

態(tài)勢(shì)感知告警：“某個(gè)員工賬號(hào)被攻擊者盜用，正在通過一個(gè)CDN IP地址訪問CRM系統(tǒng)。”

針對(duì)上述場(chǎng)景，主流的風(fēng)險(xiǎn)計(jì)算邏輯會(huì)判定為一個(gè)風(fēng)險(xiǎn)等級(jí)很高的安全事件，需要安全人員對(duì)訪問這IP地址立即采取封禁措施。但針對(duì)來訪者IP地址進(jìn)行直接封禁過于暴力，容易導(dǎo)致正常用戶訪問企業(yè)服務(wù)受到影響。

通過本文提到的基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)，系統(tǒng)可以根據(jù)該事件自身的嚴(yán)重度、受影響系統(tǒng)、訪問來源、訪問途徑等方式計(jì)算出一個(gè)數(shù)值。根據(jù)該數(shù)值可以決策出多個(gè)安全處置措施，其中操作影響度最低的是：凍結(jié)該員工賬號(hào)。系統(tǒng)可以優(yōu)先自主決策和執(zhí)行該策略，然后同步通知安全人員跟進(jìn)。

越來越多的應(yīng)用實(shí)踐表明，基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)可以為企業(yè)帶來革命化的安全運(yùn)營體驗(yàn)，總體受益在多個(gè)方面都有體現(xiàn)。

（1）降低誤報(bào)，提升告警準(zhǔn)確度

企業(yè)業(yè)務(wù)系統(tǒng)紛繁復(fù)雜，每天面臨各類攻擊威脅，安全告警事件量大，誤報(bào)問題嚴(yán)重，應(yīng)急響應(yīng)工作應(yīng)接不暇。通過實(shí)施基于風(fēng)險(xiǎn)損失量化模型的安全應(yīng)急處置系統(tǒng)后，收效明顯。由于風(fēng)險(xiǎn)計(jì)算邏輯更加科學(xué)，風(fēng)險(xiǎn)判定的準(zhǔn)確性大幅提升。誤報(bào)率下降帶來的效果是安全告警處置決策更加精準(zhǔn)、智能，響應(yīng)更加有目標(biāo)，效果更好。

（2）縮短時(shí)間，提高應(yīng)急響應(yīng)效率

因?yàn)橛辛俗詣?dòng)化、智能化的決策依據(jù)，安全事件處置速度更快，響應(yīng)時(shí)間大大幅縮短，處置效率得到了提升。部分場(chǎng)景甚至可以無需人工參與，做到7×24小時(shí)自動(dòng)化運(yùn)營。

8 結(jié)束語

本文探討了一種基于風(fēng)險(xiǎn)損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)方法。通過該方法，企業(yè)或組織可以改進(jìn)當(dāng)前安全事件運(yùn)營過程中風(fēng)險(xiǎn)計(jì)算不科學(xué)，決策依據(jù)不足，響應(yīng)不及時(shí)的問題。該方法和策略已經(jīng)在相關(guān)企業(yè)的實(shí)踐中得到應(yīng)用，并取得了一些成績(jī)?；谠摲椒ǖ奶剿骱吐涞厥录?，企業(yè)將獲得高速、高質(zhì)量的安全事件響應(yīng)風(fēng)險(xiǎn)計(jì)算方法，綜合安全風(fēng)險(xiǎn)處置能力得到更大的提升。

9 術(shù)語

SIEM：Security Information & Event Management，安全信息事件管理。

SOC：Security Operating Center，安全運(yùn)營中心。

IACD：Integrated Adaptive Cyber Defense，集成自適應(yīng)網(wǎng)絡(luò)防護(hù)。