随着信息技术进入“云化、大物化、移动智能”时代,网络安全形势也发生了深刻变化。但在实际工作中,很多企业安全建设的重点仍然是合规驱动的安全产品采购,在系统性和可持续性方面存在重大缺陷,缺乏对实际安全能力的评估方法。在此背景下构建的安全防护体系往往容易受到当前新型网络安全攻击。2015年,美国系统网络安全协会(SANS)提出了科学规划网络安全建设投资的滑动尺度模型,对网络安全体系建设过程进行阶段性划分,根据各阶段建设水平评估安全防护能力,从而指导企业未来安全防护能力建设。该模型的防护思路已被国内一些领先机构的网络安全规划和建设借鉴和使用,但总体而言,国内应用的深度和广度还存在不足。但其叠加演进的安全建设思路与新一代网络安全体系建设理念高度契合,对现代企业如何科学编制安全预算、优化资源配置、提升建设效果具有很强的指导价值。一、滑尺模型的价值研究人员发现,当前企业网络安全工作建设存在的不足主要有以下几点:忽视了科学、系统的安全框架。目前,很多企业仍将单点安全设备采购作为安全防护建设的重点,对信息系统自身架构的安全性关注较少。三大传统网络安全设备仍是主要采购对象。安全运营能力不足。网络安全工作对专业人才和能力的要求很高。目前很多企业缺乏人才积累,导致很多安全设备无法真正发挥应有的价值,无法快速定位和应对突发安全事件。回复。缺乏安全能力评估措施。安全是一个动态的、对抗性的过程,不能仅仅满足合规要求来推进安全建设。企业需要客观评估真实的安全能力或安全建设的成熟度,及时发现安全能力的不足或隐患。针对以上不足,亟需引入新思路、新技术、新方案,对现有安全防护体系进行优化改造。网络安全滑动比例模型的应用可以为组织平衡网络安全资源和技能投入提供参考框架。滑尺模型不仅可以展示各个防御阶段的重点,还可以为企业开展信息安全建设提出部署步骤。企业在进行安全规划和建设时,可以参考滑尺模型,根据自身资源和现状,优化和改进当前工作。图1滑动比例模型滑动比例模型可以应用在很多方面,包括:向非技术人员解释安全技术问题;明确资源投入的优先顺序,跟踪资源和技能投入;评估企业网络安全风险和实际安全防护能力水平;确认网络安全事件溯源分析是否准确。滑尺模型的核心在于一个“动”字,各个防御分类都不是孤立的、静止的。首先,同一技术的不同应用场景可能属于不同的类别;其次,企业的资源投入不能停留在一类,而是要聚焦一类,根据自身情况不断部署或同时多类部署。升级;最后,安全建设不是孤立的。只有做好左侧的防御分类,才能最大限度地发挥右侧的防御和法攻反分类。需要指出的是,滑动尺度模型是一个宏观模型。在进行具体施工布局和产品采购时,需要结合PPDR模型和杀伤链模型,进一步制定安全施工工作实施细则。2.滑尺模型分类通过网络安全滑尺模型,企业可以了解自身所处的阶段,以及未来建设中应采取的措施和投入,可分为五类:框架安全、被动防御、主动防御、威胁情报和进攻性对策。每个类别都有不同的投资回报率,可以抵御的威胁和攻击的类型也不同。组织可以根据自身情况将安全投资分为不同的类别。架构安全定义:在系统规划、工程管理和设计过程中引入架构安全措施。企业需要将网络安全思想融入网络建设之初,将业务应用、网络建设、安全规划相结合,采取措施增加安全性、减少攻击面、提高响应速度。特点:网络安全建设的基石。主要模型:NIST800系列模型、普渡模型(PERA)、支付卡行业数据安全标准(PCIDSS)。主要技术:网段划分、补丁管理、供应链管理、员工管理、安全规划。落地建议:架构安全是企业能够以最小的成本获得最大的安全价值的方法,所以也是最需要关注的方法。我们建议企业可以从管理和建设两个维度做好架构安全。从建设的角度,可以参考免保2.0中的网络架构安全,构建清晰的企业网络架构拓扑图,做好资产清单,同时做好网络建设和安全建设的规划.从管理的角度,按照ISO27001管理体系建立相应的管理要求。被动防御定义:依附于系统架构,无需人工干预即可提供持续威胁防御或威胁洞察的系统。被动防御保护资产,防止或限制已知安全漏洞的利用和已知安全风险的发生。被动防御更多依赖静态规则,需要不断优化升级。特点:网络安全建设的起步阶段,也是投资的核心阶段。主要模型:纵深防御模型、NIST网络安全框架。主要技术:示例系统,例如防火墙、反恶意软件系统、入侵防御系统、防病毒系统、入侵检测系统和类似的传统安全系统。落地建议:被动防御是企业需要做的基础安全防护工作。构建时可参考MLPS2.0中的安全区域边界和安全计算环境进行构建。被动防御涉及的技术相对成熟。企业在选择产品时,可以先针对主动防御阶段进行规划,然后根据主动防御阶段的产品选择来选择被动阶段防御产品。主动防御定义:分析人员监控、响应、学习(体验)并将知识(理解)应用到受保护网络中的威胁的过程。主动防御阶段侧重于人工参与。在这个阶段,手册将结合工具对网络进行持续监控和分析,对风险采取动态分析策略,结合网络实际情况和业务,对抗攻击者的能力。特点:网络安全建设的高级阶段,一般需要一个可以达到的阶段。主要型号:主动网络防御循环、网络安全监控。图2主动网络防御周期的主要技术:SIEM、威胁情报消耗、网络安全监控和事件响应。参与人员:事件响应人员、恶意软件逆向工程师、威胁分析师、网络安全监控分析师。落地建议:主动防御阶段,不仅需要产品能力,更需要人员能力。主动防御的建设可以参考MLPS2.0中安全管理中心的建设。主动防御的实施需要产品和人员同步开发,人员能力可以通过聘请专业的信息安全人员或购买信息安全服务获得。威胁情报的定义:收集数据,将数据利用转化为信息,并生产和处理信息。威胁情报是一种情报,它收集经过分析和创建的信息以创建有关攻击者的情报。情报需要做的:该威胁实际上可以对甲方的用户造成威胁;智能必须能够实际使用。该情报需结合甲方用户实际情况合理使用。用户的实际情况包括网络情况、业务情况、安全防护情况等,因此智能取决于前三类的状态。特点:网络安全主动防御建设必须紧密结合实际。主要模型:网络杀伤链模型、ATT&CK模型、钻石模型、情报生命周期。图3威胁情报生成系统的主要技术:威胁情报生成、蜜罐。落地建议:情报更多指的是主动生成威胁情报的过程。企业生成威胁情报最直接的方式就是部署蜜罐系统。企业在部署蜜罐、蜜网等系统时,也需要与服务一起购买。进攻反制的定义:对攻击者的合法反制、自卫反击。这是一种提高自身网络安全的冒犯行为,因为它通常游走在合法性的边缘。对于民间组织而言,这些行为可能会产生负面影响并带来法律风险。因此,不建议直接采用此类方式进行防护,但可以引入“主动攻击”的思路和合法的反制措施,提高自身的防御能力。特点:该阶段属于网络安全建设的更高目标,通过模拟攻击和合法反制来提高网络的抗攻击能力。主要技术:攻击溯源、攻防实验室、红蓝队攻防演练。落地建议:通过追溯攻击源头,准确获取攻击者信息,通过合法手段或其他合法手段进行反制;建立攻防实验室,对机构重要系统进行模拟攻击,验证防御手段的健康度;红蓝两队进行攻防演练,不断提升网络在实战中的抗攻击能力。3.滑尺模型应用建议滑尺是一种能力叠加演化的安全概念。左边是右边的基础,右边是应对更高级威胁的能力。只有夯实安全基础,才能实现变被动为主动的防御。从左到右是安全能力的提升,也是安全成本的增加。在选择安全架构时,企业需要根据自身面临的风险和预算能力,选择适合自己的安全防护构建模式。整体企业安全能力建设对于需要建设系统网络能力的企业,我们建议重点关注架构安全。在进行安全规划时,可优先考虑建筑安全、被动防御和主动防御三个阶段的建设。在实际的网络安全建设中,组织需要优先在网络建设和被动防御两大类中落实安全预算。提升企业原有安全能力对于已经具备一定安全基础,需要在此基础上进行优化提升的企业,我们建议:1、评估自身网络安全能力的成熟度,企业可以选择网络安全能力成熟度模型(C2M2)是一种快速评估企业安全现状的简单通用方法。图4C2M2模型的10个领域可以对应滑尺模型的5个分类:图5滑尺模型和C2M2模型对应的C2M2模型的10个领域可以根据成熟度分为四个等级实际情况。通过计算滑动尺度,每个类别中每个域的平均成熟度产生相应类别的成熟度值。2.评估您面临的客观安全风险。安全风险分为外部攻击者故意带来的风险和自身业务带来的风险。根据CheckPoint《2022年安全报告》的数据,教育行业、政府和通信机构是网络攻击的重灾区。不同行业具有不同的情报值和整体防护能力,攻击者可能会根据行业选择攻击目标。此外,企业营业网点的数量也会影响企业信息资产的互联网暴露程度,从而增加安全风险。3.评估自有资源情况自有资源情况是指网络安全建设中可投入的人力、物力和财力。资源量的核心在于管理层对网络安全建设的认可。网络安全一般被认为是信息系统建设的伴随产物,不能直接产生经济效益。因此,不同的领导对网络安全的态度是不同的。在评估自身资源现状时,一方面要评估现有的网络安全预算和专业的安全人员,另一方面还要评估管理层对网络安全的态度,所以以控制未来网络安全的整体建设。4.评估下一步安全建设方向。安全的下一步可遵循以下原则:安全风险高的企业可将资源分配到滑尺模型的各个类别,均衡地在各个方面进行安全投入。对于低安全风险的公司,预算资源的重心可以向左转移。在资源丰富的情况下,可以均衡安排多个品类。如果以后安保预算明确,布局可以从左到右排列。如果网络资源不够充裕,则首选左移部署。优先提升左侧区域的安全成熟度。
