数字时代,零日攻击、APT攻击、勒索病毒等威胁日益严重,安全对抗水平不断提高。安全最终要以实战攻防效果来衡量。面对随之而来的新威胁和重大挑战,实战化安全能力建设成为大安全时代的刚需。然而,在传统的网络安全建设过程中,顶层设计与实施之间存在差距,无法很好地应对实战攻防。这一系列问题对行业提出了挑战。8月9日-12日,ISC2021云峰会上,360政企安全组发布《实战驱动的网络安全方法论》,提出将实战攻防要素与传统网络安全相融合模型和框架驱动的方法。结合起来,它提供了实用的网络安全规划和测量方法。在ISC2021云峰会上,360(股票代码:601360,以下简称360)创始人兼董事长周鸿祎以军队打仗为行动理念,提出“系统战”.网络安全被视为数字化的附庸,试图通过堆积碎片化的产品来解决千变万化的安全问题。而是要以“战斗、对抗、攻防”思想为指导,直面安全挑战,构建切实可行的安全能力。此次发布的方法论是从实践角度规划和衡量网络安全能力建设的具体实例。360集团创始人兼董事长周鸿祎用方法论不断提升网络安全能力。本次ISC会议发布的方法论是360政府和企业安全组自上而下的战略计划。360集团首席运营官、360政企安防事业群CEO叶健讲解了方法论的核心理念和构成,并将服务作为360政企安防的核心能力之一团体;360政企安全事业群高级副总裁高汉钊讲解了方法论全景以及如何指导网络安全体系建设;主要基础要素关联,使实际攻防要素与传统网络安全模型和框架相结合,驱动网络安全规划和度量;360集团战略创新研究院副院长吴璐婷学位模型衡量网络安全能力及其特点。其中,360集团首席运营官、360政企安保集团CEO叶健提出360新网络安全策略的三大能力,其中一个重点是安全实践方法论。他从未知攻击、知防御等维度阐述了网络安全建设的需要;纵深防御,系统运行;考核机制,持续改进。了解安全攻击全貌,构建安全防御体系,持续开展安全成熟度评估,提升网络安全能力。360集团首席运营官兼360政企安全事业群CEO叶健如何用安全实践方法论构建网络安全体系?360政企安全事业群高级副总裁高汉钊在题为“面向作战的安全体系建设方法论”的演讲中进行了阐述。他提到,过去很多年,网络安全的顶层设计和网络安全的实施路径在很大程度上存在断层。究其原因,是因为提供顶层设计的第三方咨询公司或提供安全产品和解决方案的安全厂商在攻防方面的实战经验不强。不过,360最擅长实战攻防。因此,网络安全企业更有责任帮助各级组织从实战和防御的角度衡量和提升网络安全能力。高寒照在演讲中提出,安全体系建设需要量化、客观的方法论,旨在提升安全能力。网络安全体系设计需要与企业业务发展相一致,满足各种合规要求,充分了解自身业务和信息系统的安全风险、新的安全攻击趋势等因素作为输入;以大数据驱动安全建设,打造能够积淀安全能力的网络安全基础设施,内外兼修攻防兼备,管控双赢,培养安全人才,打造持续安全运营能力为指导思想;闭环输出网络安全能力由资源、管理、技术、执行四大要素构成。最关键的是如何通过实战来衡量和检验每一步建设的结果。主要由三个关键要素支撑,即:网络攻击知识图谱、网络安全防御效能和网络安全成熟度模型。360政企安全事业群高级副总裁高汉钊三大基本关联驱动实战规划与衡量方法论。其中最关键、最大的创新在于网络安全实战攻防要素与传统网络安全咨询规划建设方式的结合。通过实战衡量和提升网络安全能力。具体来说,如何提供切实可行的网络安全能力度量和规划?360政企安全集团产品战略规划专家何帆在“ATT&CK安全能力衡量论坛”上发表了题为“网络安全能力的衡量与规划”的演讲,提出其核心是整合网络安全攻击framework,defenseframework,maturity这三个模型是相关联的,三个分别用于入侵模拟,防御评估和成熟度评估,三者中前者的评估结果可以为后者提供输入,使得实战攻防与传统咨询规划方法相结合,形成实用的评价测量方法,最后根据差距分析结果进行建设规划。同时,何凡还在演讲中分享了360在方法论上的实践,构建了360攻防全景图、网络防御框架、网络安全能力成熟度模型的知识图谱,并将它们关联起来,并集成他们工程化、自动化、落地的本地安全大脑,从攻击、防御、测量的角度,协助各级组织提升网络安全能力。360政企安全集团产品战略规划专家何帆,在网络安全能力测算过程中,更大的挑战在于如何系统地定义网络安全能力成熟度模型以供业务实践使用。这在各大部委行业安全负责人思考未来五年网络安全总体规划时,显得尤为重要。在云峰会的“国家关键信息基础设施安全保障研讨会高峰论坛”上,360集团战略创新研究院副院长吴路亭发表了题为《关键信息基础设施安全能力体系建设》的演讲。他指出,关键信息基础设施的安全要建立完善的网络安全防御体系。360构建安全能力成熟度模型。这套模型有很多特点:第一是量化,安全状况可以量化,引入百分比制机制,通过该机制评估政府和企业现有的安全状况;二是能力成熟度建设,是360安全能力公式实施的基础项目;三是持续验证;四是特色网络安全能力衡量标准。360集团战略创新研究院副院长吴璐婷目前,360本方法论是在服务国家、城市、行业、企事业单位过程中总结提炼出来的。从全球经验来看,不同行业有其独特的业务策略和安全需求。未来,360政企安全组希望与各行业、各领域的专家共同探索和落地行业化的安全能力建设方法,真正构建面向未来的下一代安全能力框架。
