目前,高级威胁已经成为企业网络安全的新常态。针对性攻击总是可以轻松绕过传统防御系统的检测机制。无处不在的攻击让所有企业面临更持久的安全风险挑战。传统的基于保护面和保护技术的边界保护模式已经逐渐失效。应对当前的高级威胁,仅仅划分防护面和增加防护手段是远远不够的。通过对现有纵深防御概念和CARTA模型的分析,在近期的《企业高级威胁防护能力构建指南》报告中,安全牛研究团队梳理出新一代企业先进技术,以重点领域为面,防护机制为身体,保护技术为工具。威胁防护能力模型将防护区域、防护机制、防护技术定义为构建企业高级威胁能力的三要素。新一代企业高级威胁新防护能力模型防护区域和防护面的划分是实施细粒度防护的基础,可以确保对可能被攻击的关键线路采取最有效的防护措施,减少攻击的横向传播。数字时代高级威胁防护系统的保护区域应该是多层次递进的,在原有IATF的基础上增加“应用和数据”域。保护机制保护机制是建立一个流程体系来保证安全保护的持久性。高级威胁防护系统中的防护机制应该是动态的,应该有多层嵌套,典型的包括攻击防护机制、业务验证机制和策略合规机制。防御技术防御技术是防御系统中使用的手段和方法。高级威胁防护体系中的技术手段不仅要多样化,还要保证差异化的技术能力能够相互转化。典型的技术手段包括预测、保护、检测和响应。在本次调研中,安全牛对近百家企业用户进行了现场访谈和问卷调查。通过梳理分析上述受访企业的高级威胁防护现状和实践经验,我们建议企业可以参考以下六大原则:企业高级威胁防护能力建设六大原则原则一:采用战略安全规划的顶层视角高级威胁对抗是一种常态化的对抗,其特点决定了企业需要运用战略思维,从顶层视角统筹安全规划,结合安全风险评估,确保规划结果的有效性。可执行,满足企业真正的安全需求。除了保护面,还应考虑时间维度,以确保安全基础设施在未来更具可持续性和有效性;如何从平战结合的角度,最大化基础设施的成本效益;此外,企业安全战略要立足当下,做好维度升级的能力建设预期。原则二:用系统化的理念构建弹性安全架构。安全架构首先要保证顶层框架设计是从上到下逐层、面对面进行的。其次,由于网络攻击的多变性,安全产品种类多、迭代快。无序的产品栈就像散沙一样,在高级威胁攻击面前无法形成战斗力。任何时期的安全能力建设,都需要长期考虑扩展和迭代。系统/产品架构比功能选择更重要。安全架构设计要规划核心能力和支撑能力,用系统化、科学化的方法构建有效合力,使安全体系围绕核心能力螺旋式增长,确保业务变革有更多安全保障和场景迁移。弹性好。原则三:基础保障能力建设不容忽视。利用任何低级漏洞都可能对高级威胁造成严重后果。没有基础防护,构建高级威胁就像是沙滩上的城堡。基线建设和合法合规是网络安全防护的基本防线。只有基于基础安全能力,才能更高效地构建高级威胁防护能力。但需要承认的是,安全基线建设和合法合规只是企业网络安全防护的红线,并不能等同于高级威胁防护能力。原则四:选择差异化技术,实现能力互补。从保护面、保护技术到保护机制,都需要差异化。在不同防护面选择差异化技术避免重叠,可以有效增加全面突破防护面的难度,降低攻击成功率。其次,正面交锋并不总是有绝对的胜算。在做好攻击识别和检测的同时,做好敏感资源和数据的保护也同样重要。原则五:任何最佳实践都不能完全照搬行业的特点。确定了企业的攻击类型和风险级别。每个企业安全建设的目标和落脚点都不一样。自适应安全保护需要在企业中进行一定程度的定制。行业最佳实践的分享,提升了攻防水平,但能公开的经验,一般不会完全有效。原则六:重视网络安全团队的能力建设。虽然应对安全自动化的能力越来越成熟,但技防是基础,人防是保障。高级威胁从识别到响应和处置,都离不开专业安全人员的介入。此外,员工的安全意识也需要不断提高。企业安全体系的建立、实施、管理和运维都是安全团队能力建设的重要要求。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
