在之前的文章中，我们讨论了能力型安全产品在安全运营中的作用和价值。那么，当我们想要构建能够支撑安全运营的安全能力体系时，应该如何入手？如何让安全产品真正发挥出安全价值？这就需要一套体系化的方法框架，支撑安全能力落地，并指导我们赋能客户，帮助客户构筑起有效对抗威胁、实现安全运营的能力体系。本文将从威胁想定分析框架，OODA、杀伤链与威胁框架，能力型产品技术框架以及双环驱动与威胁猎杀四个部分详细介绍安天在安全方法框架方面的成果。

1.威胁想定分析框架

我们如何开始设计一个安全方案？如何评价安全方案是否合理？为尝试解决这些问题，我们以多年的威胁对抗经验为基础，结合对过往的威胁事件、对手的能力体系、现有的法律法规和标准规范的梳理，提出了威胁想定分析框架。

安天威胁想定分析框架以客户的资产价值与环境出发，首先分析客户的硬件和物理资产、软件和数据资产、业务资产价值等。然后向后进一步的推导当这些资产受到威胁时，会引发什么样的风险、后果。从资产向前可以分析出哪些层级的威胁行为体可能会对资产造成威胁，同时可以对威胁行为体可能的动机进行分析，如个人利益、商业经济、政治、宗教、文化，或是由于大国间竞合导致的具有国家背景的威胁行为体的攻击等，进一步分析威胁行为体通过何种攻击手段与方式进行攻击，从而形成一个比较清晰的威胁想定。

图1 安天威胁想定分析框架

此外，建立对威胁的有效认知，能够进一步指导安全防御体系的建立。安天按照攻击组织的能力级别、攻击动机、攻击水平、常用攻击装备等将威胁行为体划分为0-6七个级别。通过划分，将种类繁多的攻击组织或行为体进行有效分割，使组织更加清晰地了解当前的安全风险。

图2 威胁行为体评估体系

威胁想定分析框架与传统的等保评估、风险评估有较大不同。等保评估是一个类似合规点清单的方法，用来评价防御手段建设是否覆盖了等级保护要求；风险评估是基于暴露面和脆弱性的分析。安天威胁想定分析方法，是以客户资产（IT设施）价值与威胁活动和行为体的相关性来入手展开的，其重点分析客户可能遭到何种层级，甚至哪一个具体的威胁行为体、以何种动机遭到的攻击。同时从国家安全、社会安全、政企机构安全和个人安全四个层次，来分析不同攻击的后果和影响，并进一步从后果和影响来反过来测算安全预算和资源的规模。通过这种测算，可以在预算丰富的情况下，帮助客户建构与业务高度融合的一体化运营体系；在预算不充足的情况下，帮助客户优先完成端点统管、情报驱动等关键环节建设。

2.OODA循环、杀伤链与威胁框架

在具象化威胁想定之后，为了进一步展开威胁想定需要的安全能力，安天引入了OODA循环、杀伤链与威胁框架。习近平总书记指出：“网络安全的本质在对抗，对抗的本质在攻防两端能力较量。”OODA循环，是一个面向于对抗活动的、持续的工作闭环。把它引入到网络安全领域之后，对抽象的OODA循环进行具象化的展开，形成洛克希德马丁杀伤链。杀伤链虽然弱化了OODA的闭环性，但是在阶段展开和工程性上面具备更好的效果。在杀伤链的基础上再进行扩展，将涉及到的攻击技术进行遍历，便得到了威胁框架。

威胁框架是细粒度攻击技术的聚合，每一个攻击技术都可以展开成多个子技术。在实际上，威胁对抗需要按照知识工程的方式，把这些细粒度的攻击知识转化成产品侧的防御能力，进而指导防御能力的构建。

图3 MITRE ATT&CK威胁框架——安天中译版

威胁框架还能够帮助我们更好的理解威胁，通过将攻击事件在威胁框架上进行展开映射，对采用的攻击技术进行标注，可以形式化描述攻击者使用了哪些攻击手段。进一步了解组织在防御中还有哪些缺陷、针对哪些攻击点应该具有更好的防御能力，来指导防御体系的设计。

此外，也可以将安全产品的防御能力映射到威胁框架上。攻击是一个复杂能力体系，因此防御也必然是一个复杂体系，没有任何一个防御产品能够解决所有的安全问题。把不同的防御产品映射到攻击框架的不同阶段进行覆盖性分析，可以了解不同产品的布防与互补价值、在不同的攻击阶段能起到的作用和特性，并指引威胁产品应该在哪些方面来进一步的迭代和优化，提升安全防御能力。

表1 安天产品与杀伤链、威胁框架间的关系

产品	与杀伤链、威胁框架之间的关系
探海	在网络流量中检测威胁技术、呈现对应的杀伤链并干扰（RST包）威胁行为体的初始访问、收集、获取、命令控制等各种战术动作。
智甲	利用防御技术措施在主机干扰、阻断威胁行为体初始访问、执行、持久化、提权、访问屏障、获取数据、横向移动、命令控制等各种战术动作，并对单机和多主机构成的网络中的杀伤链进行呈现。
追影	通过对威胁载荷的行为体补全各杀伤链环节间的缺失环节和线索，提升检测杀伤链的能力，供给载荷相关情报用以支撑猎杀活动中对杀伤链的干扰和阻断，呈现载荷具备的威胁技术。
拓痕	检测威胁的持久化，呈现其他环节留存的痕迹，辅助分析响应人员及时阻断杀伤链，固化威胁行为证据。
捕风	借助合理塑造的欺骗环境，增大侦查难度、消耗横向移动所需的时间，记录执行、持久化、防御规避、凭证访问、收集、命令控制、影响等其他环节的战术动作和技术细节，实现对杀伤链的干扰。
铸岳	通过清晰测绘网空资产、统一管理访问策略将暴露面呈现出来，并通过合理的塑造建立防御者的先发优势，限制威胁技术可攻击的范围和路径，使得检测杀伤链各环节变得更容易。
智信	管理身份、凭证、访问可达性，检测初始访问、凭证访问、收集、数据渗出等相关的战术动作，限制威胁的活动路径范围，呈现多地域环境下的杀伤链。

3.能力型产品技术框架

在对威胁进行细粒度的分析之后，如何定义安全产品能力进而构建防御体系？安天将威胁对抗经验与安全规划需求进行整合，基于防御关键动作的概念，于2020年提出安天ISPDR防御技术框架。

图4 安天ISPDR防御技术框架

安天ISPDR防御技术框架，包括识别、塑造、防护、检测和响应5个部分：

(1) 识别：识别是网络安全管理的基础。识别是一个自我了解和认知过程，基于采集和探测枚举，形成对资产、人员、业务、暴露面、脆弱性等完整认识，构筑起网空防御地形认知基础。

(2) 塑造：塑造是建立防御主动性的前提。塑造是对IT场景的构建、重构和调整过程，通过对IT规划和场景的干预，形成环境、场景、拓扑路径、配置和安全策略的优化，并结合欺骗布防，使攻击者处于不利位置。

(3) 防护：防护是系统对威胁做出的行为反应。防护是避免威胁行为达成预期后果的交互过程。其核心是对威胁活动和违规行为的拒止动作。

(4) 检测：检测是发现、定位和定性网络安全威胁的方法统称。本质上是在数据对象和行为对象、实体对象中发现、标定和量化风险实体、活动的过程。

(5) 响应：响应是处理、管理风险和威胁事件的过程。通过制定并执行适当的行动，利用组织所具备的控制潜在网络安全事件影响的能力，对检测到的网络安全事件采取处置措施，旨在清除网络安全事件影响。

其中，安天一个重要的观点是，塑造是防御动作的关键环节，它突出的是安全参与IT规划整个生命周期的过程性，强调IT的可塑性能够在一定程度上带来防御的主动性。也就是说，我们需要把整个安全基因的能力沉浸式嵌入到数字化系统中，这样在后期的威胁对抗与安全应用中，才能更好的实现积极防御能力，使我们在和对手对抗中获得一个更优势的地位。

随着攻击的复杂化，传统的基于特征的黑白判别方法，显然已经不能满足需求。面对这种体系化的攻击，防御也必然是体系化的。体系化的防御依赖于对大量规则进行持续化、高水平的工程化运营能力，其基础就是在主机、流量、文件等维度，对各种数据对象进行持续化的采集和元数据化，进而构成安全应用的基础，支撑后续的大数据分析、关联比对、分析检索以及威胁猎杀。

安天认为，安全产品的定义应包含其要保护的目标、对威胁的认知、部署方式、管理模式、作用对象、作用位置以及在不同安全环节能够提供的防御能力。通过这种定义，可以清晰化产品能力，进而不断完善与提升。

图5 安天产品防御矩阵

安天安全方法框架从威胁想定出发，围绕客户资产价值进行分析，了解客户需具备的安全防御能力。依靠我们对防御产品的定义形成各类防御产品的组装，构建防御体系。此外，通过威胁想定的分析，将威胁细粒度的拆解，支撑威胁对抗，判断安全体系的设计是否能够符合安全要求，这样就形成了一个从威胁想定到最终防御体系设计的完整链路。

4.双环驱动与威胁猎杀

在构建起一个有效的威胁对抗，且支撑持续的安全运营体系后，如何在日常环境中实现数字化企业安全运营？安天认为有两个方面非常关键，双环驱动与威胁猎杀。

安天认为在数字化企业的安全运营中，一定是存在两类工作闭环。一个是针对日常安全运营工作，实现支撑“观察-研判-决策-执行”的“OODA”循环，安全运营的本质是达成比对手更加高效、更加快捷的OODA循环来切断对手的杀伤链，终止对手的OODA循环，以此来达成有效的防护。另一个是针对监管政策要求，面向企业安全治理和长期策略调整，实现支撑“策划-实施-检查-调整”的“PDCA”循环。

实现有效安全运营的另一个关键的内容，就是持续不断的、高水平的威胁猎杀，通过全量的数据采集和观测、排查、分析，然后进行汇总调查、综合分析、提出假设和验证等环节，实现对资产网络中可能存在的威胁进行清除，以此来支撑整个的安全运营工作。

5.总结

安天安全方法框架是安天在威胁对抗领域深耕多年实践经验的沉淀，也是面对新场景、新变化、新需求的不断迭代的最新成果，仍然需要不断完善，安天希望能和客户共同探讨，共同成长，一起推动智能化安全运营变革。