从资产价值出发,以对抗式威胁评估作为网空安全规划的起点
2017 年 6 月,安天提出了“有效敌情想定是网络安全工作的前提”,将“敌情想定”这一军事术语引入了网络安全领域。在后续的实践中,安天以此为基础发展出“威胁想定分析框架”,作为重要信息系统和关键信息基础设施防护的规划基本方法。
安天提供对抗式威胁评估服务,协助客户梳理业务资产环境、评估资产价值;依据案例和技术推理关联威胁行为体、构建场景化威胁想定;进一步剖析行为体动机;综合历史案例和动机遍历威胁使用的技术和战术;分析威胁技战术影响的资产;结合资产价值对风险后果进行预判。基于上述分析,不仅可以为拟定网络安全规划、制定预算提供测算数据,更可以开展桌面推演、沙盘演练和靶场训练。
基于威胁技术遍历驱动防御能力改进,检测、干扰、拒止和呈现对手杀伤链
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。今天我们所对抗的网络安全威胁,已经不仅是传统的病毒木马、DDoS 攻击、网页篡改等单点威胁,而是针对具有防御层次和规模化资产的体系化攻击。
在这种对抗态势下,网空杀伤链模型的提出,从攻击者视角更为清晰地理解攻击行动,更有效地理解攻击目标与攻击过程。但网空杀伤链的抽象层次较高,难以实际运用于表述和分析威胁攻击的技战术、行动序列与战术目标的关系以及驱动防御举措的改善。
为解决上述问题,MITRE 提出的 ATT&CK 网空威胁框架,对网空杀伤链的七个攻击战术阶段进行了细化扩展,并按照威胁攻击技术 / 子技术遍历进行了矩阵化拆解,进而构造了丰富的攻击者技术战术知识库。通过知识库以及相关的工具系统,可以深入分析攻击行动的过程与细节,能够更有效地支撑防御侧细粒度安全能力改进。
安天工程师综合历史案例和专家经验,借助技战术知识库以及相关的工具系统,将威胁框架中的各种攻击技术 / 子技术与产品提供的防护措施进行了逐项映射,通过遍历威胁技术矩阵将已经具备的能力和需要应对的威胁技术进行比较,驱动准确改善防护的薄弱环节、提高防御水平、优化安全产品与安全服务的技术能力,达成检测、干扰、拒止和呈现对手杀伤链。
以“ 动态综合防御”理念协助客户形成威胁对抗能力主轴
基于敌情想定的同时,安天也认识到威胁日趋严峻和客户安全预算有限的现实。在此背景下,安天借鉴军事阵地防御理念,以威胁对抗和投入成本的阶梯难度为模型,落实“动态综合防御”框架,优先协助客户形成构筑体系化威胁对抗能力的防御主轴并指导客户实践。
基于防御动作矩阵,检验防御能力覆盖
安天基于二十余年一线威胁对抗经验,在吸收和部分借鉴 NIST CSF 框架、SHIELD 积极防御框架和 D3FEND 知识图谱等的基础上,提出了安天防御技术框架。特别强调“塑造”环节,发挥建设方和运营者的先发优势,加大防御纵深、构筑欺骗环境,让安全保护措施与关键信息基础设施同步规划、同步建设、同步使用。
安天防御框架将关键安全动作作为防御能力定义的核心,并对安全动作的定义与技术措施进行枚举,聚合关键安全动作形成矩阵化描述,支撑客户检验、提升防御能力,协助客户通过体系化安全能力建设达成检测、干扰、阻断和呈现对手杀伤链的目标。
安天防御框架的关键防御动作
识别——网络安全管理的基础- 塑造——建立防御主动性的前提
- 防护——系统对威胁做出的行为反应
- 检测——发现、定位和定性网络安全威胁的方法
- 响应——处置、管理风险和威胁事件的过程
以双循环驱动加快安全能力建设速度,提升防护技术措施运营水平
在实践中,安天认识到企业安全能力建设有追求完整闭合的特性,威胁对抗攻防双方比拼的是过程循环的速度:通过规划、执行、检查和改进构成闭合循环过程,持续驱动安全能力建设得到不断提升,同时循环速度用以评估能力建设速度;通过观察、定位、决策和执行构成闭合循环过程,持续驱动技术措施的开发、部署和运营能力提升,循环速度用以评估技术措施运行效率。无论是保护工作部门还是运营者,都应追寻比攻击者更快的循环。
