前言
網絡安全在近十幾年中有了突破性發展,爲了應對越發頻增的安全問題,各個權威機構與專家相繼提出了很多安全架構,例如在之前的文章中我們介紹過的由Forrester提出的零信任模型以及MITRE公司提出的ATT&CK框架。
其實無論是“零信任模型”也好還是“ATT&CK”框架也罷,都缺乏針對不同環境場景而靈活改變安全策略的能力。所以,美創安全實驗室在本篇文章將會給大家介紹一種結合了“零信任體系”與“ATT&CK框架”的可以持續自適應風險與信任評估的安全模型----自適應模型。話不多說,Let’s go!
自適應安全框架簡介
自適應安全框架(Adaptive Security Architecture,ASA模型)是Gartner在2014年提出的面向下一代的安全體系框架,用於應對雲計算與物聯網快速發展所帶來的新型安全形勢。自適應安全框架(ASA)從預測、防禦、檢測、響應四個維度,強調安全防護是一個持續處理的、循環的過程,細粒度、多角度、持續化的對安全威脅進行實時動態分析,自動適應不斷變化的網絡和威脅環境,並不斷優化自身的安全防禦機制。
① 預測:通過防禦、檢測、響應結果不斷優化基線系統,逐漸精準預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊,並對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。
② 檢測:用於發現那些逃過防禦網絡的攻擊,該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵,因爲企業應該假設自己已處在被攻擊狀態中。
③ 響應:用於高效調查和補救被檢測分析功能(或外部服務)查出的事務,以提供入侵認證和攻擊來源分析,併產生新的預防手段來避免未來事故。
防禦:是指一系列策略集、產品和服務可以用於防禦攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,並在受影響前攔截攻擊動作。
零信任與自適應安全
零信任網絡是近幾年一直火熱的理論模型,其具體的邏輯架構與設計原則在前幾篇文章中已經提過,這裏就不再細提了。簡而言之,“零信任”體系依賴於其核心組件“策略引擎”實現對每個訪問請求的allow或deny處理。這個處理過程類似於“白名單”技術,“非白即黑”是這個體系的核心要點。而自適應安全3.0階段的CARTA模型與傳統安全方案所採用的allow或deny的簡單處理方式完全不同,CARTA模型是通過持續監控和審計來判斷安全狀況的,他所強調的是沒有絕對的安全或者說沒有100%的信任,尋求一種0和1之間的風險與信任的平衡。
而“零信任體系”就是實現CARTA模型的基礎。爲了滿足CARTA模型要求的自適應調整策略,我們需要評估安全狀況、包括驗證用戶、驗證設備、限制訪問和權限。這聽上去是不是和“零信任體系”中“策略引擎”運行的“信任算法”有相似之處?“零信任”強調的就是根據儘可能多的“身份信息”來判斷這個行爲是否可信,但在網絡安全中,“信任”並不是絕對的,而是一個相對的概念,並且是一個動態的變化關係。
零信任網絡默認使用Deny作爲起點。在授予網絡訪問權限之前,要對實體、設備的身份和信任進行評估。當然,Gartner提出的CARTA模型,已經擴展到了網絡之外,包括IT堆棧、風險合規治理流程等方面。在交互過程中不斷監視和評估風險和信任級別,如果發現信任下降或風險增加到了閾值,需要進行響應,則應該相應地調整訪問策略。
在CARTA的自適應攻擊防護架構中,採用的正好是“零信任策略“,因爲其可以很好的應對內部攻擊。CARTA模型在建立一定程度的信任連接之前,會對系統進行加固和隔離,所有微隔離的Projects之間都是採用零信任網絡連接。與此同時CARTA模型還進一步擴展了零信任的概念,並將攻擊防護視爲一個持續的風險和信任評估過程。例如,CARTA在系統上運行時監視可執行代碼,以發現惡意行爲和風險的跡象,即使它通過了初始風險和信任評估。這就是被稱爲終端檢測和響應的EDR技術。因此,在CARTA自適應的訪問防護架構中,初始安全狀態都是默認deny狀態,在對用戶的憑據、設備和上下文進行評估之前,用戶沒有任何訪問權限。
ATT&CK與自適應安全
CATRA模型在整個安全過程中,安全狀況會隨時發生變化,其中最主要就是需要準備好可能面臨的各種攻擊,因此需要進行持續檢測,這個時候ATT&CK框架就是一個很好的安全檢測和響應模型。CARTA模型和ATT&CK框架一樣,都非常關注檢測和響應部分的實現。而在之前的文章中也提過,ATT&CK框架作爲目前的通用語言是能夠增強企業的檢測和響應能力的。那麼,如何根據ATT&CK框架來檢查目前安全產品的整體覆蓋度,進行全面的差距分析,建立對應的檢測響應方案,就是自適應安全框架最爲核心的檢測和響應部分的內容。
關於如何使用ATT&CK框架構建一套屬於自己的檢測響應方案,建議閱讀筆者的上一篇文章《ATT&CK使用場景及實施方式》。其中我們有講到ATT&CK框架核心就是以矩陣的形式展現TTPs(Tactics, Techniques and Procedures,戰術,技術及步驟),而如何確定選用的ATT&CK框架中的戰術及技術是根據攻擊成本的高低來判斷的。
對於檢測來說,雖然很多防禦模型會向防禦者顯示警報,但不提供引起警報事件的任何上下文,例如從防禦者的視角自上而下地介紹安全目標的CIA模型、側重於漏洞評級CVSS、主要考慮風險計算的DREAD模型等。這些模型只能形成一個淺層次的參考框架,並沒有提供導致這些警報的原因以及與系統或網絡上可能發生的其它事件的關係。
而ATT&CK框架提供了對抗行動和信息之間的關係和依存關係,防禦者就可以追蹤攻擊者採取每項行動的動機,並瞭解這些行動和依存關係。擁有了這些信息之後,安全人員的工作從尋找發生了什麼事情,轉變爲按照ATT&CK框架,將防禦策略與攻擊者的手冊對比,預測會發生什麼事情。這正是CARTA所倡導的“預防有助於佈置檢測和響應措施,檢測和響應也有助於預測”。可以說ATT&CK框架是CARTA可以進行持續風險評估的保證。
自適應框架的應用
自適應安全框架(ASA)框架作爲網絡安全2.0時代先進的參考模型,已經在新防禦體系建設中得到了廣泛的應用。越來越多的網絡安全產品廠商和解決方案提供商,使用自適應安全框架(ASA)框架各象限內容進行對標,以使自身的產品或解決方案能夠覆蓋多個領域或專注在某個垂直領域。
① 安全防禦層面:下一代IPS除了具有傳統IPS的功能外,還需要具有自適應安全能力的安全引擎,才能夠實現週而復始不間斷地發現辨識網絡信息、學習並關聯信息、自動調整行動策略的自動防禦能力。
② 安全檢測層面:在網絡、主機、應用等層面,在傳統基於特徵的安全檢測基礎上,融入基於異常的持續性安全檢測,能夠快速、即時地發現各種潛在的安全威脅,爲APT、業務欺詐等行爲的判定提供充分的依據。
③ 安全預測層面:通過對網絡流量、系統日誌、用戶行爲、文件內容等方面的深度檢測,利用安全分析模型對多種安全威脅數據進行自動化挖掘和網絡威脅情報關聯分析,最終實現網絡安全態勢感知和安全威脅的精準預測。
總結
“零信任”(Zero Trust)和“ATT&CK“是近幾年國內信息安全圈討論熱點最多的兩個詞,不可否認,這兩個體系的建立確實給了當前面對信息安全艱難處境的我們提供了新的視野和思路。雖然“零信任”解放了我們的視野,讓我們不再關注內外網之分,但由於缺少對攻擊行爲的描述與追蹤導致我們對溯源以及預警準備不足。雖然ATT&CK給我們帶來了通用標準化的攻擊行爲語言,但由於其映射十分困難導致僅停留在理論層面而難以落地。而最新版的自適應安全框架3.0----CARTA模型,以零信任和ATT&CK爲基礎搭建演進後形成了一種集成概念,以ATT&CK的技術做支撐同時繼承了“零信任”體系的核心思想“信任評估”,實現了在不同環境場景下的持續自適應風險與信任評估。
同時,所有機構都應不再盲目信任“防禦”措施能夠100%有效,在面對不可避免的潛在侵害行爲時,應在防禦的基礎上重點建設“檢測”和“預測”能力。總而言之,深入理解併合理應用自適應安全框架(ASA)框架,才能更有效地構建網絡安全2.0時代新防禦體系,提升網絡安全主動防禦能力,最終達到安全的可管、可控、可視、可調度、可持續。