安全有效性度量方法論

一、安全有效性度量的必要性

隨着計算機網絡技術的發展，信息化浪潮在各行各業的廣泛深入及升級換代，數據成爲推動經濟社會創新發展的關鍵生產要素，基於數據的開放與開發推動了跨組織、跨行業、跨地域的協助與創新，催生出各類全新的產業形態和商業模式，全面激活了人類的創造力和生產力。國家“十四五”規劃提出發展數字經濟，將是數字化戰略的轉型建設關鍵階段，在此期間，數字經濟將全面深化。尤其是“新基建”作爲先行舉措，進一步加快了數字化轉型步伐。

近年來，隨着信息技術的快速發展和融合創新，特別是移動網絡、雲計算的普遍運用和不斷深入，系統、網絡、終端的安全問題相互交織、相互影響，使得組織的網絡及信息安全面臨着前所未有的壓力和挑戰。網絡安全已成爲關係國家政治、經濟、國防、文化等領域的重大問題，世界各主要國家相繼制定和大幅調整了網絡安全戰略，設立了專門的機構，加大了人員和資金的投入，以維護其核心利益。

隨着近幾年複雜國際形勢的大背景和國內護網活動的錘鍊，傳統的安全運維/服務類解決方案在面臨新的挑戰和要求下顯得捉襟見肘，日漸喫力。越來越多的組織開始引入紅隊服務來尋求對信息系統的更接近實戰的威脅評估。與此同時，如何建立應對真實威脅能夠迅速反應的行之有效的防禦體系，也激發出組織對實戰防禦能力成熟度評估與體系化建設的迫切需求。

網絡安全建設工作的實戰化演變，對組織當前的實戰防禦體系建設的有效性驗證、網絡攻防實戰能力測量、下屬單位和分支機構的安全能力監控、行業和監管的及時性聯動等工作，都提出了巨大的挑戰。我們把現階段的組織安全建設主要面臨的問題總結爲以下三大問題。

• 問題一：傳統運維方式難於應對當前嚴峻安全形勢。網絡安全威脅日益嚴重，背後是網絡環境和攻擊手段的深刻變化。傳統的通過採購和堆砌大量安全設備的建設思路已不合時宜，難於應對組織化、規模化、專業化、產業化的黑客團伙作戰，網絡攻擊呈現手段專業化、目的商業化、源頭國際化及載體移動化的趨勢。面對着如何複雜的網絡環境，傳統的被動安全防禦體系已經根本無法抵禦日益頻繁網絡攻擊，企業需要重新審視傳統網絡安全的思想、方法、技術和體系，構築全面防護的主動安全體系。
• 問題二：缺少有效安全監測手段，安全事件難感知響應慢。安全事件應急響應是安全事件發生時主要處置手段，通過系列響應處置可以快速判斷事件原因、定位攻擊來源、遏制攻擊影響、恢復事件影響等，快速將影響降低到最低，提升安全管理效果。安全管理過程中缺少必要的安全監測手段及專業的應急響應人員，影響了網絡安全事件處置和溯源效果，造成應急響應處置難、溯源難。
• 問題三：實戰化安全能力難以度量。對於已經具備了部分安全能力、採購了部分安全服務的企業來說，使用何種度量來有效地評估企業目前的網絡安全能力水平與安全公司所提供的安全服務質量，是一件十分迫切的事。

實戰防禦體系的成熟度評估，需要一套有效的測量工具來幫助組織驗證和提升安全設備監控響應覆蓋範圍和覆蓋度，優化安全設備防護策略，規範應急響應評估和處理流程，提升安全人員應急響應能力，建立應急響應演練常態化的模式。當前普遍採用的合規類測量工具（ISO27001、等級保護2.0標準等）和行業最佳實踐分別存在一些適用性問題：合規類測量工具只要求安全建設基線，滿足合規僅僅完成是網絡安全攻防實戰能力建設的基礎；行業最佳實踐實戰性更高，在攻防實戰能力建設中可以提供一些維度的良好的指導，但缺乏全局視角，不成體系，且與安全合規完全存在“兩張皮”的狀況。

爲更好地把握組織對其防禦能力建設情況水平認知，特將防禦能力建設成熟度分爲四個級別的成熟度等級，如下表所示，分別爲臨時處置級、風險感知級、可重複級和高適應性級。

爲更加有效地評估當前安全防禦能力成熟度，組織一般可以通過兩種維度來進行信息安全基準測試方法：

• （1）對行業同行的基準進行安全成熟度對標差距分析（基於行業平均水平進行評估）。
• （2）對組織安全能力進行成熟度基準評估（當前基於當前能力值進行評估）。

通過結合以上兩種評估方法，認知組織與行業水平或當前能力值的差距，從而可以結合實際情況爲組織針對性制定清晰的防禦能力建設目標。

網絡實戰防禦能力成熟度評估蛛網示例圖如下圖所示

 

二、安全有效性度量的維度

據國家法律法規、行業標準的相關要求，參照業界最佳案例實踐，引導組織從管理體系、技術體系、運營體系、合規體系開展迭代式安全體系建設，指導開展安全管理工作，定期開展安全意識培訓、安全開發培訓提升人員安全、代碼安全的能力，通過應急演練、紅藍對抗、重要時期網絡安保不斷驗證安全能力、補全安全建設短板、完善團隊組織構架、提升運營技術能力、優化運營服務流程，最終達到安全能力持續性、最大化輸出的目的。

在此背景下組織需要一套能夠在高級威脅（APT）對抗場景下爲組織提供涵蓋人員、技術、流程、服務全維度的安全防禦體系。當前最佳實踐防禦體系均以IPDRO自適應保護模型爲核心，並通過安全防禦能力成熟度模型，有效測量並不斷提高對抗過程中各階段的安全防禦能力，推進組織建立具備安全事件與威脅情報的研判和響應、安全策略和防禦體系的優化、攻擊識別和溯源反制的實戰防禦能力，不斷改善組織的網絡安全狀況。

爲了持續性輸出安全能力，本方法參考了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner的核心內容，結合業界最佳安全實踐創造性提出廣泛適用於國內組織的安全運營服務框架模型--IPDRO模型（Identify、Protect、Detect&MDR、Response、Operation&Management）。

IPDRO模型是針對企業防護對象框架，結合安全組織體系、安全管理體系、安全技術體系，通過事前對信息資產暴露面風險識別（Identify），事中不斷驗證和增強安全邊界防禦能力（Protect）和持續開展安全檢測（Detect&MDR），事後積極組織開展安全響應（Response），日常有序開展安全運營管理（Operation&Management）有效控制安全風險，同步指導開展安全合規建設工作，從技術和管理層面快速提升、持續改進安全能力，以更好地面對快速更迭的新技術、新應用帶來的安全挑戰。

以自適應保護模型爲核心來涵蓋，自適應保護模型IPDR示意圖如下圖所示。具體可分爲以下幾個階段。

• （1）識別階段-I：通報預警、協調聯動。
• （2）防護階段-P：監控發現。
• （3）監測階段-D：分析研判。
• （4）響應階段-R：應急處置、追蹤溯源。

以實戰防禦體系能力評估爲出發點，結合自適應保護模型，可以細化爲以下十六個領域進行考量要求，詳細內容如下表所示。

0x1：監控發現

1、採用工具或手段

組織應做到採用自動化技術工具或手段，儘可能多的自動完成一個安全事件處置流程中相關步驟，從而縮短響應時間。將分析人員從耗時且重複的分析工作中解放出來，將時間放在更有價值的安全分析、威脅獵捕、流程建立等工作上。

根據已有的安全事件分析及處置流程設計對應的安全風險分析研判策略和聯動響應劇本，通過策略編排動作，包括但不限於對安全威脅的關聯驗證、告警聚合、聯動、阻斷等。實現針對每一個響應編排任務均進行任務跟蹤，任務執行過程中通過安全技術人員進行整個SOAR全過程的安全控制。

2、覆蓋有效性

傳統攻防演練的過程，存在反饋機制的問題。網絡實戰防禦體系建設利用ATT&CK框架繪製組織的攻擊面，建立威脅映射模型，將評估範圍、評估技術、評估工具映射到組織的防禦體系中通過防禦能力驗證測試，評估使用的每一種技術與組織防禦體系對應並覈對每一項攻擊技術，並通過安全產品分析每一項攻擊技術的影響。迭代優化防禦體系，全面提升組織的五大安全能力域——預防、防禦、檢測、響應、運營。

0x2：分析研判

1. 定位風險

當組織面臨安全攻擊風險的時候，相關人員可第一時間從相關設備上下載該時刻的完整數據包文件，通過離線的抓包分析工具進行詳細分析。通過數據分析平臺進行檢測和預警，彌補人工服務無法持續的問題。

而人工服務可以通過進一步的分析定位威脅之間的關聯性，並根據發現的威脅採取有針對性的防護措施，彌補工具無法進行加固和防護的問題，從而對攻擊事件進行研判分析及驗證，確定漏洞存在的真實性。

2、明確影響範圍

明確發生網絡攻擊事件後，組織可根據事件管理辦法所定義的事件類型和級別，評估判斷事件性質、危害程度和影響範圍，明確下一步的應急響應策略。

0x3：追蹤溯源

1、溯源分析

組織可對每一次攻擊進行溯源聯動分析，在確定攻擊事件後會回溯所有攻擊相關的網絡數據包，對系統近期的所有行爲進行串聯，確定攻擊事件的整個事件週期，展示整個攻擊事件的所有攻擊路徑。同時在儘可能短的時間內以這些情報爲行爲指導，從而折射到現實空間中，協助相關的執法機關對其演練攻擊者進行追溯與定位。

2、攻擊覆盤

組織可以針對攻擊事件進行綜合分析，從攻擊的視角檢視網絡安全監測和防護體系，爲持續提升安全能力提供依據。主要包括攻擊方法、攻擊時間、攻擊目標分佈及攻擊成功事件等方面

0x4：應急處置

1、漏洞定位與修復

第一時間針對每一次攻擊事件，定位具體漏洞並及時對安全漏洞進行修復。

2、木馬清理

組織第一時間對WebShell後門（黑客通過WebShell控制主機）、網頁掛馬（頁面被植入待病毒內容，影響訪問者安全）、網頁暗鏈（網站被植入博彩、色情、遊戲等廣告內容）等進行清理處置。

3、整改恢復能力

組織應儘可能詳細地記錄各種網絡環境狀態參數，在整改後，具備通過恢復系統鏡像、數據恢復、系統和軟件重裝等方式將系統業務恢復到未被攻擊狀態的能力。

4、社工防範

在面對日益增長、複雜多樣的網絡攻擊下，“人”是最強大的防護武器。組織應將社工防範工作納入防禦能力建設工作中。定期開展安全意識培訓，郵件釣魚測試等增強組織員工安全意識的工作都是網絡安全防護體系中重要的環節，但在很多組織並未引起足夠的重視，如不少病毒感染都是由於用戶員工私自接入外部移動設備導致的。因此，社工防範工作的落地對於網絡問題做到提前發現和處理具有中道的意義，也可以降低網絡安全風險。

0x5：通報預警

1、預警有效性

針對網絡攻擊事件，組織可在接到通報後可有效開展隱患消除工作。

2、傳遞及時性

針對網絡攻擊事件，組織可將通報信息及時傳遞到一線實戰部門和具體責任人。

3、情報準確性

針對網絡攻擊事件，組織可將涉及該事件的時間、影響範圍、危害以及對策措施等情況，能夠翔實準確地通過文字、圖表等形式進行記錄、傳遞和上報。

0x6：協同聯動

1、下屬單位聯動

針對網絡攻擊事件組織與下屬單位在處置事件過程中的聯動機制、責任分工及產生的實際效果。

2、監管聯動

針對網絡攻擊事件與監管部門的聯動機制、聯動防禦體系聯動效率及響應實際效果。

3、聯防聯控

針對網絡攻擊事件單位內部安全部門、業務部門、管理部門等相關部門在處置事件過程中的聯動機制、責任分工及產生的實際效果；針對網絡攻擊事件單位行業內部相關單位在處置事件過程中的聯動機制、責任分工及產生的實際效果。

4、實踐成效

通過建立成熟有效地自適應性強的安全防禦體系可以高效地從威脅來源和攻擊者視角來分析問題，實現網絡安全態勢的實時監控、預警和處置，並不斷優化安全事件處置管理規範。可提升快速有效的響應和處置能力，通過聯動協同平臺，提升各人員之間、各部門之間的快速協同處置威脅能力，同時通過實戰演練積累經驗，增強基礎設施防護能力與人才隊伍建設能力，搭建網絡安全縱深防禦體系，建立持續有效的網絡安全運營機制。最終達到基於組織當前的業務需求和業務場景，結合網絡安全“三同步”原則，完成“業務安全爲最終目標”。

基於自適應保護服務模型，有機結合團隊、流程、技術三要求，儘可能利用現有資源，持續提升和輸出安全能力的效果。有效落實網絡安全保護“實戰化、體系化、常態化”和“動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”的“三化六防”措施，實現“四新”的目標。