三大新兴安全架构:零信任、ATT&CK、自适应安全,哪个最难落地?

前言

传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品,对企业网络边界进行防护。它的核心思想是分区、分层(纵深防御)。边界模型专注防御边界,将“坏人”挡在外面,假定已经在边界内的任何事物都不会造成威胁,因而边界内部基本畅通无阻。

分层防御直观易懂,各企业在其上长期且持续地投入了大量的资源。但是,近年来网络攻击手段不断进化,黑客组织更趋专业化和功利化,连Google、RSA这样的科技公司或专业安全公司都会中招。而移动办公和云服务的增长,也令越来越多的企业难以确立起自己的网络边界。

于是,三种新的安全架构——零信任模型 (Forrester’s Zero Trust Model)、ATT&CK框架 (MITRE’s Adversarial Tactics, Techniques & Common Knowledge Framework)、自适应安全 (Gartner’s Adaptive Security Architecture 3.0, CARTA)——进入了安全人员的视野,甚至部分架构还有了成功落地的明星项目 (Google’s BeyondCorp)。

那这三个模型,哪个最容易上手呢?

零信任模型

2010年提出的零信任模型的核心思想,是默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。

而以Google的实践为例(11-17年,至少花了6年),其核心理念是以下三点:

  1. 发起连接时所在的网络不能决定你可以访问的服务
  2. 服务访问权限的授予以我们对你和你的设备的了解为基础
  3. 对服务的访问必须全部通过身份验证,获得授权并经过加密

深究细节的话,Google和Forrester的模型会有一些差别,但核心思想是一致的。而且其重要组件访问代理 (Access Proxy)与零信任模型中的隔离网关 (Segmentation Gateway),拓扑位置和作用也基本对位。

以笔者角度来看,零信任模型中的部分做法,还是比较好实现的。比如虽然大部分企业使用的Windows AD域环境天然地与零信任模型理念不合(不单单是只能固定密码),但我们仍然可以对Windows认证体系进行加固和改造,极大提高其安全性。有兴趣的朋友可以了解一下pGina这款开源工具,可以与第三方RADIUS服务集成,实现双因子认证。

而在设备端,也可以部署像Cisco ISE这样的网络接入控制管理产品,来限制只有公司配发的设备才能接入网络。当然拦截的位置和BeyondCorp不太一样,实现方式也不同(Google为每台设备签发特定的设备证书),这会影响事后审计的难度。

访问代理 (Access Proxy)是比较难实现的。或者说如果改动,技术上有解,但可能会对日常工作方式和使用体验有较大的冲击。对于企业来说,也许只能一点一点迁移。

ATT&CK框架

2013年由安全研究机构MITRE推出的ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术(Tactics)、技术(Techniques)和流程(Procedures),并通过矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。

ATT&CK模型站在攻击者的视角,比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。

ATT&CK框架提供了对抗行动和信息之间的关系和依存关系,防御者可以追踪攻击者采取每项行动的动机,并了解这些行动和依存关系。拥有了这些信息之后,安全人员的工作从寻找发生了什么事情,转变为按照ATT&CK框架,将防御策略与攻击者的手册对比,预测会发生什么事情。

使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源,企业需要对数据质量、数量内容等方面进行管理。可以使用ATT&CK导航工具,将数据源映射之后,进行可视化展示。

ATT&CK框架中有300多种技术,并且会随着新技术的推出而逐渐增加。而清点数据源对不少企业也是一项耗时的工作。笔者觉得有志于此的企业在初期可以先了解并熟悉ATT&CK框架中的哪些技术(攻击方法),减少思维盲点并梳理攻击特征,然后将所得应用在现有的安全产品和监控手段上。等将来安全队伍扩大后,再图精进。

自适应安全 3.0 (CARTA)

自适应安全框架是Gartner在2014年提出的面向下一代的安全体系框架,用于应对云计算与物联网快速发展所带来的新型安全形势,并分别在17、18年发布了2.0和3.0版本。它从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。

Gartner咨询公司的角色定位,决定了它提出的概念往往是比较抽象、比较”上层”的。它的这套框架理念,乍一看似乎专业的安全团队或多或少都会融入到日常的工作中。比较显眼的关键字,可能就是retrospective analysis(回溯分析)、anticipate threats/attacks(预测)和baseline system and security posture(安全基线)。

上述几个概念,国内外都有众多对应的产品,有些还是这两年的市场热点,比如UEBA、SIEM、EDR、NDR等等。总之考虑到Gartner的市场地位,业内还是挺认可其提出的概念的。

结论

如果让笔者来选择的话,

  1. 零信任模型是基础,是需要优先实施的改进项(即使只有部分实现)
  2. ATT&CK中的攻击方式需要熟悉,所关联的资产至少要知道位于逻辑或物理的哪个位置,以及数据如何流动
  3. 进一步盘点系统日志和网络流量监控的覆盖程度,尽可能部署全流量捕获/分析系统,提供对安全事件的分析和回溯能力
  4. 引入趋势分析、机器学习、大数据&AI等能力,提供对威胁预测和安全基线感知的能力

安全上笔者信奉适合的才是最好的,安全架构一定要符合公司目前的体量。这样看来,大家觉得哪一个难度最大呢?

 1,869 total views,  4 views today