從滑動標尺模型看企業網路安全能力評估與建設

隨著資訊科技邁入「雲大物移智」時代，網路安全形勢也發生了深刻的變化。但在實際工作中，很多企業安全建設的重點仍舊是由合規驅動的安全產品采購，在體系化和持續性方面存在較大不足，同時對實際具備的安全能力缺乏評估手段。在此背景下構建的安全防護體系建設，在面對當前新型網路安全攻擊時，往往會表現的不堪一擊。

在2015年，美國系統網路安全協會（SANS）提出了一種科學規劃網路安全建設投入的滑動標尺模型，將網路安全體系建設過程階段化，按照每個階段的建設水平來對安全防護能力進行評估，從而指導企業未來安全防護能力的建設。該模型的防護思路，目前在國內一些領先機構的網路安全規劃與建設中已開始借鑒與使用，但總的來說，國內的套用深度與廣度仍有不足。但其疊加演進的安全建設思想，與新一代網路安全體系建設理念高度符合，對現代企業如何科學做好安全預算、最佳化資源配置、改進建設效果等有著較強的指引價值。

研究人員發現，企業現階段網路安全工作建設中的不足主要包括以下幾點：

忽視科學的體系化安全架構。目前，很多企業仍把單點化的安全裝置采購作為安全防護建設的重點，對資訊系統自身的架構安全缺乏重視，傳統的網路安全裝置三大件仍是采購主要物件。

安全營運能力不足。網路安全工作對專業化人才及能力要求很高，目前很多企業缺少人才積累，導致了很多安全裝置無法真正的發揮出應有的價值，在遇到突發性安全事件時無法進行快速定位及應急響應。

缺乏安全能力評估措施。安全是一個動態、對抗的過程，不能僅以滿足合規要求來推動安全建設。企業需要對真實具備的安全能力或安全建設成熟度進行客觀評價，及時發現安全能力的不足或隱患。

針對以上不足，迫切需要引入新思路、新技術和新方案來對現有安全防護體系進行最佳化和改造。而套用網路安全滑動標尺模型可以為組織平衡網路安全資源和技能投入提供參考框架。滑動標尺模型不僅可以展示各防禦階段的重點，同時也提出了企業進行資訊保安建設時的部署步驟建議。透過參考借鑒滑動標尺模型，企業在進行安全規劃和建設時，可以基於自身的資源和現狀對目前工作進行最佳化和改進。

圖表 1滑動標尺模型

滑動標尺模型可套用在多個方面，包括：

滑動標尺模型的核心在於「動」字，各防禦分類不是孤立靜態的。首先，同一項技術的套用場景不同，可能所屬的分類就不同；其次，企業的資源投入不能停留在一個分類，而是著重放在一個分類，並不斷地根據自身情況在多個分類同時部署或升級；最後，安全建設不是孤立的，只有做好左側的防禦分類，才能讓右側的防禦以及合法進攻反制分類發揮最大價值。

需要指出的是，滑動標尺模型是一個宏觀模型，在進行具體建設布局和產品采購時，還需要結合PPDR模型、殺傷鏈模型等，進一步制定安全建設工作的落實細則。

透過網路安全滑動標尺模型，企業可以了解自身所處的階段，以及未來建設時應該采取的措施和投入，一共可以分為五大類：框架安全、被動防禦、積極防禦、威脅情報及進攻反制。每個分類的投入報酬比不同，能夠抵禦的威脅攻擊型別也不同，組織可以根據自身的情況將安全投入放到不同分類中。

定義：在系統進行規劃、工程管理和設計時，引入架構安全措施。企業需要將網路安全思想融入到網路建設之初，將業務套用、網路建設、安全規劃融合到一體，采用增加安全性的措施，減少攻擊面，並提升響應速度。

特點：網路安全建設的基石。

主要模型：NIST800系列模型、普度模型（PERA）、支付卡行業數據安全標準（PCI DSS）。

主要技術：網段劃分、修補程式管理、供應鏈管理、員工管理、安全規劃。

落地建議：架構安全是企業能夠以最小的開銷獲得最大安全價值的方法，因此也是最需要重視的方法。我們建議，企業可以從管理和建設兩個維度做好架構安全。從建設維度，可以參照等保2.0中的網路架構安全，構建清晰的企業網路架構拓撲圖，列好資產清單，同步做好網路建設規劃和安全建設規劃。從管理維度，依照ISO 27001的管理體系構建相應的管理要求。

定義：在無人員介入的情況下，附加在系統架構之上可提供持續的威脅防禦或威脅洞察力的系統。被動防禦保護資產，阻止或限制已知安全漏洞被利用、已知安全風險的發生。被動防禦更多依賴靜態的規則，因此需要持續的最佳化升級。

特點：網路安全建設的起始階段，也是核心投入階段。

主要模型：縱深防禦模型、NIST網路安全架構。

主要技術：樣本系統，如防火墻、反惡意軟體系統、入侵防禦系統、防病毒系統、入侵檢測系統和類似的傳統安全系統。

落地建議：被動防禦是企業所需要做的基礎安全防護工作，在建設時可以參照等保2.0中的安全區域邊界和安全計算環境進行構建。被動防禦涉及的技術已較為成熟，企業在進行產品選型時，可以先對積極防禦階段進行規劃，然後依據積極防禦時的產品選擇，進行被動階段防禦產品選型。

定義：分析人員對處於所防禦網路內的威脅進行監控、響應、學習（經驗）和套用知識（理解）的過程。積極防禦階段註重人工的參與，在這一階段人工將結合工具對網路進行持續的監督與分析，對風險采用動態的分析策略，與實際網路態勢、業務相結合，與攻擊者的能力進行對抗。

特點：網路安全建設的進階階段，一般需要能達到的階段。

主要模型：主動網路防禦周期、網路安全監控。

圖表 2積極網路防禦周期

主要技術：SIEM、威脅情報消費、網路安全監控、事件響應。

參與人員：事件響應人、惡意軟體逆向工程師、威脅分析師、網路安全監控分析師。

落地建議：積極防禦階段既要求產品的能力，也要求了人員能力素養。積極防禦的建設可參照等保2.0中的安全管理中心進行建設。積極防禦的建設落地需要產品和人員同步進行，人員能力可以透過僱用專業的資訊保安人員，或者采購資訊保安服務方式獲得。

定義：收集數據，將數據利用轉換為資訊，並將資訊生產加工。威脅情報是情報的一種，即收集資訊分析並建立的有關攻擊者的情報。情報需要做到：威脅是切實能夠對甲方使用者造成威脅；情報必須能夠被實際利用。情報需要結合甲方使用者的實際情況，並妥善使用。使用者的實際情況包括網路情況、業務情況、安全防護情況等。因此情報依賴於前三分類的狀態。

特點：網路安全主動防禦建設，必須與實際情況緊密結合。

主要模型：網路殺傷鏈模型、ATT&CK模型、鉆石模型、情報生命周期。

圖表 3威脅情報生成系統

主要技術：威脅情報生成、蜜罐。

落地建議：情報更多的是指主動生成威脅情報的過程，企業最直接的生成威脅情報的方式就是部署蜜罐系統。企業在部署蜜罐、蜜網等系統時，同時也需要與服務共同采購。

定義：對抗攻擊者的法律反制措施、自衛反擊行為。這是一種提升自身網路安全的進攻行為，因為通常在合法性的邊緣遊走。對於民間機構，這些行為可能形成負面影響，帶來法律風險，因此不建議直接采用這類方法進行防護，但可以引入「主動出擊」的思想和合法反制措施，來提升自身防攻擊能力。

特點：本階段屬於網路安全建設的較高目標，透過模擬攻擊和合法反制來提升網路的抗攻擊能力。

主要技術：攻擊溯源、攻防實驗室、紅藍隊攻防演練。

落地建議：透過對攻擊溯源，獲得攻擊者的準確資訊，利用法律手段或其他合法手段進行反制；建立攻防實驗室，對組織的重要系統進行模擬攻擊，來驗證防護手段的健狀性；組織紅藍隊攻防演練，在實戰中不斷提升網路抗攻擊能力。

滑動標尺是一種能力疊加演進的安全思想，左側是右側的基礎，右側是應對更高級威脅的能力。只有在具備堅實的安全基礎前提下，才能實作從被動到主動的防禦。從左到右是安全能力的提升，也是安全成本的提升，企業在進行安全架構選型時，需根據自身所面臨的的風險以及預算能力，選擇適合自己的安全防護建設模式。

對於需要進行體系化網路能力建設的企業，我們建議將重心放置在架構安全上。在進行安全規劃時，可優先做好架構安全、被動防禦和積極防禦三個階段的防護建設。

在進行網路安全實際建設過程中，組織則需要優先將安全預算落實在網路建設、被動防禦兩個分類當中。

對於已有一定安全基礎，需要在此基礎上最佳化提升的企業，我們建議：

企業可以選擇網路安全能力成熟度模型模型（C2M2），以簡單普適性的方法快速對企業安全現狀進行評估。

圖表 4C2M2模型

C2M2模型的10個域可對應到滑動標尺模型的5個分類：

圖表 5滑動標尺模型與C2M2模型對應

C2M2模型的10個域可根據實際情況分為四個成熟度，透過計算滑動標尺每個分類中各域的平均成熟度，可以得出相應分類的成熟度值。

安全風險分為外部攻擊者意圖帶來的風險和自身業務帶來的風險。根據Check Point【2022年安全報告】，教育行業、政府、通訊機構是網路攻擊的重災區。不同行業的情報價值、整體防護能力是不同的，攻擊者可能依據行業選擇攻擊目標。此外，企業業務開放數量也會影響企業資訊資產的互聯網暴露面，從而提升安全風險。

自身資源狀況是指可套用於網路安全建設的人力、物力、財力。資源數量的核心在於管理層對網路安全建設的認可程度，網路安全一般被認為是資訊系統建設的伴生產物，無法直接產生經濟效益，因此不同的領導者對網路安全的態度不同。在評估自身資源現狀時，一方面要評估已有網路安全預算數量和專業的安全人員，另一方面也要評估管理層對網路安全的態度，以對未來網路安全建設進行整體把控。

在進行下一步安全可遵循以下原則：