如何应对全面安全问题(一)
通过滑动标尺模型理解***、防御与叠加创新
当前,能力型安全厂商普遍互认的公共模型--滑动标尺模型将整个安全能力体系划分为五个阶段,分别是架构安全、被动防御、积极防御、威胁情报和进攻。
从架构安全的角度来看,其是一个自身强身健体的过程,主要是在安全的规划和建立过程中,充分地考虑安全,这也与总书记的"网络安全与信息化要同步建设"的三同步原则相对应。
从被动防御的角度来看,人们往往认为被动的就是不好的,但其实被动防御是一种非常基础的安全措施,比如,防火墙中添加的端口规则或者IP段的规则收窄了***者可能移动的灵活性;建立一些相应的基础日志来保证***者必须留下痕迹,虽然不足以用来暴露高能力的***者,但却是能够有效对抗高能力***者和落实后续安全策略的基础。
在此基础上,则包括了监测威胁、响应对抗、对威胁了解持续提升的上层积极防御手段。在此层次之上,才是威胁情报的积累,包括低阶的情报(比如,IOE的信标、哈希)和高阶威胁情报和高阶威胁情报
从国家的安全战略体系上来看,一定还要包括进攻这一部分,总书记在4.19座谈会上曾讲到"网络安全的本质在于对抗,对抗的本质在于***两端能力的较量",进攻就是一种威慑能力。但从一个行业、体系或者安全产品体系的实践的角度来看,安全体系总体上是关联于架构安全、被动防御、积极防御和威胁情报的。
态势感知的价值和成本
我们认为这两者具有层面上的差异,同时存在着相互关联的部分。总体来看,有效防护贯穿于被动防御和积极防御等手段,实际上是用来应对架构安全层面上的缺陷,通过积极手段去弥补被动防御的不足,收窄被***面。而态势感知是一种上层建筑,是一种高价值的手段。那么在一定程度上,有效防护构成了态势感知的相关基础。
图 1 态势感知的价值与成本
以态势感知要求重构相关能力环节
态势感知与SIEM和SOC的最大差别是,态势感知的基础环节和探针应该是根据态势感知的要求重构的,而不是,现有的终端防护产品是一个杀毒软件,汇集上来的就是文件检测日志;现有的环节是一个IDS,汇集上来的就是包的检测日志。从我的角度来看,无论是流量侧、端点侧,还是分析侧,都是要根据态势感知的要求在端点、流量和分析能力上建立起一套符合态势感知要求的全要素采集能力。