域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
隨著安全的快速發(fā)展,為應(yīng)對(duì)和解決各種安全問(wèn)題,各權(quán)威機(jī)構(gòu)以及相關(guān)專家提出了很多安全架構(gòu),它們對(duì)安全發(fā)展都具有重大意義。但是,如果一定從中選出幾個(gè)對(duì)當(dāng)今安全發(fā)展影響最大的安全架構(gòu),筆者會(huì)選擇Gartner提出的Adaptive Security Architecture模型(CARTA屬于自適應(yīng)架構(gòu)3.0)、Forrester提出的ZeroTrust模型及MITRE的ATT&CK框架。
Zero Trust和Adaptive Security Architecture是前幾年一直火熱的理論模型,ATT&CK則是最近一年國(guó)內(nèi)信息安全圈最火熱的一個(gè)新名詞了。相信安全從業(yè)人員對(duì)于這幾個(gè)概念或多或少都有了一定的了解,筆者今天想要重點(diǎn)談一下這三者之間的一些關(guān)系。
先說(shuō)下自適應(yīng)安全3.0階段的CARTA模型(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估),這是自適應(yīng)安全架構(gòu)演進(jìn)后形成的一個(gè)概念(如欲了解更多相關(guān)內(nèi)容,可閱讀青藤云安全COO程度先生所寫《自適應(yīng)安全架構(gòu)的歷史和演進(jìn)》)。CARTA所強(qiáng)調(diào)的對(duì)風(fēng)險(xiǎn)和信任的評(píng)估分析,與傳統(tǒng)安全方案采用allow或deny的簡(jiǎn)單處置方式完全不同,CARTA是通過(guò)持續(xù)監(jiān)控和審計(jì)來(lái)判斷安全狀況的,強(qiáng)調(diào)沒(méi)有絕對(duì)的安全和100%的信任,尋求一種0和1之間的風(fēng)險(xiǎn)與信任的平衡。
那么這三個(gè)理論框架之間有什么關(guān)系呢?筆者認(rèn)為要實(shí)現(xiàn)CARTA,第一步就是零信任,首先需要評(píng)估安全狀況,包括驗(yàn)證用戶、驗(yàn)證設(shè)備、限制訪問(wèn)和權(quán)限,最后是自適應(yīng)的調(diào)整策略。然后,在整個(gè)安全過(guò)程中,安全狀況會(huì)隨時(shí)發(fā)生變化,其中最主要就是需要面臨各種攻擊,因此需要進(jìn)行持續(xù)檢測(cè),這個(gè)時(shí)候ATT&CK框架就是一個(gè)很好的安全檢測(cè)和響應(yīng)模型。
零信任是實(shí)現(xiàn)CARTA第一步
為了更好地理解數(shù)字時(shí)代的信任,需要先了解“Trust”這個(gè)詞本身的含義。所謂信任,是兩個(gè)實(shí)體之間建立的一個(gè)彼此連接關(guān)系,這個(gè)關(guān)系要求彼此能夠按照預(yù)期的方式做事。在這個(gè)過(guò)程中,需要監(jiān)視在彼此交互期間雙方是否在約定的預(yù)期范圍內(nèi)活動(dòng)。如果發(fā)生風(fēng)險(xiǎn)性的偏差,就需要糾正此類偏差甚至是中斷彼此的信任關(guān)系。在這里需要強(qiáng)調(diào)的是,信任并不是絕對(duì)的,而是一個(gè)相對(duì)的概念,并且是一個(gè)動(dòng)態(tài)變化的關(guān)系。
在了解了Trust的概念之后,就比較容易了解網(wǎng)絡(luò)安全概念中所謂的Zero Trust(零信任)了。零信任網(wǎng)絡(luò)是指,所有初始安全狀態(tài)的不同實(shí)體之間,不管是企業(yè)內(nèi)部還是外部,都沒(méi)有可信任的連接。只有對(duì)實(shí)體、系統(tǒng)和上下文的身份進(jìn)行評(píng)估之后,才能動(dòng)態(tài)擴(kuò)展對(duì)網(wǎng)絡(luò)功能的最低權(quán)限訪問(wèn)。
零信任網(wǎng)絡(luò)默認(rèn)使用Deny作為起點(diǎn)。在授予網(wǎng)絡(luò)訪問(wèn)權(quán)限之前,要對(duì)實(shí)體和設(shè)備的身份和信任進(jìn)行評(píng)估。當(dāng)然,Gartner提出的CARTA模型,已經(jīng)擴(kuò)展到了網(wǎng)絡(luò)之外,包括IT堆棧、風(fēng)險(xiǎn)合規(guī)治理流程等方面。在交互過(guò)程中不斷監(jiān)視和評(píng)估風(fēng)險(xiǎn)和信任級(jí)別,如果發(fā)現(xiàn)信任下降或風(fēng)險(xiǎn)增加到了閾值,需要進(jìn)行響應(yīng),則應(yīng)該相應(yīng)地調(diào)整訪問(wèn)策略。
CARTA戰(zhàn)略流程
此外,CARTA在戰(zhàn)略方法中強(qiáng)調(diào),在交互期間持續(xù)監(jiān)視和評(píng)估實(shí)體及其行為。在自適應(yīng)安全架構(gòu)中,CARTA戰(zhàn)略總共包括七個(gè)步驟,零信任可以作為其第一步,如下圖所示。
CARTA戰(zhàn)略的七個(gè)步驟
在CARTA的自適應(yīng)攻擊防護(hù)架構(gòu)中,采用的正是零信任策略,如下圖右上角紅框內(nèi)容所示。采用零信任架構(gòu)是防護(hù)的第一步,可以很好地應(yīng)對(duì)內(nèi)部攻擊。在建立一定程度的信任連接之前,會(huì)對(duì)系統(tǒng)進(jìn)行加固和隔離,所有微隔離的Projects之間都是采用零信任網(wǎng)絡(luò)連接。而CARTA進(jìn)一步擴(kuò)展了零信任的概念,并將攻擊防護(hù)視為一個(gè)持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估過(guò)程,如下圖深藍(lán)色部分所示。在圖形的中心,CARTA還擴(kuò)展了網(wǎng)絡(luò)之外的功能。例如,CARTA在系統(tǒng)上運(yùn)行時(shí)監(jiān)視可執(zhí)行代碼,以發(fā)現(xiàn)惡意行為和風(fēng)險(xiǎn)的跡象,即使它通過(guò)了初始風(fēng)險(xiǎn)和信任評(píng)估。這就是被稱為終端檢測(cè)和響應(yīng)的EDR技術(shù)。
采用零信任實(shí)現(xiàn)自適應(yīng)攻擊防護(hù)
同樣,在CARTA自適應(yīng)的訪問(wèn)防護(hù)架構(gòu)中,初始安全狀態(tài)都是默認(rèn)deny狀態(tài),如下圖右上角的紅框所示。在對(duì)用戶的憑據(jù)、設(shè)備和上下文進(jìn)行評(píng)估之前,用戶沒(méi)有任何訪問(wèn)權(quán)限。因此,在建立足夠的信任級(jí)別之前,不應(yīng)該授予訪問(wèn)權(quán)限。CARTA進(jìn)一步擴(kuò)展了零信任的概念,并將訪問(wèn)保護(hù)視為一個(gè)持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估問(wèn)題,如下圖的深綠色部分所示。在圖形的中心,CARTA還擴(kuò)展了網(wǎng)絡(luò)訪問(wèn)之外的功能。例如,CARTA戰(zhàn)略方法監(jiān)視用戶的風(fēng)險(xiǎn)行為,即使他們已經(jīng)通過(guò)了初始風(fēng)險(xiǎn)和信任評(píng)估,并被授予了對(duì)應(yīng)用程序的訪問(wèn)權(quán)。這就是被稱為用戶和實(shí)體行為分析的UEBA。
采用零信任實(shí)現(xiàn)自適應(yīng)訪問(wèn)防護(hù)
ATT&CK是CARTA持續(xù)風(fēng)險(xiǎn)評(píng)估的保證
CARTA和ATT&CK一樣,都非常關(guān)注檢測(cè)和響應(yīng)部分的實(shí)現(xiàn)。而ATT&CK作為入侵分析“鉆石”級(jí)別的模型,能夠增強(qiáng)企業(yè)的檢測(cè)和響應(yīng)能力。那么,如何根據(jù)ATT&CK框架來(lái)檢查目前安全產(chǎn)品的整體覆蓋度,進(jìn)行全面的差距分析,以及如何將ATT&CK所涵蓋的技術(shù)點(diǎn)融入到產(chǎn)品中去,這些都是值得大家思考的問(wèn)題,這也是自適應(yīng)安全架構(gòu)最核心的檢測(cè)和響應(yīng)部分內(nèi)容。(建議讀者先閱讀一下筆者先前的文章《一文看懂ATT&CK框架以及使用場(chǎng)景實(shí)例》和《細(xì)述MITRE ATT&CK框架的實(shí)施和使用方式》,對(duì)ATT&CK框架的概念、使用場(chǎng)景、以及實(shí)施和使用方式先有一個(gè)初步的了解,這更有利于理解文本的內(nèi)容涵義。)
ATT&CK框架核心就是以矩陣形式展現(xiàn)的TTPs,即Tactics, Techniques and Procedures(戰(zhàn)術(shù)、技術(shù)及步驟),是指攻擊者從踩點(diǎn)到獲取數(shù)據(jù)以及這一過(guò)程中的每一步是“如何”完成任務(wù)的。因此,TTPs也是痛苦金字塔中對(duì)防御最有價(jià)值的一類IoC。當(dāng)然這也意味著收集TTPs,并將其應(yīng)用到網(wǎng)絡(luò)防御中的難度系數(shù)是最高的。而ATT&CK則是有效分析攻擊者行為(即TTPs)的威脅分析框架。
Bianco 提出的痛苦金字塔
ATT&CK使用攻擊者的視角,比從純粹的防御角度更容易理解上下文中的行動(dòng)和潛在對(duì)策。對(duì)于檢測(cè),雖然很多防御模型會(huì)向防御者顯示警報(bào),但不提供引起警報(bào)事件的任何上下文,例如從防御者的視角自上而下地介紹安全目標(biāo)的CIA模型、側(cè)重于漏洞評(píng)級(jí)CVSS、主要考慮風(fēng)險(xiǎn)計(jì)算的DREAD模型等。這些模型只能形成一個(gè)淺層次的參考框架,并沒(méi)有提供導(dǎo)致這些警報(bào)的原因以及與系統(tǒng)或網(wǎng)絡(luò)上可能發(fā)生的其它事件的關(guān)系。
而ATT&CK框架提供了對(duì)抗行動(dòng)和信息之間的關(guān)系和依存關(guān)系,防御者就可以追蹤攻擊者采取每項(xiàng)行動(dòng)的動(dòng)機(jī),并了解這些行動(dòng)和依存關(guān)系。擁有了這些信息之后,安全人員的工作從尋找發(fā)生了什么事情,轉(zhuǎn)變?yōu)榘凑誂TT&CK框架,將防御策略與攻擊者的手冊(cè)對(duì)比,預(yù)測(cè)會(huì)發(fā)生什么事情。這正是CARTA所倡導(dǎo)的“預(yù)防有助于布置檢測(cè)和響應(yīng)措施,檢測(cè)和響應(yīng)也有助于預(yù)測(cè)”。
使用ATT&CK框架來(lái)提升檢測(cè)能力的首要步驟就是對(duì)數(shù)據(jù)源進(jìn)行盤點(diǎn)。ATT&CK框架已定義了大約50種不同類型的數(shù)據(jù)源。對(duì)于每個(gè)數(shù)據(jù)源,企業(yè)需要對(duì)數(shù)據(jù)質(zhì)量、數(shù)量?jī)?nèi)容等方面進(jìn)行管理??梢允褂肕ITRE ATT&CK導(dǎo)航工具,按下圖所示方式將數(shù)據(jù)源映射到ATT&CK技術(shù),進(jìn)行可視化展示。
數(shù)據(jù)源可視化示例
其次,對(duì)于企業(yè)機(jī)構(gòu)來(lái)說(shuō),知道威脅主體使用了哪些ATT&CK技術(shù),這一點(diǎn)也至關(guān)重要。組織機(jī)構(gòu)可以根據(jù)MITRE ATT&CK知識(shí)庫(kù)中存在的威脅組織和惡意軟件創(chuàng)建熱力圖。將威脅組織使用的技術(shù)與企業(yè)的檢測(cè)或可見(jiàn)性水平進(jìn)行比較,確定哪些方面可能存在差距,需要改進(jìn),從而增強(qiáng)檢測(cè)和事件響應(yīng)能力。下圖顯示了一個(gè)基于ATT&CK中所有威脅組織數(shù)據(jù)的熱力圖。熱力圖中的顏色越深,則表示攻擊組織使用該技術(shù)的頻率就越高。
基于威脅組織的熱力圖
例如,某些ATT&CK技術(shù)與自身組織機(jī)構(gòu)相關(guān)。那么,組織機(jī)構(gòu)就可以將其與當(dāng)前的檢測(cè)狀態(tài)進(jìn)行直觀比較,確定在ATT&CK技術(shù)方面可能存在的差距或改進(jìn)之處。
將威脅主體攻擊技術(shù)與企業(yè)的檢測(cè)結(jié)果進(jìn)行比較
最后,基于上述分析,以ATT&CK框架為基礎(chǔ)實(shí)現(xiàn)檢測(cè)方案的可視化,然后對(duì)檢測(cè)方案進(jìn)行評(píng)分(如下圖所示),管理檢測(cè)和響應(yīng)方案。
顯示檢測(cè)方案分?jǐn)?shù)的熱力圖示例
寫在最后
Zero Trust和ATT&CK架構(gòu)都是從攻擊者的視角出發(fā)看問(wèn)題,顛覆了傳統(tǒng)上的純粹防御安全觀念,與CARTA倡導(dǎo)的安全人員應(yīng)該通過(guò)理解上下文和持續(xù)風(fēng)險(xiǎn)評(píng)估來(lái)靈活調(diào)整安全策略的理念有諸多異曲同工之處。
青藤云安全認(rèn)為:鑒于在安全領(lǐng)域,防御者始終處于一個(gè)敵暗我明的天生劣勢(shì),因此,安全人員應(yīng)該采用零信任的態(tài)度,并主動(dòng)提高安全檢測(cè)能力,才是根本之策。CARTA藍(lán)圖可以幫助大家實(shí)現(xiàn)這一目標(biāo),而Zero Trust和ATT&CK框架則是成功落實(shí)該理念的關(guān)鍵保障。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!