|
Gartner針對高級別攻擊設(shè)計(jì)了一套自適應(yīng)安全架構(gòu),這個(gè)架構(gòu)理論當(dāng)時(shí)并未引起充分的認(rèn)識�����,同時(shí)因?yàn)檫@個(gè)詞很容易讓人望文生義��,導(dǎo)致了很多人的誤解�。可以從2014年和2015年的10大科技趨勢也可以看到��,2014年10大科技趨勢根本就沒有提及安全的相關(guān)趨勢��,在2015年10大科技趨勢中提及了基于風(fēng)險(xiǎn)的安全策略和自安全��。自適應(yīng)安全架構(gòu)的在提出兩年內(nèi)認(rèn)可度并未得到全面的認(rèn)識���。  自適應(yīng)安全架構(gòu)1.0 安全形勢嚴(yán)峻����,安全策略轉(zhuǎn)移 此架構(gòu)針對于當(dāng)時(shí)市場上的安全產(chǎn)品主要重在防御和邊界的問題�����,安全形勢形成了嚴(yán)重的挑戰(zhàn)下提出的此框架。讓人們從防御和應(yīng)急響應(yīng)的思路中解放出來���,相對應(yīng)的是加強(qiáng)監(jiān)測和響應(yīng)能力以及持續(xù)的監(jiān)控和分析��。同時(shí)也引入了全新的預(yù)測能力。此架構(gòu)的誕生背景跟當(dāng)時(shí)的情況有一些巧合的地方��。在2013年美國總統(tǒng)奧巴馬簽署的行政命令EO13636�����,關(guān)于改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全����,在這個(gè)行政命令要求下,NIST開發(fā)了一系列的框架為了減少關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)風(fēng)險(xiǎn)��,2014年發(fā)布的網(wǎng)絡(luò)安全增強(qiáng)法案又強(qiáng)化了EO13636��。NIST在2014年發(fā)布了1.0的網(wǎng)絡(luò)安全整體架構(gòu)���,分為三大組件�,核心層、實(shí)施層和實(shí)例化層��。核心層的表示如下:  可以看出來跟自適應(yīng)安全架構(gòu)的三個(gè)領(lǐng)域是重合的�,分別是保護(hù)、檢測和響應(yīng)�����。同時(shí)在實(shí)施層的第四層叫做“自適應(yīng)”層�����,但是這里的“自適應(yīng)”是指對歷史風(fēng)險(xiǎn)和現(xiàn)在遭遇的風(fēng)險(xiǎn)�,不斷去“適應(yīng)”和改進(jìn)安全的態(tài)勢,這也應(yīng)該是自適應(yīng)安全架構(gòu)中自適應(yīng)的應(yīng)該具有的意義�����。這個(gè)架構(gòu)的編寫者來自于美國學(xué)術(shù)界和工業(yè)界的安全專家����,可謂是集中了行業(yè)內(nèi)最有見解的力量,按照中立和自愿的原則進(jìn)行的編撰�。同時(shí)在時(shí)間上,Gartner的自適應(yīng)安全架構(gòu)的發(fā)布跟這個(gè)架構(gòu)的發(fā)布基本在同時(shí)��。以上證據(jù)可以證明自適應(yīng)安全架構(gòu)受到了網(wǎng)絡(luò)安全整體架構(gòu)的影響。 2016年自適應(yīng)安全架構(gòu)的原作者���,Gartner兩位王牌分析師Neil MacDonald和Peter Firstbrook對此報(bào)告進(jìn)行了勘誤和改版����,變動并不大����,但是同年自適應(yīng)安全架構(gòu)在全球范圍內(nèi)得到了廣泛的認(rèn)可���。很多公司的產(chǎn)品都在針對此架構(gòu)對產(chǎn)品進(jìn)行演進(jìn)��,國外的很多廠商甚至直接就把自適應(yīng)的四個(gè)象限拿來跟自己的品牌結(jié)合成為自己的產(chǎn)品名稱���,比如即將要IPO的Cabon Black,還有Illumio打造自己為自適應(yīng)安全平臺的概念�。國內(nèi)的很多公司和業(yè)內(nèi)知名人士也在大力宣揚(yáng)自適應(yīng)安全架構(gòu)的理論。同時(shí)在2016年的10大科技趨勢中自適應(yīng)安全架構(gòu)名列其中���,作為全球CEO和CIO關(guān)注的科技趨勢之一�����,引導(dǎo)對于安全建設(shè)的思路��。從2014年到2016年可以定義為自適應(yīng)安全架構(gòu)1.0時(shí)期��。 自適應(yīng)安全構(gòu)架2.0時(shí)代 在2017年進(jìn)入了自適應(yīng)安全架構(gòu)的2.0時(shí)期����,在1.0的基礎(chǔ)上進(jìn)行了相關(guān)的理論豐富。如下圖所示:  自適應(yīng)架構(gòu)2.0 在自適應(yīng)架構(gòu)2.0的時(shí)候加入了一些額外的元素����,主要是三點(diǎn)變化:第一、在持續(xù)的監(jiān)控分析中改變成持續(xù)的可視化和評估�����,同時(shí)加入了UEBA相關(guān)的內(nèi)容;第二�����、引入了每個(gè)象限的小循環(huán)體系�����,不僅僅是四個(gè)象限大循環(huán);第三����、在大循環(huán)中加入了策略和合規(guī)的要求���,同時(shí)對大循環(huán)的每個(gè)步驟說明了循環(huán)的目的,到保護(hù)象限是實(shí)施動作;到檢測象限是監(jiān)測動作�����,到響應(yīng)和預(yù)測象限都是調(diào)整動作�。可以說是這種改變加入了一些額外的因素來完善自適應(yīng)安全體系�����。其實(shí)在2016年的十大科技趨勢之自適應(yīng)架構(gòu)報(bào)告中也能看到端倪�,在后面詳細(xì)介紹了UEBA的相關(guān)內(nèi)容�����。UEBA是User& Entity behavior analytics的縮寫�,意義是用戶和實(shí)體的行為分析,這里的實(shí)體主要指終端����、應(yīng)用����、網(wǎng)絡(luò)等IT資產(chǎn)實(shí)體����。美國有很多專注于做此種類型的廠商,主要的思路是收集這些IT資產(chǎn)實(shí)體的數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)����,來找出一些安全問題。重點(diǎn)的功能是在分析側(cè)�,很多終端安全廠商或者網(wǎng)絡(luò)安全廠商會跟UEBA的廠商進(jìn)行配合使用,前者發(fā)現(xiàn)既有的一些安全問題����,后者幫助發(fā)現(xiàn)更深層次的問題,尤其還有人的因素在里面��。 UEBA的機(jī)構(gòu)圖如下:  同時(shí)將策略和合規(guī)的問題囊括進(jìn)來�,就將自適應(yīng)安全架構(gòu)的外延擴(kuò)大了,在此架構(gòu)提出的時(shí)候主要是針對于高級攻擊的防御架構(gòu)�����,相當(dāng)于此架構(gòu)的普適性增強(qiáng)了。 自適應(yīng)安全3.0時(shí)代快速來臨 在2018年十大安全趨勢中���,正式確認(rèn)了“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任”(CARTA)的安全趨勢���,也即是自適應(yīng)安全架構(gòu)3.0的強(qiáng)調(diào)。這次架構(gòu)的添加的內(nèi)容較多���,同時(shí)名字都進(jìn)行了修改�。其實(shí)這篇報(bào)告在2017年已經(jīng)推出�,《在高級威脅的時(shí)代使用“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與可信評估“的方法來擁抱數(shù)字商業(yè)機(jī)會》�,先來一張圖說明變化:  自適應(yīng)安全3.0構(gòu)架 比之前最大的變化即是多了關(guān)于訪問的保護(hù)內(nèi)環(huán)����,把之前的自適應(yīng)安全架構(gòu)作為攻擊的保護(hù)外環(huán)。作為增加了內(nèi)環(huán)重點(diǎn)的關(guān)注認(rèn)證����,也有其內(nèi)在原因: 第一�、之前的自適應(yīng)安全架構(gòu)沒有考慮認(rèn)證的問題���,導(dǎo)致架構(gòu)的完整性有缺失。如果黑客獲取了有效的認(rèn)證內(nèi)容���,比如用戶名密碼��,自適應(yīng)架構(gòu)對于此類事件是“可信”的����,威脅就無法感知。 第二�����、在云時(shí)代下CASB這種產(chǎn)品就是解決了部分認(rèn)證的問題��,Gartner同時(shí)使用自適應(yīng)安全架構(gòu)的方法論來對CASB的能力架構(gòu)進(jìn)行過全面分析�,可以說是將對CASB自適應(yīng)的架構(gòu)作為原型挪到了這個(gè)總體架構(gòu)中����,在這個(gè)架構(gòu)中的核心點(diǎn)在于認(rèn)證�����,包括了云服務(wù)的發(fā)現(xiàn)、訪問��、監(jiān)控和管理��。 第三��、如果認(rèn)證體系只是一次性認(rèn)證并沒有持續(xù)的監(jiān)控和審計(jì),必須要有被竊取認(rèn)證信息的心理預(yù)期�,所以要持續(xù)的進(jìn)行監(jiān)控和分析以及響應(yīng)��,所以要形成閉環(huán)�。  CASB自適應(yīng)安全威脅保護(hù) 從這些變化可以看出一些重點(diǎn)�,對于認(rèn)證領(lǐng)域(IAM)的重視�,并將攻擊保護(hù)側(cè)和訪問保護(hù)側(cè)分別定位為將“壞”的驅(qū)趕出來和讓“好”的進(jìn)入�����。如果把內(nèi)外環(huán)換個(gè)順序感覺會更直觀一些���,一般來說先是接觸訪問然后再接觸內(nèi)部系統(tǒng)���。這個(gè)架構(gòu)的適用場景變得更為廣泛��,包括了安全響應(yīng)、數(shù)據(jù)保護(hù)���、安全運(yùn)營中心、雙模IT�����、開發(fā)安全運(yùn)維、物聯(lián)網(wǎng)�、供應(yīng)鏈安全�����、業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)等領(lǐng)域�����。很明顯在未來的一兩年內(nèi)����,可能會一直是十大科技趨勢之一��。 展望一下自適應(yīng)安全架構(gòu)的未來�����,兩個(gè)方向是一直在提的,后面估計(jì)會加入到自適應(yīng)架構(gòu)中�。一個(gè)就是開發(fā)安全運(yùn)維(DevSecOps),另一個(gè)是欺騙系統(tǒng)(Deception System)����。開發(fā)安全運(yùn)維提到了很多年,對于解決安全的問題的本質(zhì)很有意義���,同時(shí)在目前開發(fā)運(yùn)維慢慢成為主流���,安全要吻合這種趨勢來解決這種方式的安全問題�。同時(shí)欺騙系統(tǒng)的重要性也被提及出來�,但是作為邊緣產(chǎn)品�����,是否能得到甲方的全面認(rèn)可��,還要看市場的反響�����。 自適應(yīng)安全架構(gòu)發(fā)展4年�����,不斷的擴(kuò)展它的內(nèi)涵和外延����,表現(xiàn)出了極大的生命力。無論作為安全甲方還是安全乙方�,都有很大的參考價(jià)值。安全建設(shè)方�,可以按照此架構(gòu)對整個(gè)組織的安全狀況進(jìn)行梳理,構(gòu)建整個(gè)安全建設(shè)方案,盡量選擇覆蓋自適應(yīng)能力更全的廠商來改善整體的安全態(tài)勢;同時(shí)安全廠商可以根據(jù)此架構(gòu)來規(guī)劃功能和能力���,不斷增強(qiáng)和加深自適應(yīng)的各項(xiàng)安全要求。
|
