王小豐

在合規(guī)建設(shè)的基礎(chǔ)上有效推動安全防護(hù)體系的能力提升是一個(gè)較好的方案，我們要在實(shí)踐中運(yùn)用威脅框架，增強(qiáng)防護(hù)體系的威脅對抗能力。

前面的嘉賓介紹了在云端如何建立安全的防護(hù)體系，同時(shí)我們也注意到安全的最終目的是為了保障安全、對抗攻擊者。如何去度量我們的防護(hù)體系到底有沒有效果？這是我匯報(bào)的主要內(nèi)容。

現(xiàn)在的網(wǎng)絡(luò)應(yīng)用場景越來越復(fù)雜，網(wǎng)絡(luò)攻擊者越來越多，有兩個(gè)典型的數(shù)據(jù)：一是惡意代碼樣本種類增加了400倍，這是20年的變化情況。安天引擎本地檢測規(guī)則增加了500倍。并且不是單純的種類增加，每個(gè)種類里面的技術(shù)也相對增加了。二是SNORT的默認(rèn)生效規(guī)則數(shù)量，從2003年的2345條到2019年的11629條，16年間增加了約4倍。

一方面是攻擊種類、攻擊方法的增加，另一方面是攻擊復(fù)雜度的劇增。企業(yè)在這些年的發(fā)展情況是一個(gè)典型傳統(tǒng)架構(gòu)的防護(hù)體系，為了保證對IT場景的覆蓋，需要做這些安全措施：比如網(wǎng)絡(luò)安全能力、安全運(yùn)行支撐性措施、應(yīng)用與數(shù)據(jù)層、設(shè)備與計(jì)算層等，要對各個(gè)場景進(jìn)行安全覆蓋。進(jìn)一步對比私有云場景，我們會發(fā)現(xiàn)在供給數(shù)量上會劇增，做到云化安全防護(hù)之外，還要做到云平臺的基礎(chǔ)防護(hù)。如果是高度依賴IT的企業(yè)，多元混合云成為了選擇，防護(hù)體系和安全場景也會進(jìn)一步增加。

綜合來看，網(wǎng)絡(luò)攻擊的技術(shù)手法、應(yīng)用場景和防護(hù)體系、APT攻擊行動的復(fù)雜性和危害性均在劇增，安全防護(hù)體系要想有效，亟待提升面向?qū)剐Ч脑u估方式和指引能力。

業(yè)內(nèi)和科研界對如何做出有效的防護(hù)體系也進(jìn)行了探索，但我們?nèi)绾稳ザ攘窟@些實(shí)踐的有效性呢？我認(rèn)為最重要的還是要從實(shí)際防護(hù)的效果出發(fā)，難免會碰到兩個(gè)問題：一是不可能模擬出完整的攻擊效果;二是我們會發(fā)現(xiàn)，尤其是APT的隱蔽性和長期性，我們不一定能夠發(fā)現(xiàn)真正的實(shí)際效果，不一定能夠保證這些效果。

如今，大數(shù)據(jù)領(lǐng)域的威脅框架比較多，我們舉的例子是ATT&CK，目前被業(yè)內(nèi)廣泛采用的威脅框架，這個(gè)框架有三個(gè)特點(diǎn)：一是從攻擊者的視角和攻擊過程的整體分析來說較為全面。同時(shí)，它給出了整個(gè)攻擊行動之后應(yīng)該采用的對抗行為。二是可以形成有效的知識庫，指導(dǎo)防御方通過采集+分析來識別攻擊行為。三是發(fā)展前景良好，獲得安全研究人員和安全廠商的廣泛支持。

關(guān)于ATT&CK威脅框架的三個(gè)域覽：一是企業(yè)域，二是移動域，三是工控域。企業(yè)域主要運(yùn)用于公共平臺，包括云平臺。如果要對比的話，針對其他的研究模型來看，企業(yè)域主要應(yīng)用于攻擊發(fā)起之前的攻擊組織活動。我們把整個(gè)威脅框架翻譯了一下，大概有十多類技術(shù)，細(xì)化到每一類技術(shù)中分別有20多種相關(guān)戰(zhàn)術(shù)。

目前從業(yè)內(nèi)應(yīng)用來看主要有兩大類：一是針對攻擊事件和攻擊組織的分析。比如，針對APT29空間組織的分析，目前來看通過這種方式可以刻畫出攻擊組織經(jīng)常采用的計(jì)算數(shù)，發(fā)現(xiàn)攻擊組織的計(jì)算數(shù)變化，同時(shí)監(jiān)測如何防護(hù)。二是度量自身的防護(hù)體系，通過將整個(gè)威脅框架進(jìn)行覆蓋，對自己應(yīng)用的IT場景進(jìn)行覆蓋，形成改善措施。

從我們對分析者的追蹤過程發(fā)現(xiàn)三種能力較為重要：一是驗(yàn)證和提升產(chǎn)品能力，二是提升威脅對抗能力，三是評估和改進(jìn)系統(tǒng)安全性。

在真正的攻擊實(shí)踐中往往會出現(xiàn)三個(gè)情況：一是在自己的IT場景中不可能把安全場景做全，二是不可能把安全場景做到最細(xì)，三是思考如何對抗威脅。比如折紙攻擊戰(zhàn)術(shù)相對而言不是那么高超，它是通過數(shù)源分析，用少量的攻擊資源不停地偽裝、變換、隱藏自己，我們就稱其為“折紙”。比較有意義的是其至今仍然活躍，在隔離了內(nèi)網(wǎng)的情況下仍然可以去傳播，去竊密。

我們針對“折紙”攻擊行動的應(yīng)對措施分析：一是進(jìn)行傳統(tǒng)的攻擊戰(zhàn)術(shù)分析，二是把戰(zhàn)術(shù)分析的情況映射到整個(gè)ATT&CK威脅框架的技術(shù)和戰(zhàn)術(shù)上，三是應(yīng)用了ATT&CK框架中提供的SHIELD框架映射。因?yàn)椋琒HIELD框架中強(qiáng)調(diào)了蜜罐、誘捕，及時(shí)將攻擊者的攻擊行動引入到蜜罐環(huán)境中或者密碼環(huán)境中捕獲威脅，能夠有助于更好的給自己留下時(shí)間窗，形成改善整個(gè)安全策略的時(shí)間，進(jìn)而映射到整個(gè)威脅行為，將威脅行為編排到各個(gè)安全產(chǎn)品中。四是制定對抗方案，這時(shí)候會把對抗策略大量地分發(fā)到蜜罐、密碼中，少量分發(fā)到防火墻中，形成整個(gè)對抗技巧，可以快速對抗APT的攻擊組織。

在合規(guī)建設(shè)的基礎(chǔ)上有效推動安全防護(hù)體系的能力提升是一個(gè)比較好的方案，威脅框架提供了非常好的面向?qū)沟脑u估方式與提升指引。我們做了很多方法論的探索和技術(shù)指南的探索，但面對真正實(shí)戰(zhàn)效果和對抗效果的評估仍非常重要的。

網(wǎng)絡(luò)是人和人的對抗，從我們掌握的ATT&CK框架上來講，它是對攻擊型戰(zhàn)術(shù)的總結(jié)，千萬不要因?yàn)榻⒘薃TT&CK框架就認(rèn)為建立了所有的安全感，不要以為建立了框架就建立了對抗所有攻擊的能力。在實(shí)踐中運(yùn)用威脅框架，全面增強(qiáng)防護(hù)體系的威脅對抗能力，才能達(dá)成保證體系對客戶有效方面的安全價(jià)值。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）