基于攻击视角完善信息安全弹性防御体系思考

　　行业现状：基于对信息风险的理解，参照ISO27000标准族，遵循GB20274《信息系统安全保障评估框架》、等级保护标准族及银行业各类信息安全综合规范及监管要求，目前银行业基本建立较完善安全保障体系，夯实安全生产三道防线，其落地在于安全运营能力的增强。体现在从构建纵深安全防御体系、持续改进安全能力建设、风险应急响应常态化、内外部威胁情报使用持续进化，信息安全运营体系具备自我学习，弹性增强及自适应能力。

　　随着云安全、大数据的发展及银行科技转型加快，安全保障更多作为一种服务为科技及业务赋能，提供更好用户体验。基于攻击链模型优化防御体系(防守)，根据钻石模型开展攻击者分析(溯源)，综合攻击链及钻石模型开展情报驱动的主动防御(升维防御)。在防御体系进化中，根据组织人财物锚定信息安全防御能力滑动象限(SANS)范围，有所为有所不为，实现成本和回报的适度安全。最后，在安全运营中辅助开展毒性测试以增强组织防御的强韧性以至于自适应升级，保证安全生态体系保持自适应进化。

　　基于攻击者视角构建纵深弹性自适应网络安全防御生态

　　1.基于攻击链路径构建纵深防御体系

　　攻击链模型源自美国军方，将攻击成功行为分为7步，每一步的打断均可有效阻止一次攻击行为，类似不完全信息动态博弈(精炼贝叶斯均衡)，就算被攻击后的亡羊补牢，也为时未晚。

　　为此，纵深防御从攻击链的七步对应出来，按照时间维度，从事前监测、事中遏制及阻断、事后跟踪及恢复三个方面进行阐述。

　　主要原则有三：一是在攻击链的不同阶段，部署不同防护策略，以实现互补;二是基于OSI模型，在网络、应用分别部署以展现;三是同一防护手段，在不同物理位置防护效果不一样，譬如对于SQL注入，在WAF层面、WEB日志、RASP和SQL数据库审计层面效果差距很大。

　　基于此，基于攻击视角，结合威胁情报的纵深防御架构应该实现的架构见表所示。

　　表 纵深防御从攻击链及其应对策略

　　该架构是在传统架构上的延展，在上云和大数据以后，理念通用。上云后从成本及效能的角度，防御方法偏向于分布式架构中的安全域隔离划分，通过业务数据流驱动进行建模及关联分析，安全以服务及组件的形式提供给业务(租户)，基于大数据开展用户标签及画像，通过用户行为开展适度的安全预测。

　　2.强韧性、异构、自适应能力

　　弹性及强韧性。基于医学的毒性测试机制及牛顿机械论的反馈机制，构建系统弹性及强韧性。系统风险指威胁利用系统脆弱性的可能性。威胁对应外界刺激，刺激看剂量。16世纪毒理学帕拉塞尔苏斯(Paracelsus)毒物兴奋效应(hormesis)的名言“剂量决定毒物”，即所有物质都是有毒的，只和剂量大小有关。脆弱看自身，《反脆弱》作者纳西姆·尼古拉斯·塔勒布将系统刺激应变分为脆弱性、强韧性、反脆弱性三类。脆弱性可以理解为固化架构，在遇到风险时无法变通应对，造成信息安全事件被动应对，四处救火，修修补补。强韧性指信息系统在遇到外界变动时具备冗余性，在单点被攻破的情况下仍能保持正常运转。而反脆弱则说明信息系统安全水平在外界刺激下增强，具备免疫力并自我进化，例如人类婴儿水痘防疫或佛学的涅槃重生。为此，信息系统应不定期开展低微剂量毒性测试(自测评及渗透测试)，根据系统反馈开展定点修补;定期开展众测及业务连续性(BCP)测试，通过中等剂量外界刺激，促进安全架构重构及进化，具备强韧性和弹性。

　　防守异构是基于完全信息静态博弈中攻守平衡原理。基于攻防双方力量的博弈，就算防御方力量大于攻击方并且相同条件下占优，攻防双方无论怎么排兵布阵，按最优方式排列，获胜的概率也是相等，均为50%，从战局看，是典型的弱势攻击方战胜强势防守方。

　　基于此，应构建多样化异构防御体系。同时，分散后对管理效能提出了更高的要求，采取分散策略的前提是：有效分散，即保证分散后单独防守能力不低于分散前，否则会适得其反。

　　构建自适应防御体系及运营体系。自适应安全架构(ASA)是由Gartner在2014年提出的安全体系，类似于PDCA的戴明环理念，强调以持续监控和分析为核心，将防御、检测、响应、预测四个方面结合起来，自适应不同系统基础形态和业务系统变化，能够持续的自我进化，自我调整来适应不断变化的攻击类型。

　　太阳底下没有新鲜事。ASA架构也趋同于基于时间轴响应的PDR模型(保护、检测、响应)，但ASA优点是加入了对威胁情报的引入和使用。

　　3.信息交换，构建安全生态圈

　　习近平总书记在今年4月的网信工作会议中指出“在信息时代，网络安全是整体的而不是割裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的”。凯文·凯利(KK)在《失控》中也多次强调生态圈与自适应进化概念，对信息安全来说，亦提倡构建安全生态圈。

　　图 基于攻击者视角纵深防御架构

　　基于比较优势理论，开展信息交换。古典经济学家李嘉图比较优势理论对比于斯密的绝对优势，即使信息交换的弱方各类要素禀异均占劣势，通过交换的强弱各方也可以获得超额收益。其落地体现为，各企业信息安全机构以及行业主管部门联合起来，开展威胁情报及信息专项交换，获得效率的增量提升。

　　基于威胁情报及态势开展升维防御。防守方可以利用外部威胁情报造成信息不对称，对攻击方开展升维防御。同时，通过对自身情报的采用和外部情报消费，对传统防护设备如邮箱防护、防火墙、IPS、WAF进行赋能。

　　有必要关注的几点

　　“不谋全局者，不足谋一隅”。在做好安全技术和管理日常运行和储备的同时，需要具备前瞻性，以战略眼光，全局角度跳出安全看安全，倡导适度安全，还需要注意以下几点。

　　1.知己知彼，百战不殆，梳理好资产

　　随着业务的发展，特别是云计算平台及移动互联网时代的到来，快速原型、精益开发、敏捷开发部署，灰度发布。如不掌握详尽的资产信息，一是家底不清，已发生问题无法快速应对定位;二是外部威胁情报到来后无法快速判断，造成精力分散和过度应对。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!