概要

数字时代下,网络攻击无处不在,没有组织能够“袖手旁观”。优秀的网络防御体系能够帮助组织弹性提升安全实战中的表现,通过对安全运营过程中各能力维度所有潜在风险的细致考察和应用必要的验证措施来识别防护手段的有效性,进而分析现有态势,是组织评估自身实战能力的一项良好实践。

公安部第三研究所信息网络安全公安部重点实验室推出一项针对网络安全实战能力的评价服务,致力于通过技术性、可量化的评估方式,摸清实战防护能力整体水平与底数;分析、发现短板和盲区;并提出可落地的构想和解决方案,指引各组织安全攻防能力的稳步提升。

将技术验证视为组织自身信息系统的一次防火演习——通过这种方式全面地测试组织面对真实网络攻击时的响应和防护能力。然后,使用在模拟过程中收集到的信息来改进组织的网络安全策略以及确认安全产品的有效性。

值得一提的是,在网络攻防演习场景下使用此类工具的目的会尝试像攻击者一样侵入信息系统,但评价过程中验证工具的行为方式与真实攻击者不同,技术测评时会以不破坏组织系统或数据的方式对所在网络区域发起攻击,且使用的是没有有效载荷的攻击工具。因此,组织的网络可以保持正常运行,不会造成任何真正的伤害。

一、网络安全实战能力的认知需求

在此背景下,组织的安全建设工作愈加趋向实战化、常态化、体系化,实战防护能力成为组织安全建设最重要的目标和成熟度指标。但组织在进行网络安全实战防护能力建设时会遇到诸多能力和困难,主要有以下几点:

1

实战防护能力现状不清晰

经过近些年的合规建设,组织大多建设了自身的网络安全防护体系,但现有体系在实战中能否有符合预期的表现,缺少清晰、量化的评价手段;

2

实战防护能力建设缺乏指引

与传统基于合规的安全防护体系建设不同,基于实战的安全防护体系建设需要面临更加复杂多变的情形,在没有丰富实战经验的情况下如何科学、有效的构建实战防护体系成为组织的迫切需求;

3

防护体系盲区难以发现

安全体系建设具备典型的“木桶效应”,这一点在实战中尤为凸显,而常规的安全评估及安全测试手段,难以体系、全面的寻找安全建设的短板及盲区。

二、网络安全实战能力评价体系

为了帮助并且引导组织解决上述痛点,公安部第三研究所信息网络安全公安部重点实验室自主研发网络安全实战能力成熟度模型并推出全新的评价体系,为需求方提供一套针对实战安全能力可参考的标准及能力提升方向。

网络安全实战能力评价体系包含6个安全域、36项安全能力,覆盖ATT&CK中所推荐的组织级对抗措施,以“攻防”为导向、以“运营”为核心,从“资源投入、管理流程、技术有效性”三个维度科学计算得到各个能力单元成熟度得分情况,进而客观分析得出整体的网络安全攻防能力成熟度。

安全领域名称

安全领域定义

识别

(Identify)

组织对于边界范围、自身暴露的攻击面、脆弱性的识别能力。包括组织、人员、软硬件IT资产、数据、供应链、脆弱性等。

防护

(Protection)

组织对于保护业务机密性、完整性、可用性所采取的措施,旨在提高攻击门槛及成本,保障业务正常运行。一般包括权限控制、访问控制、加密与签名、网络隔离等。

检测

(Detection)

组织对于正在发生的安全威胁或安全事件的检测、感知能力。

响应

(Response)

组织对于正在发生的安全威胁或安全事件的阻断、响应能力。

恢复

(Recovery)

组织从安全事件导致的业务异常中纠正及恢复到可接受业务水平的能力。

运营

(Operation)

为组织的攻防能力提供人力、制度、统筹等管理能力和资源保障,持续评估和跟踪其他能力域工作的有效性,保障其他能力域的工作顺利开展落实。

三、体系评价与技术验证

在此项评价服务中,我们对上述评价体系进行了指标细化的设计作为评价标准,在设计过程中遵循了资源、技术、管理三维度相结合以保障体系完备性,在测评手段上利用了传统安全评估问询的方式与技术层面有效性验证工具双线并行,互增互补,以最大化发现能力的短板区域。

1

实战能力的技术验证

实战能力的技术验证是一种更有效且更具成本效益的测试基础设施安全性的方法。通过模拟攻击和测试整个基础架构,对各种攻防技术和模型进行深入研究,结合国内实际情况和业界最佳实践,从攻防两端进行技术验证,评估和快速识别目标与组织在实战场景下的表现,帮助解决现有安全技术的潜在漏洞与弱点。

2

技术验证是如何运作的?

将技术验证视为组织自身信息系统的一次防火演习——通过这种方式全面地测试组织面对真实网络攻击时的响应和防护能力。然后,使用在模拟过程中收集到的信息来改进组织的网络安全策略以及确认安全产品的有效性。

值得一提的是,在网络攻防演习场景下使用此类工具的目的会尝试像攻击者一样侵入信息系统,但评价过程中验证工具的行为方式与真实攻击者不同,技术测评时会以不破坏组织系统或数据的方式对所在网络区域发起攻击,且使用的是没有有效载荷的攻击工具。因此,组织的网络可以保持正常运行,不会造成任何真正的伤害。

四、评价工作促进形成循环动态的优化模式

不同于常态化的安全评估工作,网络安全实战能力评价体系关注点从单一的人员、系统层面,拓展到衡量整个组织的信息资产是否安全、防御手段是否生效、规章制度是否落实,并通过周期性的评价-整改-再评价,能够更直观、循环性的审视组织实战能力建设是否存在短板与缺陷。具体来说,网络安全实战能力评价体系将从以下方面为组织提供助力:

1

安全框架

基于组织现有的网络安全框架,结合等保2.0、行业规范、实战模型,帮助组织梳理现有框架体系的完备性及识别、防护、检测响应等关键环节的防护水平。

2

核心资产

通过能力评价发现并且测绘组织内部资产,支撑组织认定自身核心需要保护的资产以及遗落在外的幽灵资产。

3

去芜存菁

最大限度提高组织内部防守团队效能,合理配置现有安全工具能力,消除冗余,确保组织内安全防护团队接收和响应高保真数据。

4

有效掌握

实现组织内部对安全产品及设备价值及风险的有效掌握,尽可能避免安全产品带来的负影响,规避安全人员“只会上产品不会用”情况。

5

知己知彼

“像攻击者一样思考”。帮助组织了解攻击者惯用工具、手段、策略和程序,为组织有效开展防御活动指明方向。

6

常态实训

通过安全能力域中对 “定期严格实训”指标要求的落实,开展周期性的安全演练可以迫使组织实际的面对现实威胁,将所有建设效果赋能在实战训练当中。

声明:本文来自信息网络安全公安部重点实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。