随着网络信息技术的持续演进,互联网对整个经济社会发展的融合、渗透、驱动作用日益明显,带来的风险挑战也不断增大。当前全球以APT攻击、勒索病毒攻击、重要信息窃取、大流量DDOS攻击为代表的⽹络攻击事件频发,网络安全危机空前严峻,已经危害到诸如政治安全、经济安全、军事安全、文化安全等各个层面,也严重阻碍了全球企业进行数字化转型,进而影响到了全球经济的稳定和快速发展。
近些年来,针对关键信息基础设施的攻击越来越多,典型的如伊朗震网病毒事件、乌克兰电网事件、委内瑞拉停电等,由此可见网络攻击从技术炫耀转向利益驱动,攻击者的手段更多样、更高明,分工更明确,很多攻击和破坏行为不再是个体行为,而是分工明确的合作行为,甚至是矛盾冲突国家之间的斗争行为。
当前,网络安全已成为全球性议题,我国更是将其上升到国家战略高度。习总书记在中央网络安全和信息化领导小组第一次会议上提出,“没有网络安全,就没有国家安全”,自此网络安全提升至国家战略的高度。网络安全已经成为我国国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客攻击的方法,提升安全防护的能力和效率。新时代攻防对抗已成新常态,网络攻击越来越隐蔽化、专业化、自动化,对防守方提出了更高的要求和挑战。
伴随着IT新技术、新应用的快速迭代和推广普及,同样也产生了新的安全风险,这些新的安全风险需要用新的理念来进行防御。近几年国际上涌现出了一些新的网络安全架构,诸如零信任架构、CARTA、IPDRR等。国内目前还没有安全机构或者安全厂商提出属于自己独创的安全架构,国内的安全机构或安全公司基本上都是把国际上主流的安全架构直接拿来使用或者稍微调整一下。
鉴于上述现状和需求,启明星辰在消化、吸收了国际上最新、最先进的安全防御思想和理念的基础上,结合启明星辰二十多年来的深厚技术底蕴和丰富实践经验,推出了新一代网络安全模型——OSCA模型(也称“奥斯卡模型”)。OSCA模型是一套用于解决新时代网络安全问题的方法论,指导用户构建网络安全空间一体化作战指挥体系,抵御新技术环境下的高级网络安全威胁,保障对抗新常态下的网络信息安全。
OSCA原型
OSCA原型设计借鉴于OODA循环理论,将OODA循环理论中的观察(Observe)映射为安全监测,OODA环中的安全判断&决策(Orient+Decide)映射为安全中枢,OODA环中的行动(Act)映射为安全执行,将OODA环的形成安全攻防对抗体系的闭环。
通过利用OSCA模型思想构建新一代网络安全防御体系,构筑IT基础资源和业务之间的桥,实现业务安全的最终目标。OSCA原型设计思路如下图所示:
通过抽取OODA循环理论的核心思想,在网络安全领域加以场景化应用,形成的OSCA原型,如下图所示:
OSCA原型包含3个部分,以Security Center(安全中枢)为核心、以Observation(观察)和Action(行动)为支点,构建一个全面感知、智能分析决策、敏捷处置和响应的新一代立体安全防护框架。
OSCA模型
模型定义:通过 “观察”对信息进行全面、准确、实时、持续性地采集,利用“Security Center(安全中枢)” 对全要素信息进行多维度的、纵深的、持续性的分析和评估,并形成针对性决策和处置措施,指导 “行动”精准、高效地开展。
OSCA业务流程
1、从安全需求输入开始,根据合规性、技术、管理等需求,建立观察列表,并对观察要素进行持续性安全观测,如果观察要素不满足安全需求,则进行安全策略的动态调整,建立观察阶段的自适应循环。
2、观察阶段的所有要素,输入到Security Center(安全中枢),进行大数据预处理、建模分析、可视化呈现,通过分析结果来不断调整、优化数据采集的种类和质量,形成分析决策阶段的自适应循环。通过Security Center(安全中枢)对数据进行全要素、多维度、智能分析,形成决策能力,指导行动的开展。
3、利用分析决策阶段形成的安全能力,导入到安全行动阶段,执行安全策略,在安全策略执行后对安全效果进行验证,根据验证结果,调整安全姿态,建立行动阶段自适应循环。
4、在观察阶段,如果确认攻击事件,则无需经过Security Center(安全中枢),直接通过设备联动,执行安全行动。
5、根据对各个阶段的安全分析结果或安全执行效果,反馈到安全观察阶段,进行策略动态调整,使得安全模型自身具备不断优化和调整的能力。
OSCA细化模型
通过对零信任架构、自适应安全架构3.0理论(即CARTA模型)、IPDRR模型进行深入的研究和分析,凝结其中的思想精髓,在OSCA模型的基础上,拓展形成了OSCA细化模型。
OSCA细化模型,以OODA为主线,以零信任为起点,以IPDRR为框架,通过对风险和信任进行持续性评估,构建自适应访问保护和自适应攻击防护体系。OSCA细化模型如下图所示。
Observation(观察)
1.流程设计:观察阶段通过输入安全需求,根据需求构建自适应攻击防护和自适应访问保护两个体系,从而建立观察列表,通过持续性安全观测来动态调整安全姿态,来构建全面、准确的观察能力。
a. 输入安全需求:从业务发展规划、信息技术规划、安全风险评估、安全需求分析、网络安全规划、安全要素监测等多个维度输入安全需求。
b.建立观察列表:根据用户的需求或者合规需求,建立观察列表,例如,按照零信任体系进行建设是一套清单,等保三级又是一套清单。
c.持续性安全观测:以业务为核心,以构建自适应访问保护体系和自适应攻击防护体系为目标,对所有要观察的对象和要素,进行持续性的安全观测。
d.安全姿态动态调整:对观察的结果进行综合评估,并反馈到输入,进行动态调整、优化。
2.功能设计:观察的功能设计,主要从业务发展规划、信息技术规划、安全风险评估、安全需求分析、网络安全规划、安全要素监测6个方面展开。
a.业务发展规划:涵盖数据大集中、智慧城市、智慧医疗、智慧交通、智慧水利等。
b.信息技术规划:涵盖大数据、物联网、工控、云计算、移动互联网等。
c.安全风险评估:涵盖威胁评估、脆弱性评估、资产评估、管理评估等。
d.安全需求分析:涵盖安全风险分析、合规性分析、业务需求分析、安全功能分析等。
e.网络安全规划:涵盖风险管理体系、安全技术体系、安全管理体系、安全服务体系、零信任体系等。
f.安全要素监测:涵盖事件&行为、威胁、脆弱性、资产、流量、环境信息、身份信息等。
Security Center(安全中枢)
1.流程设计:Security Center(安全中枢)是观察和行动联系中枢,安全分析的大脑。通过Security Center(安全中枢)对风险和信任进行持续性评估,形成具有智能判断和决策能力的统一安全集中管控平台,为实现敏捷的安全行动持续提供源动力。
a.全要素数据采集:实现情报、资产、脆弱性、日志、事件、流量、环境等全要素的数据采集。通过主动采集或被动接收等方式对日志进行采集并做归一化处理。同时能采集网络流量数据,流量镜像文件进行采集、审计和还原,还原后的流量日志会加密传输至数据存储中心。
b.大数据处理存储:实现对采集的数据和其他应用系统同步的数据进行统一处理和存储、全文检索以及数据共享。
c.大数据建模分析:根据业务、合规等方面的安全需要,利用深度学习、机械学习等人工智能新技术,建立满足上述需要大数据分析模型,如规则模型、关联模型、统计模型、异常检测模型等。通过各模型不同的特点功能对安全大数据进行全面的、深度的分析,分析得到的结果为决策指挥、应急响应等提供依据和支撑。
d.大数据可视化呈现:建设多维安全运营管理可视化引擎,实现整体网络安全态势的实时展示等功能。利用大数据可视化平台,能够全面提升网络安全的运营和保障能力。
2.功能设计:Security Center(安全中枢)的功能设计,主要从威胁情报、风险识别、安全分析、态势感知、安全运营、集中管控6个方面展开。
a.威胁情报:涵盖文件HASH、IP地址、域名、网络或主机特征、攻击工具和TTPS(网络攻击手法)等。
b.风险识别:涵盖物理环境、主机、网络、应用、数据、管理等。
C.安全分析:涵盖大数据分析、AI智能分析、聚类分析、关联分析、机器学习等。
d.态势感知:涵盖资产感知、风险感知、攻击感知、威胁感知、漏洞感知、运行感知、安全预警等。
e.安全运营:涵盖应急处置中心、安全研究中心、安全监测中心、安全分析中心、人才培养中心等。
f.集中管控:涵盖业务安全策略控制、安全防护策略控制、设备状态集中监测等。
Action(行动)
1.流程设计:行动阶段通过Security Center(安全中枢)和外部的安全能力导入,执行安全策略,并对自适应攻击防护和自适应访问保护两个体系不断进行优化和调整,提升行动的高效性、精准性、可验证性。
a. 安全能力导入:将Security Center(安全中枢)形成的安全能力和外部的安全能力导入到行动执行环节;
b.安全策略执行:将安全策略配置到执行环节中,执行安全策略;如自动更新安全产品的安全策略,如身份验证、动态授权、应用访问控制、数据访问控制,如策略库、知识库的更新。
c.安全效果验证:验证安全策略执行的效果;
d.安全姿态动态调整:对行动的结果进行综合评估,并反馈到观察阶段,通过Security Center(安全中枢)进行动态调整、优化。
2.功能设计:行动的功能设计,主要从安全联动处置、应急响应、安全恢复、安全整改与加固、安全反制、安全意识教育与技能提升6个方面展开。
a.安全联动处置:涵盖设备联动、事件自动化处置等。
b.应急响应:涵盖病毒木马类、漏洞攻击类、拒绝服务类、恶意代码类等。
c. 安全恢复:涵盖网络恢复、系统恢复、应用恢复、数据恢复等。
d.安全整改与加固:涵盖方案设计,网络加固、主机加固、应用加固、数据库加固等。
e. 安全反制:涵盖追踪溯源、攻击诱捕、报案、起诉、反制攻击等。
f.安全意识教育与技能提升:涵盖安全意识培训、攻击能力培训、防御能力培训、安全分析能力培养、安全研究能力培养等。
附录
OODA循环理论
博伊德OODA循环也称OODA环,由美国空军退役上校John Boyd(约翰·博伊德)于1970年创立,其核心是OODA环(Observe、Orient、Decide、Act),即观察、判断、决策、行动。OODA环是一种利用信息交互实时优化战术的闭环战术理念,如下图所示。
Boyd最初提出OODA循环理论从最初解释空军战术的概念扩展到一般意义上的决策处理,被广泛应用于军事对抗、网络安全对抗等领域,OODA循环理论模型如下图所示。
ODA环的“观察-判断-决策-行动”的循环过程如下:
(1)观察阶段,主要用于收集与问题相关的信息和数据,为分析和判断提供必要的支持。
(2)判断阶段,主要是根据观察阶段中收集信息的特点,对数据进行分析和处理,同时综合考量需要解决的问题、需要达到的目的或者预期达到的效果。包括判断情报的真伪、预估目标威胁程度、当前态势评估。
(3)决策阶段,主要是对问题提出解决办法和措施,形成解决方案。
(4)行动阶段,将确定的方案付诸实施,对实际效果进行评价和比较。根据评价结果得到的反馈信息,系统将及时调整和优化观察、判断的方法,做出更为明智的决策,以便取得更好的结果。
OODA循环理论所有的决策都是基于观察阶段所观察到的不断变化的当前所处的形势,观察阶段所获取的信息是进行决策的基石,同时观察阶段获取的信息需要被传入Orient阶段进行辨别判别之后才能加以利用。Orient阶段可以被看做是OODA循环中最为关键的一个环节,因为在对Observe阶段获取的信息进行判别时需要用到很多的先验知识,而拥有的先验知识的丰富程度将直接影响判别结果,从而对接下来的最终决策产生更加复杂的影响。
OODA循环理论诞生在军事对抗中,自然也形成了响应的OODA对抗模型。OODA对抗模型的中心思想是,对抗双方都有各自的OODA环,在攻击实战过程中,谁能快速、准确的做出行动,谁能够在对抗中取得胜利。
用OODA对抗的思想借鉴到网络攻击对抗中,如何增加攻击方的突破时间,缩短防守方检测+响应处置的时间,成为了网络安全防护者追求的目标。
零信任技术体系
2010年,零信任架构首次由时任著名研究机构Forrester Research的首席分析师John Kindervag提出。2013年,Google公司开始向零信任架构转型,随着Google公司BeyondCorp项目在2017年成功完成,带动零信任架构开始流行。
零信任架构的核心思想是默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。概括的讲就是通过持续认证、动态授权、全面审计等手段,实现业务安全访问。零信任安全技术体系如下图所示。
CARTA战略方法
在2017年6月份举办的第23届Gartner安全与风险管理峰会开幕式上,来自Gartner的三位VP级别的分析师(Ahlm,Krikken and Neil McDonald)分享一个题为《Manage Risk ,Build Trust, and Embrace Changes by Becoming Adaptive 》的大会主题演讲。在这个会议上,Gartner创造性地提出了一个全新的战略方法——持续自适应风险与信任评估(CARTA,Continuous Adaptive Risk and Trust Assessment),并对CARTA进行了详细的阐述,几乎将Gartner所有的研究领域,或者说当今安全的所有细分领域都涵盖其中。
CARTA强调要持续地和自适应地对风险和信任两个要素进行评估分析,这个分析的过程就是一个权衡的过程,告别传统安全门式允许/阻断的处置方式,旨在通过动态智能分析来评估用户行为,放弃追求完美的安全,不能要求零风险,不要求100%信任,寻求一种0和1之间的风险与信任的平衡。
Gartner的CARTA体系扩展完善了“零信任”概念和模型,包括“自适应攻击防护”和“自适应访问保护”。认为在构建“默认不信任”的零信任的基础上,还需要引入对于实体与其行为的持续风险监测与评估。一旦信任等级降低,或威胁风险程度提升到一定等级,自适应的安全响应要采取行动。
IPDRR能力框架模型
IPDRR能力框架模型,是由美国国家标准技术研究院(NIST)于2014年提出的。其核心思想是从以防护为核心的转向以检测和业务连续性管理的模型,变被动为主动,最终达到自适应的安全能力。
IPDRR定义了一组持续闭环,不断改进的标准流程,帮助组织实现风险管理。
IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,详细释义如下:
Identify(识别):是整个框架的基础,可以建立组织对管理系统、资产、数据和能力的网络安全风险的了解,例如:资产管理、风险评估等。
Protect(保护):可以限制或抑制网络安全事件的潜在影响,例如:身份管理和访问控制、数据安全、维护和保护技术等。
Detect(检测):可以及时发现网络安全事件,例如:异常和事件、安全持续监测等。
Respond(响应):可以遏制潜在网络安全事件的影响,例如:响应、分析、缓解等。
Recover(恢复):可以及时恢复正常操作以减轻网络安全事件的影响,例如:恢复、沟通和改进等。
© 版权声明
THE END
