安全架构是指企业综合业务需求和对未来变化因素的考虑,针对各种安全威胁,设计的一个布局合理,提高安全系数、降低风险、节约成本的系统。
企业安全架构(Enterprise Security Architechture,ESA)在企业的层面定义了需要支持业务运行的IT安全能力和需要提供的功能,帮助企业在IT安全能力方面做出正确战略决策和运作决定,最终为辨别、选择、获取、设计、实施、部署及运营安全管控系统的决策提供依据.
企业安全架构着眼于在整个企业组织架构中贯彻信息安全基础架构,而非针对单独特定应用系统的具体功能性和非功能性组件,着眼于一套能平衡企业组织架构中多种应用、系统或业务流程的安全服务的战略设计。
企业安全架构的特点:
1、企业安全架构是一个长远的控制观点,而不是一个战术观点。
目前企业的信息安全建设面临着这样的问题∶大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施,而各种异构的解决方案的重复建设和低效率将成为安全架构需要着手解决的首要问题。
企业安全架构的总体趋势是为特定的执行情况而部署这些机制来作为战术上的解决方案,而为了提供一个统一的观点和基于成本的考虑,优秀的企业安全架构的设计是具有战略意义的。这意味着企业安全架构经规划蓝图、设计规范、拓扑图和配置等具有更长的生命周期。如果过于具体,反而将制约当前的情况;反之,如果过于空泛或一般,则无法提供决策和指导。在企业整体的技术环境下企业安全架构将为相关鉴别、选择、采集、设计、实施、部署和运维提供决策依据。
2、企业安全架构的目标是共同的。
一个企业的安全架构是应该支持多组织、多部门和多业务单元.描述安全控制及措施的长期技术趋势。它允许多种具体实现取决于现实的时刻,应小心辟免安全体每户成为特定实施的蓝图。企业的安全架构应该为整个组织机构提供一个全面风险管理的指导。
3、企业安全架构提供了一个统一的公共安全机制的远景。
通过提供公共服务的模型,企业的安全架构着眼于从整体的角度来检查安全控制措施,识别出已有安全控制措施下的潜在风险,提供一个长远的改进计划。同时,这也是一个安全管理最佳实践蜘的基本组成。
4、企业安全架构提供了一个灵活的方式来处理当前和未来的威胁。
企业安全架构的所有基础组件的开发和部署只需要做一次,在基础结构已经确定的前提下,其他架构组件就更容易处理。如果基础架构引入新的举措,是不个引|入新的弱点的.如果外部新的弱点被引入,则安全架构就需要通过风险评估重新评估。
总之,企业的安全架构需要符合下述的论述。一个有效的安全规划是承认随着时间的推移,所有的信息资产的价值和风险是不相等或恒定不变的;一个有效的安全规划是承认随着时间的推移,所有的信息资产的价值和风险是不相等或恒定不变的;一个有效的安全方案运用最适合的技术来保护最关键的资产,并结合执行和质量保障计划把风,险减少到可接受的水平。
高品质的安全规划,包括经常性的管理审查和技术评估以确保安全控制措施的有效性并提供相关的反馈,使技术和方法适应资产的价值和风险随着时间的变化。
企业安全架构:
为什么需要企业安全框架?
没有安全的架构 == 噩梦的开始
一方面,实现业务与技术之间的“沟通”,让相关的业务与安全方面的技术对应起来。另一方面,实现模块化管理,让负责某一模块的人员有相关的话题可以谈,同时对于应急响应也可以及时的排查等。
安全架构结合业务需求和对未来变化因素的考量,针对各种安全威胁,设计一个布局合理,提高安全系数,降低风险,节约成本的系统。
我们能做什么?
·访问控制
·用户及权限管理
·密码策略
·补丁升级
·模块安全优化
·实时监控
·提高代码安全性
·测试
·程序与数据分离,前台与后台分离
企业安全架构模型:
随着安全的快速发展,为应对和解决各种安全问题,各权威机构以及相关专家提出了很多安全架构,它们对安全发展都具有重大意义。但是,如果一定从中选出几个对当今安全发展影响最大的安全架构,一定是Gartner提出的Adaptive Security Architecture模型(CARTA属于自适应架构3.0)、Forrester提出的ZeroTrust模型及MITRE的ATT&CK框架。
Zero Trust和Adaptive Security Architecture是前几年一直火热的理论模型,ATT&CK则是最近一年国内信息安全圈最火热的一个新名词了。相信安全从业人员对于这几个概念或多或少都有了一定的了解。
先说下自适应安全3.0阶段的CARTA模型(持续自适应风险与信任评估),这是自适应安全架构演进后形成的一个概念。CARTA所强调的对风险和信任的评估分析,与传统安全方案采用allow或deny的简单处置方式完全不同,CARTA是通过持续监控和审计来判断安全状况的,强调没有绝对的安全和100%的信任,寻求一种0和1之间的风险与信任的平衡。
这三个理论框架之间有什么关系呢? 要实现CARTA,第一步就是零信任,首先需要评估安全状况,包括验证用户、验证设备、限制访问和权限,最后是自适应的调整策略。然后,在整个安全过程中,安全状况会随时发生变化,其中最主要就是需要面临各种攻击,因此需要进行持续检测,这个时候ATT&CK框架就是一个很好的安全检测和响应模型。
零信任是实现CARTA第一步
为了更好地理解数字时代的信任,需要先了解“Trust”这个词本身的含义。所谓信任,是两个实体之间建立的一个彼此连接关系,这个关系要求彼此能够按照预期的方式做事。在这个过程中,需要监视在彼此交互期间双方是否在约定的预期范围内活动。如果发生风险性的偏差,就需要纠正此类偏差甚至是中断彼此的信任关系。在这里需要强调的是,信任并不是绝对的,而是一个相对的概念,并且是一个动态变化的关系。
在了解了Trust的概念之后,就比较容易了解网络安全概念中所谓的Zero Trust(零信任)了。零信任网络是指,所有初始安全状态的不同实体之间,不管是企业内部还是外部,都没有可信任的连接。只有对实体、系统和上下文的身份进行评估之后,才能动态扩展对网络功能的最低权限访问。
零信任网络默认使用Deny作为起点。在授予网络访问权限之前,要对实体和设备的身份和信任进行评估。当然,Gartner提出的CARTA模型,已经扩展到了网络之外,包括IT堆栈、风险合规治理流程等方面。在交互过程中不断监视和评估风险和信任级别,如果发现信任下降或风险增加到了阈值,需要进行响应,则应该相应地调整访问策略。
CARTA战略流程
此外,CARTA在战略方法中强调,在交互期间持续监视和评估实体及其行为。在自适应安全架构中,CARTA战略总共包括七个步骤,零信任可以作为其第一步,如下图所示。
CARTA战略的七个步骤
在CARTA的自适应攻击防护架构中,采用的正是零信任策略,如下图右上角红框内容所示。采用零信任架构是防护的第一步,可以很好地应对内部攻击。在建立一定程度的信任连接之前,会对系统进行加固和隔离,所有微隔离的Projects之间都是采用零信任网络连接。而CARTA进一步扩展了零信任的概念,并将攻击防护视为一个持续的风险和信任评估过程,如下图深蓝色部分所示。在图形的中心,CARTA还扩展了网络之外的功能。例如,CARTA在系统上运行时监视可执行代码,以发现恶意行为和风险的迹象,即使它通过了初始风险和信任评估。这就是被称为终端检测和响应的EDR技术。
采用零信任实现自适应攻击防护
同样,在CARTA自适应的访问防护架构中,初始安全状态都是默认deny状态,如下图右上角的红框所示。在对用户的凭据、设备和上下文进行评估之前,用户没有任何访问权限。因此,在建立足够的信任级别之前,不应该授予访问权限。CARTA进一步扩展了零信任的概念,并将访问保护视为一个持续的风险和信任评估问题,如下图的深绿色部分所示。在图形的中心,CARTA还扩展了网络访问之外的功能。例如,CARTA战略方法监视用户的风险行为,即使他们已经通过了初始风险和信任评估,并被授予了对应用程序的访问权。这就是被称为用户和实体行为分析的UEBA。
采用零信任实现自适应访问防护
ATT&CK是CARTA持续风险评估的保证
CARTA和ATT&CK一样,都非常关注检测和响应部分的实现。而ATT&CK作为入侵分析“钻石”级别的模型,能够增强企业的检测和响应能力。那么,如何根据ATT&CK框架来检查目前安全产品的整体覆盖度,进行全面的差距分析,以及如何将ATT&CK所涵盖的技术点融入到产品中去,这些都是值得大家思考的问题,这也是自适应安全架构最核心的检测和响应部分内容。(建议读者先阅读一下笔者先前的文章《一文看懂ATT&CK框架以及使用场景实例》和《细述MITRE ATT&CK框架的实施和使用方式》,对ATT&CK框架的概念、使用场景、以及实施和使用方式先有一个初步的了解,这更有利于理解文本的内容涵义。)
ATT&CK框架核心就是以矩阵形式展现的TTPs,即Tactics,Techniques and Procedures(战术、技术及步骤),是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。因此,TTPs也是痛苦金字塔中对防御最有价值的一类IoC。当然这也意味着收集TTPs,并将其应用到网络防御中的难度系数是最高的。而ATT&CK则是有效分析攻击者行为(即TTPs)的威胁分析框架。
Bianco提出的痛苦金字塔
ATT&CK使用攻击者的视角,比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。对于检测,虽然很多防御模型会向防御者显示警报,但不提供引起警报事件的任何上下文,例如从防御者的视角自上而下地介绍安全目标的CIA模型、侧重于漏洞评级CVSS、主要考虑风险计算的DREAD模型等。这些模型只能形成一个浅层次的参考框架,并没有提供导致这些警报的原因以及与系统或网络上可能发生的其它事件的关系。
而ATT&CK框架提供了对抗行动和信息之间的关系和依存关系,防御者就可以追踪攻击者采取每项行动的动机,并了解这些行动和依存关系。拥有了这些信息之后,安全人员的工作从寻找发生了什么事情,转变为按照ATT&CK框架,将防御策略与攻击者的手册对比,预测会发生什么事情。这正是CARTA所倡导的“预防有助于布置检测和响应措施,检测和响应也有助于预测”。
使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源,企业需要对数据质量、数量内容等方面进行管理。可以使用MITRE ATT&CK导航工具,将数据源映射到ATT&CK技术,进行可视化展示。
其次,对于企业机构来说,知道威胁主体使用了哪些ATT&CK技术,这一点也至关重要。组织机构可以根据MITRE ATT&CK知识库中存在的威胁组织和恶意软件创建热力图。将威胁组织使用的技术与企业的检测或可见性水平进行比较,确定哪些方面可能存在差距,需要改进,从而增强检测和事件响应能力。基于ATT&CK中所有威胁组织数据的热力图,热力图中的颜色越深,则表示攻击组织使用该技术的频率就越高。
基于威胁组织的热力图
例如,某些ATT&CK技术与自身组织机构相关。那么,组织机构就可以将其与当前的检测状态进行直观比较,确定在ATT&CK技术方面可能存在的差距或改进之处。
将威胁主体攻击技术与企业的检测结果进行比较
最后,基于上述分析,以ATT&CK框架为基础实现检测方案的可视化,然后对检测方案进行评分(如下图所示),管理检测和响应方案。
Zero Trust和ATT&CK架构都是从攻击者的视角出发看问题,颠覆了传统上的纯粹防御安全观念,与CARTA倡导的安全人员应该通过理解上下文和持续风险评估来灵活调整安全策略的理念有诸多异曲同工之处。
鉴于在安全领域,防御者始终处于一个敌暗我明的天生劣势,因此,安全人员应该采用零信任的态度,并主动提高安全检测能力,才是根本之策。CARTA蓝图可以帮助大家实现这一目标,而Zero Trust和ATT&CK框架则是成功落实该理念的关键保障。
(1)策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
(2)防护:通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
(3)检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就会发挥作用,与防护系统形成互补。
(4)响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
识别(Identify)识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认;
保护(Protect)保护网络,是指制定和实施合适的安全措施,确保能够提供关键基础设施服务。
保护(Protect)保护网络,是指制定和实施合适的安全措施,确保能够提供关键基础设施服务。
响应(Respond):响应和处理事件,指对已经发现的网络安全事件采取合适的行动。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统;
恢复(Recover):恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复
信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局(NSA)制定并发布的,其前身是网络安全框架(Network Security Framework,NSF)。自1998年起,NSA就开始着眼于美国信息化现状和信息保障的需求,建立了NSF。1999年,NSA将NSF更名为IATF,并发布IATF 2.0。直到现在,随着美国信息技术的进步和对信息安全认识的逐步加深,IATF仍在不断完善和修订。
IATF是一系列保证信息和信息设施安全的指南,为建设信息保障系统及其软硬件组件定义了一个过程,依据所谓的纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域:局域计算环境(Local Computing Environment)、区域边界(Enclave Boundaries)、网络和基础设施(Networks & Infrastructures)、支撑性基础设施(Supporting Infrastructures),如图3所示。在每个焦点域内,IATF都描述了其特有的安全需求和相应的可控选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。
四个焦点域中,局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等;区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合;网络和基础设施提供区域互联,包括操作域网(OAN)、城域网(MAN)、校园域网(CAN)和局域网(LANs),涉及广泛的社会团体和本地用户;支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础。
IATF核心思想是纵深防御战略,强调人(People)、技术(Technology)和运营(Operation)是核心要素。
人是第一要素的同时也是最脆弱的要素,对人采取的措施包括意识培训、组织管理、技术管理、运营管理等。
技术是实现信息保障的重要手段,包括安全平台建设、安全工程开发等。
运营是将各方面技术紧密结合在一起的过程,包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等。
IATF信息保障的核心思想是纵深防御战略,该战略为信息保障体系提供了全方位、多层次的指导思想,通过采用多层次、在各个技术框架区域中实施保障机制,以最大限度降低风险、防止攻击,保障用户信息及其信息系统的安全。IATF的纵深防御战略如图4所示,其中人(People)、技术(Technology)和操作(Operation)是主要核心因素,是保障信息及系统安全必不可少的要素。
CGS(Community Gold Standard缩写) 黄金标准框架
基于美国国家安全系统信息保障的最佳实践, NSA于2014年6月发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0)。
CGS2.0标准框架强调了网络空间安全四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应与恢复(Respond & Recover),如图5所示。其中,治理功能为各机构全面了解整个组织的使命与环境、管理档案与资源、建立跨组织的弹性机制等行为提供指南;保护功能为机构保护物理和逻辑环境、资产和数据提供指南;检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南;响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。
CGS框架的设计使得组织机构能够应对各种不同的挑战。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施,而是按照逻辑,将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起。
CGS框架四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应恢复(Respond & Recover);
治理:为企业全面了解其使命与环境、管理档案与资源、确保全体员工参与进来并能够被通知、建立跨机构的安全韧性提供保障。
保护:保护物理环境、逻辑环境、资产和数据。
检测:可以识别和防御组织的物理及逻辑上的漏洞、异常和攻击。
响应与恢复:帮助建立针对威胁和漏洞的有效响应机制。
ASA(自适应安全)架构
ASA主要由4部分组成:防御(Prevent)、监控(Detect)、响应(Respond)、预测(Predict)。该架构可通过持续的安全可视化和评估来动态适应相应的场景,并做出调整。
防御:主要通过加固、隔离、拦截等手段提升攻击门槛,并在受影响前进行拦截攻击。
监控:主要通过感知探头(Sensor)发现绕过防御措施的攻击,减少攻击所带来的损失。
响应:主要通过漏洞修补、设计和模型策略改进、事件调查分析等措施来恢复业务并避免未来可能发生的事故。
预测:主要通过不断优化基线系统,逐渐精准预测未知的、新型的攻击,主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将被反馈到阻止和检测模块,从而构成整个处理流程的闭环。
IACD基于OODA(Observe-Orient-Decide-Act,观察-调整-决策-行动)循环:IACD试图将物理世界中传统的控制和决策方法,转换用于网络空间。IACD概念将OODA循环活动转换为感觉-理解-决策-行动,并设想通过一个公共消息系统在这些活动之间共享信息。
IACD响应工作流:
IACD主要构成如下:
IACD功能视图:
IACD消息视图:
IOC处理流程
CR(网络韧性)架构
与运营商接入时,存在一些通信的名词,如纯P设备、PE设备、CE设备等,下面将对这些名词做一个完整的解释与说明。
一 P、PE、CE
P(Provider)、PE(Provider Edge)、CE(Customer Edge)属于mpls vpn里的概念。在VPN概念中,把整个网络中的路由器如下三类:
第一类,运营商骨干路由器(P)
第二类,运营商边缘路由器(PE)
PE充当IP VPN接入路由器,即Provide的边缘设备。服务提供商骨干网的边缘路由器,它相当于标签边缘路由器(LER)。PE路由器连接CE路由器和P路由器,是最重要的网络节点。用户的流量通过PE路由器流入用户网络,或者通过PE路由器流到MPLS骨干网。
第三类,用户边缘路由器(CE)
服务提供商所连接的用户端路由器,CE路由器通过连接一个或多个PE路由器,为用户提供服务接入。CE路由器通常是一台IP路由器,它与连接的PE路由器建立邻接关系(若需要建立BGP邻居,则为EBGP;若需建立OSPF邻居,则为VPN-instance的OSPF邻居)。
用户站点: 用户端网络的总称,一个用户站点可以通过一条或多条链路连接服务提供商的骨干网络。
二 CR、AR、BR、SR
CR(Core Router,核心路由器)
AR(Access Router,接入路由器)
BR(Broadband Router,汇聚路由器)
SR(Service Router,业务路由器)
一般的ip网络中,根据其拓扑结构,可以把路由器分为边缘路由器BR,接入路由器AR,核心路由器CR。
PE或者AR基本是一个概念,某些运营商称为PE比如联通,某些运营商称为AR比如移动,叫做接入路由器,是CE的直接上级路由器。 所有的软交换站点接入CE都上联到PE或者AR,然后PE或者AR接入运营商的IP骨干网。
三大运营商不同的叫法,实质上是同一个设备作用:
运营商骨干(核心)路由器—运营商边缘(接入)路由器—用户边缘路由器
P(CR)-PE(AR)-CE(BR)
–用户边缘路由器**
P(CR)-PE(AR)-CE(BR)
AR\BR\CR\SR都可以做PE\CE\P设备,一般CR\BR是不会做PE设备的,只做P设备,AR作为PE设备;除非网络完全建设开,CR\BR在做P设备时兼做PE设备,SR为业务路由器,一般做PE设备。
网络韧性架构的目标是使整个网络始终保持提供预期结果的能力,这意味着即使在常规运行机制失败时,在遭遇安全灾难或受到攻击之后,整个网络依旧可以正常运行,技术特点如下:
自适应响应(Adaptive Response):通过敏捷的网络行动方案来管理风险。
监控分析(Analytic Monitoring):持续和协调地监控和分析各种属性和行为。
协调保护(Coordinated Protection):确保保护机制以协调有效的方式运作。
欺骗防御(Deception):误导攻击者,隐藏关键资产或将隐蔽的受污染资产暴露给对手。
多样性(Diversity):使用异构性来最小化通用模式故障,尤其是使通用漏洞攻击造成的故障最小化。
位置变换(Dynamic Positioning):分布式动态化重定位功能和系统资源。
动态呈现(Dynamic Representation):基于网络事件和网络行动过程呈现当前任务或业务功能状态。
非持久性(Non-Persistence):根据需要在有限的时间内生成和保留资源。
权限限制(Privilege Restriction):根据用户和系统元素的属性以及环境因素限制权限。
整治(Realignment):使系统资源与组织任务或业务功能的核心方面保持一致。
冗余(Redundancy):提供多个受保护的关键资源实例。
分段(Segmentation):根据关键性和可信度定义和分离系统元素。
证实可信性(Substantiated Integrity):确定关键系统元素是否已损坏。
不可预测性(Unpredictability):随机或不可预测地进行更改。
企业业务的可持续性就是网络的韧性促成业务的强壮性,从而促成业务的可持续性。做到让攻击者的攻击变得尽可能的昂贵和困难, 网络韧性能够帮助企业在遭受攻击时减少企业所带来的损失,从如何减少损失的角度出发实现防御的纵深。
安全架构模型和框架是企业安全架构提供理论依据。无论是自适应安全架构所强调的安全预测与调整能力,还是网络韧性架构所强调的能够适应不断变化的条件,并能够承担风险且迅速从破坏中恢复过来的能力,都是业界研究探索的最佳网络安全实践,这些安全架构没有绝对的好坏,安全管理者可以根据企业发展现状来选择最适合自身的安全架构。
随着信息化的快速发展,网络安全已经成为影响社会各个层面的战略性国家问题,保障网络安全直接关系到国计民生、经济运行和国家安全。构建网络安全体系是进行网络安全防范的基础,能够将各种网络安全防范单元进行有机集成,形成网络安全防范系统的最高层抽象。
