自適應安全知己重於知彼

「善攻者，敵不知其所守；善守者，敵不知其所攻。」——《孫子･虛實篇》

在網路安全的攻防對抗中，攻擊者往往佔據主動地位，攻擊者可以選擇有利時機，採用各種技術或社交欺騙戰術，掩蓋自己的攻擊行為、過程和目標，做到瞞天過海，攻其不備；而防守者則想方設法完善自己的防護體系，力圖做到滴水不漏……

然而現實卻是，在網際網路和數字經濟的浪潮下，業務數位化也在迅速發展，企業業務越來越複雜、多變，網路環境越來越開放、高效，且變化極快，數字資產成為了企業的核心資產……這一切都給企業安全帶來了新的難題。例如：物理世界和虛擬世界之間的打通，線上和線下的界限的消失；固定的防禦邊界難以保持，企業面臨各種利益驅動、蓄謀已久的攻擊，因而難以防護；且攻擊直接針對核心資產，風險巨大；而對工業控制系統，物聯網的攻擊和侵害，則不僅僅針對數字資產，而是可以直接作用到物理空間，對物理世界甚至人身造造成傷害……

在這種形勢下，企業傳統的基於可信邊界的安全防護模式遇到越來越大的挑戰：

1、邊界防火牆/ips無法提供資料中心內部的安全保護，並缺乏企業內部「東-西」向的安全防護功能。攻擊者使用以誘騙方式（如：釣魚郵件，魚叉攻擊，水坑攻擊）越過企業邊界防護，以內部安全薄弱的終端裝置為跳板，橫向移動，惡意軟體可以通過內部網路快速感染其他主機，從內部非關鍵資產蔓延至企業關鍵資產（如，重要的伺服器），導致嚴重安全損害。

2、由於業務敏捷性需求，企業資料中心加速向「服務交付」遷移，新業務通過預製備模板快速上線，虛擬機器實時遷移，ip位址頻繁改變，批量虛擬機器按需隨時開啟等，基礎設施的快速變化，導致安全策略無法適應安全需求的變化，使基於靜態的安全保護方式無法滿足「數字時代」資料中心的敏捷性要求。

3、企業對雲架構的需求，快速向混合雲，多雲架構遷移，在物理機、虛擬機器、私有雲、公有雲共存的狀態下何實現統一安全管理也是企業面臨的重大挑戰。

顯然，在這樣的情況下，僅僅依靠防火牆、入侵檢測、防病毒、waf等單一的網路安全防護技術，已不能滿足企業安全防護的需求；畫地為牢式的網路安全體系，已經不能適應新型安全威脅的攻擊，如：apt攻擊，勒索病毒，未知威脅等。

窮則變，變則通。原有的基於可信邊界的pdr安全模型已經不能滿足當前安全威脅，數位化轉型的要求，自適應安全架構應運而出。

自適應安全架構，是2023年gartner針對高階別攻擊和當時市場上的安全產品偏重防禦和邊界的問題，設計了一套安全架構，讓人們從防禦和應急響應的思路中解放出來，加強相應的監測和響應能力，以及持續的監控和分析，同時也引入了安全預警能力。2023年，自適應安全架構在全球範圍內得到了廣泛認可，在2023年的十大科技趨勢中，自適應安全架構首次名列其中。這段時間就是自適應安全架構1.0時期。

2023年9月，gartner頒布持續自適應風險與信任框架（carta），加入了認證體系；自適應安全架構從此進入3.0時期。

從這些發展過程可以看出，這四年來，自適應安全架構不斷擴充套件內涵和外延，表現出了極大的生命力，無論是對安全建設方還是對安全廠商，都有很大的參考價值。安全建設方可以按此架構對整個組織的安全狀況進行梳理，構建安全建設方案，盡量選擇覆蓋自適應能力更全的廠商來改善安全態勢，而安全廠商可以根據此架構來規劃功能和產品，不斷增強和加深自適應的各項安全要求。

傳統安全的核心思想是防禦和控制，就像是建設一座城牆，希望把攻擊者阻擋在城牆外面，但是「你有張良計，我有過牆梯」，客戶投入大量人力、物力建設的「萬里長城」，在apt攻擊眼裡可能只是一道矮矮的籬笆牆。而且，在數位化時代，企業的業務要具備「敏捷性」——快速、靈活、彈性化是敏捷性的最根本的要求，與傳統安全理念講究的控制與防護是矛盾的，我們經常遇到的「安全不利於業務拓展，安全不利於生產效率」等說法就是這種矛盾的體現。自適應安全架構提出來的就是如何在保證安全的基礎上，讓企業擁抱數字商業機會：

1、持續高效的檢測和響應是自適應安全架構的基礎。

2、ueba加入到自適應安全架構，安全從側重威脅研究，加入了以「人和實體（終端，伺服器裝置等）」為中心的行為研究。

3、突出企業資產保護，進一步從與攻擊防護相關的威脅檢測和響應，到企業資產（資料，業務運營，安全運營）保護相關的檢測和響應。

「無恃其不來，恃吾有以待之；無恃其不攻，恃吾有所不可攻也。」——《孫子･九變篇》

不論是洛克希德･馬丁公司的killchain，還是miter的att&ck，都是一種從攻擊者的角度來解析在攻擊企業網路時所採用的策略、戰術和技術。但是，對攻擊者的了解和研究往往是滯後一步的，著名的勒索病毒，震網病毒都是在事後被研究、分析的。從一定意義上講，對於攻擊者的研究是踩著陣亡者的屍體一步一步走來的，代價巨大。

如果能在準確刻畫企業業務系統運轉過程中的各種要素，以及它們之間的聯絡，生成很多體現業務運營的內在特徵指標，並且對這些指標進行持續的監控和分析，那麼無**擊者使用了什麼漏洞、工具和方法，都會引起這些指標的變化，從而被檢測出來。這時企業的安全就不再依賴於對手，而是取決於對自己業務的認知。這也是gartner將自適應架構引入ueba，以及把資產作為防護內環的重要因素之一。

全息風險勢態感知系統（onfire）被gartner定義為「ueba driven dcap「——從字面上理解，就是ueba驅動的以資料為中心的審計和保護，這個定義體現onfire的2個特性，一是，以保護企業資料為核心；二是，通過ueba技術實現對資料的審計和保護。

onfire通過對網路流量的長期持續採集，從網路原始資料（meta data）中，按照時間序列提取「使用者，裝置，應用，資料」四個維度的資訊，實現對業務系統的刻畫：

**使用者維度：**onfire採用使用者賬號資訊（包括：郵件賬號，http登入賬號，radius登入賬號）作為使用者標識。onfire也可以和企業ldap整合獲取使用者賬號資訊，或者採用人工匯入方式，匯入「ip位址——使用者名稱」對應關係，以此建立業務系統「使用者」維度的資訊。

**裝置維度：**onfire資料採集器（holoflow）可以採用多種方式獲取使用者使用的裝置的mac位址（例如：dhcp snooping方式，snmp或者arp查詢方式等），採用mac位址作為使用者使用的終端裝置的標識。

onfire對上述4個維度進行畫像，並將相關的4個維度資訊關聯，構建以使用者和裝置為基點的業務系統畫像，形成對使用者的全息立體刻畫，刻畫網路中抽象的ip所對應使用者和裝置，並刻畫使用者和實體（裝置）通過網路訪問應用的行為，以及傳輸檔案的行為。

onfire的全息立體刻畫，可以支援任意維度的資料探勘和追溯，如：從可疑應用維度追溯使用者維度、裝置維度、檔案維度的行為；從敏感檔案追溯使用者維度、裝置維度、應用維度等；或者從可疑使用者維度追溯檔案維度，應用維度；在「刻畫」的基礎上，利用ueba，通過機器學習的方式「捕獲」異常的使用者和裝置，從而定位威脅，即，通過對使用者和實體的行為的刻畫，以時間軸為基準，採用機器學習技術，對使用者和裝置行為建立基線，實現多個場景的異常行為發現和告警。最終在攻擊者獲取資料之前阻止入侵。

全息網御科技****從2023年正式進入公司化運營以來，在電信運營商，金融，能源，製造等行業推進以onfire為核心的安全風險勢態感知系統，在資料資產追溯，企業敏感資訊合規審計，企業行為審計，高風險應用審計等領域為使用者帶來了切實的收益。

關於全息網御：全息網御科技融合ng-dlp、ueba、ng-siem、casb四項先進技術，結合機器學習（人工智慧），發現並實時重構網路中不可見的」使用者-裝置-資料」互動關係，推出以使用者行為為核心的資訊保安風險感知平台，為企業的資訊保安管理提供無感知、無死角的智慧型追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高it安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復it系統的能力和效率

自適應安全知己重於知彼

「知己知彼」寫好求職簡歷

知己知彼買房需注意

知己知彼，百戰不殆

自適應安全 知己重於知彼

「知己知彼」寫好求職簡歷

知己知彼買房需注意

知己知彼，百戰不殆

相關推薦

自適應安全知己重於知彼