《The Sliding Scale of Cyber Security》是 Robert M.lee 在2015年發(fā)表的一篇文章，和Gartner的“自適應(yīng)安全”模型類似央星，提供了一種宏觀角度的企業(yè)安全建設(shè)指導(dǎo)模型。Gartner 的安全自適應(yīng)模型是針對(duì)被動(dòng)防御措施必然被突破的現(xiàn)實(shí)传货，提出了安全投資應(yīng)該同時(shí)兼顧防御屎鳍、檢測(cè)、響應(yīng)和預(yù)防4個(gè)方面损离。Robert M.Lee的這篇文章則希望闡明面對(duì)不同的威脅類型需要建立怎樣的安全能力哥艇，以及這些能力間的演進(jìn)關(guān)系，從而幫助在管理層溝通安全建設(shè)投資僻澎、并確定和跟蹤安全投入的優(yōu)先級(jí)等活動(dòng)貌踏。

DraggedImage.png

這個(gè)模型在國(guó)內(nèi)很多地方都在使用。但其中兩個(gè)問(wèn)題上似乎存在不同的理解窟勃，下面就此講講筆者的理解祖乳。

滑動(dòng)標(biāo)尺的演進(jìn)關(guān)系

滑動(dòng)標(biāo)尺模型從左到右，是一種明確的演進(jìn)關(guān)系秉氧，這種演進(jìn)至少包含以下幾個(gè)層面的含義：

1. 左側(cè)是右側(cè)的基礎(chǔ)眷昆，如果右側(cè)的建設(shè)沒(méi)有一定的基礎(chǔ)，在實(shí)際中也很難完成更右側(cè)的能力建設(shè)汁咏。簡(jiǎn)單的例子亚斋，在架構(gòu)安全階段安全域劃分、訪問(wèn)控制沒(méi)有做好攘滩，被動(dòng)防御要考慮的攻擊面就會(huì)很大進(jìn)而難以實(shí)施帅刊；而被動(dòng)防御階段做得不好，很多簡(jiǎn)單的事件/攻擊無(wú)法快速處理漂问，也就沒(méi)有資源（需要分析的事件/數(shù)據(jù)赖瞒，以及對(duì)應(yīng)的安全運(yùn)營(yíng)資源）真正開(kāi)展被動(dòng)防御領(lǐng)域的工作。再進(jìn)一步?jīng)]有積極防御能力蚤假，也就不會(huì)有情報(bào)生產(chǎn)能力栏饮；沒(méi)有情報(bào)能力，進(jìn)攻反制也不可能有準(zhǔn)確的目標(biāo)磷仰。但這種依賴關(guān)系沒(méi)有高下之別袍嬉，架構(gòu)安全和被動(dòng)防御中的技術(shù)/運(yùn)營(yíng)挑戰(zhàn)并不一定就弱于其他階段。同時(shí)隨著IT架構(gòu)和網(wǎng)絡(luò)攻防的變化灶平，對(duì)架構(gòu)安全和被動(dòng)防御層面可能也會(huì)提出新的要求伺通，我們需要不斷審視，實(shí)際中的問(wèn)題出現(xiàn)在哪個(gè)類別中民逼。
2. 從左到右泵殴，是逐步應(yīng)對(duì)更高級(jí)網(wǎng)絡(luò)威脅的過(guò)程涮帘。一般而言拼苍，做好架構(gòu)安全和被動(dòng)防御，可以較好地抵御非定向型的攻擊（包括現(xiàn)今流行的勒索病毒或者挖礦等）；積極防御面對(duì)的更多是具備定向攻擊特點(diǎn)的網(wǎng)絡(luò)威脅疮鲫；情報(bào)階段進(jìn)一步增強(qiáng)了對(duì)定向攻擊的發(fā)現(xiàn)吆你、跟蹤、處置能力俊犯，往往這些定向攻擊有著豐富資源妇多；而反制階段考慮合法性等因素，一般組織不需要過(guò)多考慮燕侠。
3. 從左到右者祖，是投入成本逐步增加的過(guò)程，但基于考慮組織要面對(duì)的主要威脅绢彤，并不是需要一定要進(jìn)行積極防御七问、情報(bào)或者反制能力的建設(shè)。同時(shí)我們可以認(rèn)為一些許諾只需要很低成本就能快速建立的積極防御和情報(bào)能力茫舶，往往不是那么可信械巡。就筆者所知，一些所謂的大數(shù)據(jù)安全分析方案/產(chǎn)品（概念上應(yīng)該屬于積極防御）饶氏，其中核心的價(jià)值點(diǎn)讥耗，于10年前IDS/IPS提供的能力并無(wú)差別，甚至還有不如疹启。

image.png

滑動(dòng)標(biāo)尺中的威脅情報(bào)

聽(tīng)過(guò)一些業(yè)內(nèi)同仁在講滑動(dòng)標(biāo)尺模型的時(shí)候古程，會(huì)介紹自己的產(chǎn)品中包含有情報(bào)能力，因此使用相應(yīng)的產(chǎn)品皮仁，就是使安全建設(shè)進(jìn)入了對(duì)應(yīng)的情報(bào)階段籍琳。這是一種典型的錯(cuò)誤解讀，滑動(dòng)標(biāo)尺中的情報(bào)階段贷祈，是強(qiáng)調(diào)組織具備自身的情報(bào)生產(chǎn)能力而不是消費(fèi)能力趋急，這里面也不應(yīng)包括開(kāi)源情報(bào)收集這樣的手段。

在筆者看來(lái)势誊，威脅情報(bào)作為一種較為復(fù)雜的能力呜达，在滑動(dòng)標(biāo)尺的多個(gè)階段均有體現(xiàn)：

1. 被動(dòng)防御階段：基于IOC情報(bào)（或戰(zhàn)術(shù)情報(bào)）的檢測(cè)/防御屬于被動(dòng)防御階段的能力。從機(jī)制上講粟耻，當(dāng)前很多產(chǎn)品集成了域名查近、文件hash等失陷檢測(cè)IOC，可以發(fā)現(xiàn)內(nèi)部被控制的主機(jī)挤忙，其機(jī)制和最早通過(guò)對(duì)木馬流量特征提取形成的規(guī)則沒(méi)有本質(zhì)的區(qū)別霜威，更多是在惡意軟件數(shù)量、規(guī)模急劇增長(zhǎng)的情況下册烈，建立一套規(guī)母昶茫化跟蹤、提取、發(fā)布的機(jī)制大猛，這種機(jī)制本身沒(méi)有太多的技術(shù)挑戰(zhàn)扭倾。如果威脅情報(bào)廠商的生產(chǎn)流程控制較好，可以做到99.99%以上的準(zhǔn)確挽绩，大多數(shù)情況下可以直接用來(lái)產(chǎn)生防御動(dòng)作膛壹。
2. 積極防御階段：一種更綜合性的情報(bào)使用/消費(fèi)，存在于積極防御階段——“實(shí)現(xiàn)有效的積極防御唉堪，一個(gè)關(guān)鍵方面是針對(duì)攻擊者的情報(bào)消費(fèi)能力模聋，并通過(guò)情報(bào)驅(qū)動(dòng)在環(huán)境中的安全變更、安全流程和行動(dòng)措施”唠亚，這其中對(duì)情報(bào)的使用撬槽，就不僅僅是戰(zhàn)術(shù)類型的情報(bào)，也包含作戰(zhàn)和戰(zhàn)略兩個(gè)層面的情報(bào)趾撵，經(jīng)常被提到的基于威脅情報(bào)的狩獵（hunting）就屬于此范疇侄柔。
3. 情報(bào)階段：情報(bào)消費(fèi)屬于前面兩個(gè)類別，而只有做到具備情報(bào)生產(chǎn)能力占调，才屬于情報(bào)階段的內(nèi)容暂题，這是一個(gè)大的話題，準(zhǔn)備后面單獨(dú)講究珊，感興趣的人可以先去了解一下 F3EAD模型（《威脅情報(bào)驅(qū)動(dòng)的事件響應(yīng)》大篇幅都在講這個(gè)模型）薪者，或者看一個(gè)更經(jīng)典的《 Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains 》

image.png

后續(xù)

在使用滑動(dòng)標(biāo)尺模型時(shí)，模型的闡述似乎還有進(jìn)一步完善的空間剿涮，但這畢竟是Robert M.Lee 多年一線實(shí)際工作的總結(jié)言津，因此對(duì)闡述、規(guī)劃取试、定位安全建設(shè)相關(guān)問(wèn)題悬槽，是有很好的幫助，也許大家可以通過(guò)進(jìn)一步的討論瞬浓，更深的理解初婆、更好的使用這個(gè)模型。