“實戰(zhàn)是檢驗網(wǎng)絡(luò)安全建設(shè)成果的唯一標(biāo)準(zhǔn)，建立技術(shù)型、可量化的能力評價體系又是實戰(zhàn)常態(tài)化的基礎(chǔ)。”

為了幫助企業(yè)快速發(fā)現(xiàn)自身安全建設(shè)中存在的短板和盲區(qū)，有效提升真實網(wǎng)絡(luò)環(huán)境下企業(yè)自身對威脅的識別、響應(yīng)在實際運行下的安全能力，斗象科技協(xié)助公安部第三研究所信息網(wǎng)絡(luò)安全公安部重點實驗室制定了網(wǎng)絡(luò)安全實戰(zhàn)能力評價體系。旨在通過技術(shù)性、可量化的評估方式，摸清企業(yè)實戰(zhàn)防護能力整體水平與成熟度底數(shù)，分析、發(fā)現(xiàn)短板和盲區(qū)，促進各組織安全體系、安全系統(tǒng)、安全設(shè)備的實際攻防能力效果的穩(wěn)步提升。

企業(yè)對自身網(wǎng)絡(luò)安全實戰(zhàn)能力的認知需求

隨著0day攻擊、APT攻擊、勒索軟件等威脅愈發(fā)嚴重，安全對抗的水平不斷提高，企業(yè)安全建設(shè)逐漸由合規(guī)驅(qū)動轉(zhuǎn)變?yōu)閷崙?zhàn)驅(qū)動。然而，傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)往往側(cè)重于理論上的頂層設(shè)計，安全系統(tǒng)、安全設(shè)備能力大多依賴于安全廠商的維護，忽視了其在實戰(zhàn)執(zhí)行、實際運行中的有效性和滯后性可能，這導(dǎo)致大部分企業(yè)在安全體系落地上存在諸多瓶頸，如：

實戰(zhàn)防護能力現(xiàn)狀不清晰。經(jīng)過近些年的合規(guī)建設(shè)，組織大多建設(shè)了自身的網(wǎng)絡(luò)安全防護體系，但對現(xiàn)有體系在實戰(zhàn)中能否有符合預(yù)期的表現(xiàn)，缺少清晰、量化的評價手段；

實戰(zhàn)防護能力建設(shè)缺乏指標(biāo)指引。與傳統(tǒng)基于合規(guī)的安全防護體系建設(shè)不同，基于實戰(zhàn)的安全防護體系建設(shè)需要面臨更加復(fù)雜多變的情形，在沒有豐富實戰(zhàn)經(jīng)驗的情況下如何科學(xué)、有效地構(gòu)建實戰(zhàn)防護體系成為組織的迫切需求；

防護體系盲區(qū)難以發(fā)現(xiàn)。安全體系建設(shè)具備典型的“木桶效應(yīng)”，這一點在實戰(zhàn)中尤為凸顯，而常規(guī)的安全評估及安全測試手段，難以體系、全面地尋找安全建設(shè)的短板及盲區(qū)。

網(wǎng)絡(luò)安全實戰(zhàn)能力評價體系

為了幫助企業(yè)清晰認識并解決上述痛點，斗象科技通過多年來積累的實戰(zhàn)攻防經(jīng)驗，以“以攻促防”為目標(biāo)、以“常態(tài)化安全運營”為導(dǎo)向，協(xié)助公安部三所制定《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》體系，將安全實戰(zhàn)能力劃分為6大安全域、36個能力項、108個評價維度、數(shù)百個能力指標(biāo)。從資源、技術(shù)、管理三個評價維度入手，采用人工評估+工具驗證的方式，對每個能力指標(biāo)進行量化評估和成熟度打分，為企業(yè)提供一套針對實戰(zhàn)安全能力建設(shè)可參考的標(biāo)準(zhǔn)及能力提升方向。

圖 1 實戰(zhàn)能力全景圖

6大安全域

《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》包含六大安全域（如表1）。這六個安全域形成了一條囊括了包括安全管理、日常運營、安全事件、安全漏洞、內(nèi)外部威脅、安全情報等安全活動和安全要素全生命周期中重要的安全控制要求的鏈條，能夠映射到網(wǎng)絡(luò)攻擊殺傷鏈的不同階段，采用縱深防御的思想，力求讓攻擊者在殺傷鏈的每個環(huán)節(jié)舉步維艱，避免攻擊者攻擊意圖的實現(xiàn)。

表 1 《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》六大安全域

36個能力項

作為對安全域的進一步細化，能力項描述了企業(yè)從物理到網(wǎng)絡(luò)、從硬件到軟件、從內(nèi)部到外部所應(yīng)具備的一系列安全實戰(zhàn)能力。《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》體系對六個安全域共細分出36個能力項。每個能力項都包含從資源、管理、技術(shù)三個維度量化出的若干指標(biāo)項的體系評價。

圖 2 能力項及評級維度

安全能力評分方式及能力等級劃分

《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》體系參考了國際標(biāo)準(zhǔn)和最佳實踐，具備通用性和可操作性，并結(jié)合了中國國情和實戰(zhàn)攻防特點，可以根據(jù)企業(yè)的實際需求進行針對性量化評估，從“資源投入、管理流程、技術(shù)有效性”三個維度科學(xué)計算得到各個能力項的得分，進而客觀分析出企業(yè)安全實戰(zhàn)能力水平處于何種等級。

評分方式

該評價體系中的評價項主要分為體系評估和技術(shù)驗證評估，最終評分采用兩者加權(quán)的方式計算出來。其中，體系得分由六大安全域得分加權(quán)而來，而安全域得分則由安全域下的各項能力項加權(quán)而來，依次類推。技術(shù)驗證得分也同樣是這種層層遞進的關(guān)系。

圖 3 網(wǎng)絡(luò)安全實戰(zhàn)能力評分方式

技術(shù)驗證評估主要針對防護、檢測和響應(yīng)三個安全域中的部分能力項。這些技術(shù)驗證項會通過人工驗證+自動化驗證的方式，在確保不影響業(yè)務(wù)的前提下，采用從真實攻擊場景中提取的無害化攻擊方法，對企業(yè)對應(yīng)的安全能力進行實戰(zhàn)化測試。

圖 4 技術(shù)驗證架構(gòu)

為了更精確地評價不同企業(yè)在不同場景下的安全能力，該體系引入了“不適用項”概念。避免一些在現(xiàn)實環(huán)境中不會對某些企業(yè)安全狀態(tài)產(chǎn)生影響的能力項拉低整體分數(shù)，導(dǎo)致最終評價與企業(yè)真實安全狀態(tài)之間出現(xiàn)過大差距。另外，對于一些嚴重影響到企業(yè)安全的能力項，該體系還設(shè)計了一票否決項，確保關(guān)鍵安全能力/指標(biāo)相對于同組其他能力/指標(biāo)的優(yōu)先級。

能力等級劃分

根據(jù)企業(yè)在上述評價體系中的最終得分，可對企業(yè)安全實戰(zhàn)能力的綜合水平做出等級劃分，按照由低到高的順序依次分為初始級、基礎(chǔ)級、增強級和優(yōu)化級四個級別。表2詳細說明了在這種能力等級劃分方法下，每個等級在概念上對企業(yè)安全建設(shè)的要求。

表 2 能力等級劃分

證書樣例

完成評估后，信息網(wǎng)絡(luò)安全公安部重點實驗室會頒發(fā)對應(yīng)等級的《網(wǎng)絡(luò)安全實戰(zhàn)能力評價》證書，該證書表示在有效期內(nèi)，企業(yè)具備相應(yīng)等級的安全能力用以應(yīng)對實戰(zhàn)環(huán)境下的各種安全挑戰(zhàn)。

圖 5 網(wǎng)絡(luò)安全實戰(zhàn)能力評價證書樣例

不同于常態(tài)化的安全評估工作，網(wǎng)絡(luò)安全實戰(zhàn)能力評價體系不僅將關(guān)注點從單一的人員、系統(tǒng)層面，拓展到評估整個企業(yè)的信息資產(chǎn)是否安全，還能幫助企業(yè)建立有效的安全評估和監(jiān)督機制，利用周期性的評價——整改——再評價的方式對整個安全建設(shè)的實施情況和效果進行閉環(huán)監(jiān)測，確保相關(guān)網(wǎng)絡(luò)安全風(fēng)險得到有效控制。

此次推出的“網(wǎng)絡(luò)安全實戰(zhàn)能力評價體系”，充分迎合了當(dāng)前我國實戰(zhàn)常態(tài)化為目標(biāo)的網(wǎng)絡(luò)安全建設(shè)趨勢，并就企業(yè)如何對自身的安全體系進行查漏補缺和進一步完善給出了基于實戰(zhàn)的經(jīng)過驗證的可行性路徑。這對于甲方企業(yè)以及自身專業(yè)安全能力的成熟和人才的培養(yǎng)都極具價值。

免責(zé)聲明：市場有風(fēng)險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。