“實戰(zhàn)是檢驗網絡安全建設成果的唯一標準,建立技術型、可量化的能力評價體系又是實戰(zhàn)常態(tài)化的基礎。”
為了幫助企業(yè)快速發(fā)現(xiàn)自身安全建設中存在的短板和盲區(qū),有效提升真實網絡環(huán)境下企業(yè)自身對威脅的識別、響應在實際運行下的安全能力,斗象科技協(xié)助公安部第三研究所信息網絡安全公安部重點實驗室制定了網絡安全實戰(zhàn)能力評價體系。旨在通過技術性、可量化的評估方式,摸清企業(yè)實戰(zhàn)防護能力整體水平與成熟度底數(shù),分析、發(fā)現(xiàn)短板和盲區(qū),促進各組織安全體系、安全系統(tǒng)、安全設備的實際攻防能力效果的穩(wěn)步提升。
企業(yè)對自身網絡安全實戰(zhàn)能力的認知需求
隨著0day攻擊、APT攻擊、勒索軟件等威脅愈發(fā)嚴重,安全對抗的水平不斷提高,企業(yè)安全建設逐漸由合規(guī)驅動轉變?yōu)閷崙?zhàn)驅動。然而,傳統(tǒng)的網絡安全建設往往側重于理論上的頂層設計,安全系統(tǒng)、安全設備能力大多依賴于安全廠商的維護,忽視了其在實戰(zhàn)執(zhí)行、實際運行中的有效性和滯后性可能,這導致大部分企業(yè)在安全體系落地上存在諸多瓶頸,如:
實戰(zhàn)防護能力現(xiàn)狀不清晰。經過近些年的合規(guī)建設,組織大多建設了自身的網絡安全防護體系,但對現(xiàn)有體系在實戰(zhàn)中能否有符合預期的表現(xiàn),缺少清晰、量化的評價手段;
實戰(zhàn)防護能力建設缺乏指標指引。與傳統(tǒng)基于合規(guī)的安全防護體系建設不同,基于實戰(zhàn)的安全防護體系建設需要面臨更加復雜多變的情形,在沒有豐富實戰(zhàn)經驗的情況下如何科學、有效地構建實戰(zhàn)防護體系成為組織的迫切需求;
防護體系盲區(qū)難以發(fā)現(xiàn)。安全體系建設具備典型的“木桶效應”,這一點在實戰(zhàn)中尤為凸顯,而常規(guī)的安全評估及安全測試手段,難以體系、全面地尋找安全建設的短板及盲區(qū)。
網絡安全實戰(zhàn)能力評價體系
為了幫助企業(yè)清晰認識并解決上述痛點,斗象科技通過多年來積累的實戰(zhàn)攻防經驗,以“以攻促防”為目標、以“常態(tài)化安全運營”為導向,協(xié)助公安部三所制定《網絡安全實戰(zhàn)能力評價》體系,將安全實戰(zhàn)能力劃分為6大安全域、36個能力項、108個評價維度、數(shù)百個能力指標。從資源、技術、管理三個評價維度入手,采用人工評估+工具驗證的方式,對每個能力指標進行量化評估和成熟度打分,為企業(yè)提供一套針對實戰(zhàn)安全能力建設可參考的標準及能力提升方向。
圖 1 實戰(zhàn)能力全景圖
6大安全域
《網絡安全實戰(zhàn)能力評價》包含六大安全域(如表1)。這六個安全域形成了一條囊括了包括安全管理、日常運營、安全事件、安全漏洞、內外部威脅、安全情報等安全活動和安全要素全生命周期中重要的安全控制要求的鏈條,能夠映射到網絡攻擊殺傷鏈的不同階段,采用縱深防御的思想,力求讓攻擊者在殺傷鏈的每個環(huán)節(jié)舉步維艱,避免攻擊者攻擊意圖的實現(xiàn)。
表 1 《網絡安全實戰(zhàn)能力評價》六大安全域
36個能力項
作為對安全域的進一步細化,能力項描述了企業(yè)從物理到網絡、從硬件到軟件、從內部到外部所應具備的一系列安全實戰(zhàn)能力。《網絡安全實戰(zhàn)能力評價》體系對六個安全域共細分出36個能力項。每個能力項都包含從資源、管理、技術三個維度量化出的若干指標項的體系評價。
圖 2 能力項及評級維度
安全能力評分方式及能力等級劃分
《網絡安全實戰(zhàn)能力評價》體系參考了國際標準和最佳實踐,具備通用性和可操作性,并結合了中國國情和實戰(zhàn)攻防特點,可以根據企業(yè)的實際需求進行針對性量化評估,從“資源投入、管理流程、技術有效性”三個維度科學計算得到各個能力項的得分,進而客觀分析出企業(yè)安全實戰(zhàn)能力水平處于何種等級。
評分方式
該評價體系中的評價項主要分為體系評估和技術驗證評估,最終評分采用兩者加權的方式計算出來。其中,體系得分由六大安全域得分加權而來,而安全域得分則由安全域下的各項能力項加權而來,依次類推。技術驗證得分也同樣是這種層層遞進的關系。
圖 3 網絡安全實戰(zhàn)能力評分方式
技術驗證評估主要針對防護、檢測和響應三個安全域中的部分能力項。這些技術驗證項會通過人工驗證+自動化驗證的方式,在確保不影響業(yè)務的前提下,采用從真實攻擊場景中提取的無害化攻擊方法,對企業(yè)對應的安全能力進行實戰(zhàn)化測試。
圖 4 技術驗證架構
為了更精確地評價不同企業(yè)在不同場景下的安全能力,該體系引入了“不適用項”概念。避免一些在現(xiàn)實環(huán)境中不會對某些企業(yè)安全狀態(tài)產生影響的能力項拉低整體分數(shù),導致最終評價與企業(yè)真實安全狀態(tài)之間出現(xiàn)過大差距。另外,對于一些嚴重影響到企業(yè)安全的能力項,該體系還設計了一票否決項,確保關鍵安全能力/指標相對于同組其他能力/指標的優(yōu)先級。
能力等級劃分
根據企業(yè)在上述評價體系中的最終得分,可對企業(yè)安全實戰(zhàn)能力的綜合水平做出等級劃分,按照由低到高的順序依次分為初始級、基礎級、增強級和優(yōu)化級四個級別。表2詳細說明了在這種能力等級劃分方法下,每個等級在概念上對企業(yè)安全建設的要求。
表 2 能力等級劃分
證書樣例
完成評估后,信息網絡安全公安部重點實驗室會頒發(fā)對應等級的《網絡安全實戰(zhàn)能力評價》證書,該證書表示在有效期內,企業(yè)具備相應等級的安全能力用以應對實戰(zhàn)環(huán)境下的各種安全挑戰(zhàn)。
圖 5 網絡安全實戰(zhàn)能力評價證書樣例
不同于常態(tài)化的安全評估工作,網絡安全實戰(zhàn)能力評價體系不僅將關注點從單一的人員、系統(tǒng)層面,拓展到評估整個企業(yè)的信息資產是否安全,還能幫助企業(yè)建立有效的安全評估和監(jiān)督機制,利用周期性的評價——整改——再評價的方式對整個安全建設的實施情況和效果進行閉環(huán)監(jiān)測,確保相關網絡安全風險得到有效控制。
此次推出的“網絡安全實戰(zhàn)能力評價體系”,充分迎合了當前我國實戰(zhàn)常態(tài)化為目標的網絡安全建設趨勢,并就企業(yè)如何對自身的安全體系進行查漏補缺和進一步完善給出了基于實戰(zhàn)的經過驗證的可行性路徑。這對于甲方企業(yè)以及自身專業(yè)安全能力的成熟和人才的培養(yǎng)都極具價值。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。