随着云计算、大数据、移动互联、物联网等新技术的成熟,社交网络、电子商务、智慧城市的发展,已经使人们的生活全面走进了由网络所构建的虚拟世界。
随着网络承载的事务越来越丰富,其所面临的安全威胁也越来越多,针对关键信息基础设施的高级威胁持续增加,安全威胁变得更加具有针对性、技术含量也更高。
在这种严峻的网络安全形势下,传统安全体系框架在面对新的威胁和攻击显得已经落伍,在此背景下,自适应安全架构(Adaptive SecurityArchitecture)应运而出。
一、自适应安全框架(ASA)基础介绍
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
1.防御:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
2.检测:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
3.响应:用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
4.预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
二、自适应安全框架(ASA)深入理解
在网络安全发展早期,美国国际互联网安全系统公司所提出的PDR模型,一直作为安全技术体系建设的参考框架,应用于各个机构的网络安全建设。PDR模型包含PDR模型包括防护(Protection)、检测(detection)和响应(Response)三个部分,并引入时间参数构成动态的具有时间特性的安全系统,即通过基本防护来延长恶意攻击时间,并利用有限时间内的检测和响应,来确保系统的安全性。
自适应安全框架(ASA)与PDR模型很像,但是却有明显的本质不同。下面以PDR模型作为基础,通过两者的对比来对自适应安全框架(ASA)进行一个解读:
1、增加了安全威胁“预测”的环节
相比PDR模型,自适应安全框架(ASA)增加了预测这一重要环节,其目的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁,更深入的诠释了“主动防御”的思想理念,这也是网络安全2.0时代新防御体系的核心内容之一。
2、从事件响应升级到安全防御响应
在PDR模型中,“检测”和“响应”是以事件处理为线索的两个独立的阶段,而在自适应安全框架(ASA)中虽然也有这两个环节,但却从原来的基于事件的响应,升级到了安全防御规则的响应。
对事件的处置环节,在自适应安全框架(ASA)中已经合并到了“检测”环节,而“响应”环节则偏重对事件进行调查取证,并根据取证分析来设计处理类似事件的方法并及措施,并通过实施新安全措施以避免未来事件发生。
3、持续地进行基于异常的深度检测
PDR模型也具有“检测”环节,其检测更多强调基于已知、规则的“异常”检测,自适应安全框架(ASA)中的“检测”则在此基础之上,更多地融入了新兴的机器学习的思想,让系统自己基于大量的数据进行无监督的特征行为学习,从而对绕过防御机制而潜入网络或系统内部的未知的“异常”行为进行深度检测。
4、强调协调一致的动态安全防御体系
自适应安全框架(ASA)中对安全事件的处理,不仅仅是从制定安全规则到发现安全事件,最后完成安全事件的响应,还需要将响应结果反馈给预测环节,从而不断修改和完善基线系统,最终实现提升系统主动评估风险并预测新型攻击能力的最终目标。
PDR模型“应急响应”式的安全防护框架,已经不再适用于充斥着高级持续性攻击的环境,而自适应安全框架(ASA)则强调动态地监测、分析、反馈、预测,形成一个可持续自我完善的闭环体系,让安全防御体系自动进行安全防护能力提升,并逐渐适应各种不同环境,以实现安全防御“自适应”。
三、自适应安全框架(ASA)应用实践
自适应安全框架(ASA)框架作为网络安全2.0时代先进的参考模型,已经在新防御体系建设中得到了广泛的应用。
越来越多的网络安全产品厂商和解决方案提供商,使用自适应安全框架(ASA)框架各象限内容进行对标,以使自身的产品或解决方案能够覆盖多个领域或专注在某个垂直领域。举例说明如下:
1、安全防御层面
下一代IPS除了具有传统IPS的功能外,还需要具有自适应安全能力的安全引擎,才能够实现周而复始不间断地发现辨识网络信息、学习并关联信息、自动调整行动策略的自动防御能力。
2、安全检测层面
在网络、主机、应用等层面,在传统基于特征的安全检测基础上,融入基于异常的持续性安全检测,能够快速、即时地发现各种潜在的安全威胁,为APT、业务欺诈等行为的判定提供充分的依据。
3、安全预测层面
通过对网络流量、系统日志、用户行为、文件内容等方面的深度检测,利用安全分析模型对多种安全威胁数据进行自动化挖掘和网络威胁情报关联分析,最终实现网络安全态势感知和安全威胁的精准预测。
四、总结
在当前的网络安全环境下,所有机构都应该认识到自己的业务网络,处在并且长期处在持续的安全风险的环境中。
同时,所有机构都应不再盲目信任“防御”措施能够100%有效,在面对不可避免的潜在侵害行为时,应在防御的基础上重点建设“检测”和“预测”能力。
总而言之,深入理解并合理应用自适应安全框架(ASA)框架,才能更有效地构建网络安全2.0时代新防御体系,提升网络安全主动防御能力,最终达到安全的可管、可控、可视、可调度、可持续。