数字时代下,0day 攻击、APT 攻击、勒索软件等威胁愈发严重,安全对抗的水平在不断提高。安全最终是要以实战攻防效果来衡量的,面对接踵而来的新威胁、大挑战,发展实战化的安全能力成为大安全时代的刚需。
然而传统网络安全建设过程中,顶层设计与落地执行之间存在断层,无法很好的应对实战攻防,这一系列问题,给业界提出了挑战。8月9日-12日,在ISC2021云峰会上,360政企安全集团重磅发布了“实战驱动的网络安全方法论”,提出将实战攻防元素与传统网络安全模型、框架驱动的方法相结合,提供实战化的网络安全规划与度量方法。
在ISC 2021云峰会上,三六零(股票代码:601360,以下简称360)集团创始人、董事长周鸿祎以军队打仗为行动思路,提出了“体系化作战”,不能再把网络安全当作数字化的附庸,试图堆砌碎片化产品解决不断变化的安全问题,而是应该直面安全挑战,以“作战、对抗、攻防思维”为指导,进行实战化的安全能力建设。此次发布的方法论,即是从实战化的角度去规划与度量网络安全能力建设的具象。
以方法论持续提升网络安全能力
在本次ISC大会中发布的方法论是360政企安全集团自上而下的一次战略规划。由360集团首席运营官、360政企安全集团首席执行官叶健阐述了方法论的核心思想与构成,并将其作为360政企安全集团的核心能力之一对外提供服务;360政企安全集团高级副总裁高翰昭阐述了方法论全景以及如何指导网络安全体系建设;360政企安全集团产品战略规划专家何帆阐述了如何将攻击框架、防御框架、成熟度模型三大基础元素相关联,从而将实战攻防元素与传统网络安全模型、框架相结合来驱动网络安全规划与度量;360集团战略创新研究院副院长吴露渟阐述了如何利用360网络安全成熟度模型来度量网络安全能力及其特点。
其中,360集团首席运营官、360政企安全集团首席执行官叶健在题为“新形势、新战法、新使命、新生态”的演讲中提出了360网络安全新战法的三大能力,其中重点之一是安全实战方法论,他分别从如未知攻、岂能知防;纵深防御、体系运营;检验机制、不断提升的维度阐述了网络安全建设需要了解安全攻击全景、构建安全防御体系、并且持续进行安全成熟度评估的安全实战方法论来提升网络安全能力。
如何利用安全实战方法论来进行网络安全体系建设?360政企安全集团高级副总裁高翰昭在题为“面向实战的安全体系建设方法论”的演讲中进行了阐述,他提到了在过去很多年中,网络安全的顶层设计与网络安全的落地执行路径在很大程度上出现了断层,原因是提供顶层设计的第三方咨询公司或者提供安全产品与解决方案的安全厂商都没有很强的实战攻防经验,然而360则是最擅长实战攻防的网络安全公司,因此也更责无旁贷地帮助各级机构从实战攻防的角度去度量与提高网络安全能力。
演讲中,高翰昭提出了安全体系建设需要定量、客观的以安全能力提升为目标的方法论。网络安全体系设计需要与企业业务的发展保持一致,以满足各类合规要求、充分了解自身业务和信息系统的安全风险、新型安全攻击趋势等因素作为输入;以大数据的手段驱动安全建设,打造能够沉淀安全能力的网络安全基础设施,攻防与管控内外兼修,培育安全人才、构建持续的安全运营能力等基本原则作为指导思想;从网络安全顶层设计、能力建设、实战评估、改进计划的闭环输出以资源、管理、技术、执行等四大元素所构成的网络安全能力。
其中最为关键的部分就是如何通过实战衡量和检验每一步建设的成果,主要由三个关键元素来提供支撑,分别是:网络攻击知识图谱、网络安全防御效能和网络安全成熟度模型。
三大基础关联驱动实战规划与度量
方法论最关键的部分,也是最大的创新是将网络安全实战攻防元素与传统的网络安全咨询规划建设方法相结合,通过实战度量与改进网络安全能力。具体来说,如何提供实战化的网络安全能力度量与规划?
360政企安全集团产品战略规划专家何帆在“ATT&CK安全能力衡量论坛”上,发表了题为“网络安全能力度量与规划”的演讲,提出其核心是将网络安全攻击框架、防御框架、成熟度模型三者之间产生关联,并分别利用三者进行入侵模拟、防御评估与成熟度评估,并且使三者间前者的评估结果能够为后者提供输入,从而使实战攻防元素与传统的咨询规划方法想结合,形成了实战化的评估与度量方法,最终结合差距分析的结果进行建设规划。
与此同时,何帆在演讲还分享了360在方法论中的实践,构建了360攻防全景知识图谱、网络防御框架、网络安全能力成熟度模型,并使其产生关联,并且将其工程化、自动化,落地本地安全大脑在攻、防、度量的视角中协助各级机构进行网络安全能力的提升。
在网络安全能力度量过程中,更大的挑战是如何能体系化定义面向业务实战的网络安全能力成熟度模型,在当下十四五开年各大部委行业安全负责人思考未来五年网络安全整体规划之际,这一点显得更加重要。在云峰会的“国家关键信息基础设施安全防护研讨峰会”上,360集团战略创新研究院副院长吴露渟带来了题为“关键信息基础设施安全能力体系建设”的演讲,他指出,关键信息基础设施的安全应建立网络安全综合防御体系。360构建了一套安全能力的成熟度模型。这套模型具有很多特点:第一是量化,安全状态可量化,引入百分制的机制,通过机制对政企现有的安全状态进行评价;第二是能力成熟度建设,这个是360安全能力公式落地的基础工程;第三是持续校验;第四是特色网络安全能力度量标准。
目前,360这套方法论是基于自身服务国家、城市、行业、企事业用户过程中的总结和提炼。从全球经验来看,不同行业都有自身独特的业务战略和安全需求。未来,360政企安全集团希望与各行业、各领域专家共同探索与落地具备行业特色的安全能力建设方法,真正构建起面向未来的新一代安全能力框架。
