实战度量风险,让企业安全价值看得见
The following article is from 灰度安全 Author LindaCao
前言
我们常常打个比喻,说安全就是桥两边的护栏,不出事谁也感受不到它的价值,没有又觉得不踏实。甲方安全人员在做安全工作过程中,同样遇到类似的窘境,安全规划年年做,安全设备年年买,安全到底做的效果怎么样,攻击者到底能不能进来,怎么进来?进来能做什么?企业会遭受多大损失?安全团队的工作价值如何得以体现?面对这些问题,安全管理者很难做出快速有效的回答,拿不出有效证据,安全规划不好做,落地效果说不清,工作价值无法量化,等出了安全事件,只能被动响应。所以,企业需要变化一种新的方式做安全,让防御效果看得见,让安全价值看得见。
1、网络安全发展的四个转变
近几年国家越来越重视网络安全,出台了一些列法律法规,网络安全也在经历着不断的发展和变革:
首先是安全建设驱动力的转变。过去都是合规性驱动,有没有符合等保合规要求、监管部门要求和集团建设要求等,而随着近几年国家HW行动的开展,企业越来越意识到安全建设需要看实际效果。我们看到一些头部企业,已经在行业内组织小HW,甚至企业内部组织红蓝演习,以此来提升企业的整体防御能力。
第二个是企业在防御体系建设的转变。企业的安全防御体系是从被动防御到主动防御的一个建设过程,被动式的防御以边界防御为代表,认为建了护城河就安全了,有了防火墙,收敛互联网暴露面就安全了。这几年的HW给了大家一个共同的认知,敌军进攻方式千变万化,0day、APT、社工钓鱼各种手段都能绕过护城河。这让企业认识到,外围安全做好还不够,纵深体系的安全也需要做好。然而被动防御是一个此消彼长的被动应对过程,所以,近几年提出主动防御的概念,对攻击行为进行实时监控分析,一旦发现有可疑行为第一时间做出响应,大大提升防御时效性。
第三个是应对安全风险的适应能力的转变。企业信息化的快速发展,同步带来网络威胁的不断升级,企业业务环境的变化,业务的动态变化也会引入新的安全风险,而传统对于安全风险的识别和评估相对静态,无法做到持续评估,动态响应。国家的HW实战化演习,可以有效的帮助企业提升防御能力和水平,但HW演习有一定时效性。如何保证防御能力持续在较高水平,就需要对动态变化的安全风险有动态适应的能力。
最后一个是安全运营方式的转变。安全运营一直是企业安全建设的短板,很多企业的安全运营体系还没有建立完善,目前主要依赖人工,但是人工存在人员能力参差不齐的问题,通常仅能在有限的资源和时间内,发现有限的问题。因此,将这类重复的工作用自动化的手段替代,以更频繁的检查方式全网发现问题,提升运营效率和质量,是企业在安全运营方面的一个发展趋势。
2、安全逐步走向实战化
当前大部分企业,尤其是行业头部客户,常规安全设施采购部署已经接近饱和。但随着企业信息化快速发展,信息化与业务的深度融合带来了网络威胁的不断升级,如何发挥安全设施的最大效能,是企业安全人员面临的紧迫问题?近年来,国家通过组织HW实战化演习,引导企业发现安全短板,提升安全防御能力,攻防实战成为了检验安全工作效果的试金石。
在攻防实战演习中,兴起一种紫队模式,与传统红/蓝对抗的模式不同,紫队模式通过整合红队与蓝队,促使红蓝对抗成为一种实战化的入侵攻击模拟。
攻击方可以设定好攻击场景和攻击技战术,然后展开特定的攻击,整个攻击模拟过程,区别于传统渗透测试,它不依赖安服人员个人能力,可以模拟任意特定场景下的攻击技战术。防守方传统思路是在防守过程中收敛暴露面,部署好各类防御系统和检测系统,之后就等着攻击的到来,做出研判和响应。然而,现实情况是,精准告警很难从海量告警中被发现,即便发现也仅仅是单点问题,很难还原完整攻击路径,依然很难溯源到防御的根本性问题。所以,防守方需要转变思路,站在攻击者视角,以实战化方式来以攻促防,事先考虑防守策略的部署。最后,企业需要根据入侵模拟发现的问题进行整改,并对改进结果进行持续验证和评估,让企业持续保持一种健康状态。
3、安全新思路:从“有病求医”到“治未病、防生病”
古时候看病,我们找中医号脉问诊;现在看病,我们去医院检查化验,检查手段越来越先进,诊断结果越来越精准,能痊愈的病也就越来越多,越来越快。但看病毕竟是得了病之后需要去做的事,如果有一种手段可以对人体的免疫系统做检测,身体的某个器官的免疫能力下降就及时给出康复建议,让身体的免疫系统持续处于健康水平,我们也会持续处于一种健康状态。同理,企业做安全也是这样的历程,从专家咨询到自动化工具,发现问题越精准,修复效率将越有提升。
如果企业有自己的“免疫系统”(防御系统)检测手段,常态化的帮企业做全面的防御效果评估,在某项防御能力下降及时给出修复建议,提前发现安全隐患,提前修复预防,对于保障企业持续处于健康状态大有裨益。
我们将这种常态化的评估定义为企业安全的常态化运营。
4、解决之道-安全风险评估自动化
如何建立常态化安全运营机制,将安全防御水平持续保持在一个较高水平?传统模式下企业通常采用人工方式进行评估整改。那么就会存在评估周期长,投入成本高,效果受限于人员水平,评估无法持续化、全面化等问题。企业需要借助一种新模式,通过自动化的方式实现全网安全风险评估,验证防御体系中的各类安全手段、控制措施的有效性,从而提升企业安全运营效率。
Gartner在2020-2021年度十大安全项目中预测:安全风险评估自动化将成为企业需要重点关注的安全焦点问题之一。Gartner表示,安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来,以识别、度量和处置IT风险。传统做安全风险评估自动化的技术手段,最典型的一类自动化分析手段就是利用日志分析技术,采集关键数据源的文本信息,基于预定义的风险模型进行计算和分析。但实际上,风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的,还需要对控制措施及其过程进行测试验证,有多少攻击是没有被拦截没有被检测到的,也没有被及时响应处置的,这部分风险才是用户更应该去关心的。
同样对于漏洞结果,大多数企业尝试修复所有高分和关键漏洞(CVSS得分7及以上)。但有研究表明,56%的漏洞的CVSS评分为7或更高,CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的,即便用户将所有高分漏洞都修补了,会发现可被利用的漏洞占比不到四分之一,而将近一半具有短期内可被利用的低评分的高风险漏洞没有被修复。换句话说,企业花了80%的精力解决了不到20%的问题,还有一半的该被重视的问题被忽略。在对风险进行自动化评估过程中,还需用到一些技术手段,如BAS、VPT、配置核查、漏洞扫描、资产测绘,也包括采用诸如SOAR、RPA技术手段将多个重复的测试过程串起来。
5、灰度RM-PRO智能风险评估系统,助力企业数字化安全运营,让企业安全价值看得见
灰度安全提出了网络安全管理的全新理念,通过实战化攻击模拟技术,构建可弹性扩展的专项评估场景,度量网络安全风险,提升安全防御体系对抗能力,实现企业安全管理的可感、可控。
灰度RM-PRO智能风险评估系统,是基于灰度天弓实验室知识库和BAS、AI引擎、SOAR等技术栈,并基于ATT&CK模型构建完整杀伤链攻击技战术,采用云原生架构的场景化能力平台。通过平台可快速、弹性构建专项风险度量场景。平台支持本地化部署、云部署和SaaS化交付。
帮助企业构建以下专项风险度量场景:
灰度安全智能风险评估系统,面向金融、运营商、央企、能源、政府、互联网等行业机构的不同角色用户,提供实战化安全运营支撑服务。
6、结语
全球数字化经济浪潮,驱动着各行业信息化的快速发展,随着国家网络安全战略和网络安全法的出台,如何在信息化发展的同时,同步开展网络安全治理工作,是企业面临的一个重大挑战,也是企业安全管理的一次重要升级。在升级转变过程中,如何度量企业安全治理效果,量化安全风险、认清安全短板、提升运营效率,是企业做好安全治理工作的关键。
参考阅读