应对高级定向攻击而设计的下一代安全防护平台.PDFVIP

应对高级定向攻击而设计的下一代安全防护平台 ——自适应安全架构 作者：Garner 分析师Neil MacDonald, Peter Firstbrook 概述： 关键问题：  当前拦截及防护功能已难以应对更高级的定向攻击。  大多数机构还在持续对纯防御措施进行过度投入。  来自不同安全供应商的监控、预防、响应及预测的服务能力以一种分离的方式单独工 作，导致安全防护效能持续下降，费用上涨。  信息安全对防护来自高级攻击的需求并不一直明显。  由于企业系统所受到的是持续攻击，并持续缺乏防御力，面向“应急响应”的特别方式 已不再是正确的思维模式。 推荐措施： 信息安全体系：  切换思维模式，从“应急响应”到“持续响应”，系统应假定为已经遭遇危险，需要持续 监控和修复。  以Gartner 提出的12 关键能力为框架，采用自适应安全架构来应对高级安全威胁。  在预防上减少投入，应加大监测、响应和预测能力。  支持拥有环境感知网络、端点和应用及安全防护平台的服务商提供并整合预测、预 防、检测及响应能力。  设立安全运营中心，以支持持续的监控和风险预防响应事务。  该体系还应该支持全方位全天候的监控IT 栈的所有层面：网络包、数据流、操作系 统行为、内容、用户行为及应用调用。 引言 大多数企业在安全保护方面会优先集中在拦截和防御 （例如反病毒）以及基于策略的控制 （如防火墙），将危险拦截在外（但只是如下图示的右上角四分之一部分）。 然而，完美的防御是不可能（参见“2020 安全防御已成徒劳：通过周密普遍的监控和情报 共享来保护信息安全” ）。高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的 预防机制。 所有机构都应该从现在认识到自己处在持续的风险状态。但情况是，企业盲信防御措施能 100%奏效，他们更加过度依赖这些传统预防机制。 结果，面对不可避免的侵害行为时，大多数的企业只有有限的能力检测和反应，随之而来 是“停摆”时间变长，损失变大。 Figure 1. The Four Stages of an Adaptive Protection Architecture 图1：自适应防御系统的四个阶段(预测-防御-监控-回溯) 实际情况中，提升后的防御、检测、响应和预测服务都需要应对各种攻击，不管是否高 级。更重要的是不要将其视作封闭固定的功能，而应以智能集成联动的方式工作，对于高 级威胁，自适应系统需持续完善保护功能。 自适应防护架构的关键能力 1. “防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标 是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。 2. “检测能力”用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停 摆时间” 以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状 态中。 3. “回溯能力”用于高效调查和补救被检测分析功能（或外部服务）查出的事务，以提供入 侵认证和攻击来源分析，并产生新的预防手段来避免未来事故。 4. “预测能力”使系安全系统可从外部监控下的黑客行动中学习，以主动锁定对现有系统和 信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功 能，从而构成整个处理流程的闭环。 作为一个有价值的框架，根据自适应防护架构将有助于企业对现有和未来的安全投入进行 划分并确定投入是均衡的。不要让当前市面上的“明星”安全创业公司的来确定安全投资， 机构需评估当前的安全投入和能力来决定哪里不足。自适应架构还可以帮助企业筛选和评 估安全供应商。毫无疑问，提供多方面安全能力的供应商在战略上优胜于只提供单方面能 力的。 安全防护是一项持续处理过程 在持续攻击时代，企业需要完成对安全思维的根本性切换，从“应急响应”到“持续响应”，前 者认为攻击是偶发的，一次性的事故，而后者则认为攻击是不间断的，黑客渗透系统和信 息的努力是不可能完全拦截的，系统应承认自己时刻处于被攻击中。在这样的认知下，我 们才能认清持续监控的必要性（见图2 ）。 Figure 2. Continuous Monitoring Required for an Adaptive Protection Architecture 图2. 自适应安全架构需要持续监控 持续监控和分析是自适应安全架构的核心 如图2 所示，为面