數字時代下,0day 攻擊、APT 攻擊、勒索軟體等威脅愈發嚴重,安全對抗的水準在不斷提高。安全最終是要以實戰攻防效果來衡量的,面對接踵而來的新威脅、大挑戰,發展實戰化的安全能力成為大安全時代的剛需。
然而傳統網路安全建設過程中,頂層設計與落地執行之間存在斷層,無法很好的應對實戰攻防,這一系列問題,給業界提出了挑戰。8月9日-12日,在ISC 2021雲峰會上,360政企安全集團重磅發佈了“實戰驅動的網路安全方法論”,提出將實戰攻防元素與傳統網路安全模型、框架驅動的方法相結合,提供實戰化的網路安全規劃與度量方法。
在ISC 2021雲峰會上,三六零集團創始人、董事長周鴻祎以軍隊打仗為行動思路,提出了“體系化作戰”,不能再把網路安全當作數字化的附庸,試圖堆砌碎片化産品解決不斷變化的安全問題,而是應該直面安全挑戰,以“作戰、對抗、攻防思維”為指導,進行實戰化的安全能力建設。此次發佈的方法論,即是從實戰化的角度去規劃與度量網路安全能力建設的具象。
360集團創始人、董事長周鴻祎
以方法論持續提升網路安全能力
在本次ISC大會中發佈的方法論是360政企安全集團自上而下的一次戰略規劃。由360集團首席運營官、360政企安全集團首席執行官葉健闡述了方法論的核心思想與構成,並將其作為360政企安全集團的核心能力之一對外提供服務;360政企安全集團高級副總裁高翰昭闡述了方法論全景以及如何指導網路安全體系建設;360政企安全集團産品戰略規劃專家何帆闡述了如何將攻擊框架、防禦框架、成熟度模型三大基礎元素相關聯,從而將實戰攻防元素與傳統網路安全模型、框架相結合來驅動網路安全規劃與度量;360集團戰略創新研究院副院長吳露渟闡述了如何利用360網路安全成熟度模型來度量網路安全能力及其特點。
其中,360集團首席運營官、360政企安全集團首席執行官葉健在題為“新形勢、新戰法、新使命、新生態”的演講中提出了360網路安全新戰法的三大能力,其中重點之一是安全實戰方法論,他分別從如未知攻、豈能知防;縱深防禦、體系運營;檢驗機制、不斷提升的維度闡述了網路安全建設需要了解安全攻擊全景、構建安全防禦體系、並且持續進行安全成熟度評估的安全實戰方法論來提升網路安全能力。
360集團首席運營官、360政企安全集團首席執行官葉健
如何利用安全實戰方法論來進行網路安全體系建設?360政企安全集團高級副總裁高翰昭在題為“面向實戰的安全體系建設方法論”的演講中進行了闡述,他提到了在過去很多年中,網路安全的頂層設計與網路安全的落地執行路徑在很大程度上出現了斷層,原因是提供頂層設計的第三方諮詢公司或者提供安全産品與解決方案的安全廠商都沒有很強的實戰攻防經驗,然而360則是最擅長實戰攻防的網路安全公司,因此也更責無旁貸地幫助各級機構從實戰攻防的角度去度量與提高網路安全能力。
演講中,高翰昭提出了安全體系建設需要定量、客觀的以安全能力提升為目標的方法論。網路安全體系設計需要與企業業務的發展保持一致,以滿足各類合規要求、充分了解自身業務和資訊系統的安全風險、新型安全攻擊趨勢等因素作為輸入;以大數據的手段驅動安全建設,打造能夠沉澱安全能力的網路安全基礎設施,攻防與管控內外兼修,培育安全人才、構建持續的安全運營能力等基本原則作為指導思想;從網路安全頂層設計、能力建設、實戰評估、改進計劃的閉環輸出以資源、管理、技術、執行等四大元素所構成的網路安全能力。
其中最為關鍵的部分就是如何通過實戰衡量和檢驗每一步建設的成果,主要由三個關鍵元素來提供支撐,分別是:網路攻擊知識圖譜、網路安全防禦效能和網路安全成熟度模型。
360政企安全集團高級副總裁高翰昭
三大基礎關聯驅動實戰規劃與度量
方法論最關鍵的部分,也是最大的創新是將網路安全實戰攻防元素與傳統的網路安全諮詢規劃建設方法相結合,通過實戰度量與改進網路安全能力。具體來説,如何提供實戰化的網路安全能力度量與規劃?
360政企安全集團産品戰略規劃專家何帆在“ATT&CK安全能力衡量論壇”上,發表了題為“網路安全能力度量與規劃”的演講,提出其核心是將網路安全攻擊框架、防禦框架、成熟度模型三者之間産生關聯,並分別利用三者進行入侵模擬、防禦評估與成熟度評估,並且使三者間前者的評估結果能夠為後者提供輸入,從而使實戰攻防元素與傳統的諮詢規劃方法想結合,形成了實戰化的評估與度量方法,最終結合差距分析的結果進行建設規劃。
與此同時,何帆在演講還分享了360在方法論中的實踐,構建了360攻防全景知識圖譜、網路防禦框架、網路安全能力成熟度模型,並使其産生關聯,並且將其工程化、自動化,落地本地安全大腦在攻、防、度量的視角中協助各級機構進行網路安全能力的提升。
360政企安全集團産品戰略規劃專家何帆
在網路安全能力度量過程中,更大的挑戰是如何能體系化定義面向業務實戰的網路安全能力成熟度模型,在當下十四五開年各大部委行業安全負責人思考未來五年網路安全整體規劃之際,這一點顯得更加重要。在雲峰會的“國家關鍵資訊基礎設施安全防護研討峰會”上,360集團戰略創新研究院副院長吳露渟帶來了題為“關鍵資訊基礎設施安全能力體系建設”的演講,他指出,關鍵資訊基礎設施的安全應建立網路安全綜合防禦體系。360構建了一套安全能力的成熟度模型。這套模型具有很多特點:第一是量化,安全狀態可量化,引入百分制的機制,通過機制對政企現有的安全狀態進行評價;第二是能力成熟度建設,這個是360安全能力公式落地的基礎工程;第三是持續校驗;第四是特色網路安全能力度量標準。
360集團戰略創新研究院副院長吳露渟
目前,360這套方法論是基於自身服務國家、城市、行業、企事業用戶過程中的總結和提煉。從全球經驗來看,不同行業都有自身獨特的業務戰略和安全需求。未來,360政企安全集團希望與各行業、各領域專家共同探索與落地具備行業特色的安全能力建設方法,真正構建起面向未來的新一代安全能力框架。
