對(duì)信息安全專家(jiā)來(lái)說(shuō),使用(yòng)洛克希德-馬丁公司的(de)網絡殺傷鏈(Kill Chain,也(yě)稱網絡攻擊生(shēng)命≤周期)和(hé)MITRE ATT&CK來(lái)識别和(hé)防止入侵是(shì)最常用(yòn₩g)方法。殺傷鏈概念出自(zì)于美(měi)空(kōng)軍前參謀長(cháng)羅納德·福格爾曼将軍之口,分(fēn)為(wèi)發現(xiàn)(find)、定位(fix€)、跟蹤(track)、瞄準(target)、交戰(engage)和(hé)評估(assess)6個(gè)階段,即F2T2EA的(de) 殺傷鏈作(zuò)戰體(tǐ)系。
目前在作(zuò)戰領域,最熱(rè)門(mén)的(de)作(zuò)戰概念是(shì)馬賽克作(zuò)戰(Mosaic Warfare),它是(shì)美(měi)國(guó)頂級軍事(shì)理(lǐ)論家(jiā)群體(tǐ)基于美(měi)國(guó)未來(lái)®将遇到(dào)的(de)主要(yào)假想敵和(hé)新的(de)戰場(chǎng)環境挑戰提出的(de)一(yī)整套軍事(shì)理(lǐ)論策略。>本文(wén)章(zhāng)通(tōng)過了(le)解馬賽克作(zuò)戰思想對(duì)于網絡安全體(tǐ)系建設提供一(yī)些(xiē)借鑒思路(lù)。 馬賽克作(zuò)戰,用(yòng)通(tōng)俗的(de)語言來(lái)說(s™huō)是(shì)後信息化(huà)時(shí)代的(de)小(xiǎo)、快(kuài)、靈的(εde)軍隊作(zuò)戰體(tǐ)系建設和(hé)作(zuò)戰行(xíng)動指導思想。用(yòng)一(yī)系列分(fēn)布式、易于組織、開(kāi)★發叠代迅速的(de)較小(xiǎo)的(de)軍事(shì)執行(xíng)單元構建形态多(duō)變、易于隐蔽、難于預測的(de)戰役戰術(shù)力量以獲取戰略優勢&的(de)軍事(shì)思想。
殺傷鏈模型理(lǐ)論基礎
在二戰中,英軍偵察機(jī)飛(fēi)躍英吉利海(hǎi)峽拍(pāi)攝照(zhào)片(觀察),位于倫敦的(de)軍事(shì)情報(bào≤)和(hé)參謀部門(mén)根據照(zhào)片研判分(fēn)析德軍軍事(shì)和(hé)戰略目标情報(bào)得(±de)到(dào)這(zhè)些(xiē)目标的(de)方位和(hé)價值(判斷),根據戰術(shù)戰役需要(yào)下(xià)達打擊命令(決策),φ轟炸機(jī)執行(xíng)命令轟炸目标 (行(xíng)動)。
在這(zhè)個(gè)例子(zǐ)中,我們注意到(dào)整個(gè)過程以今天的(de)視(shì)角來(lái)看(kàn)是(shì)非常慢(màn)的(de),可(kě)能(néng)從(cóng)拍(pāi)到(dào)目标到(dào)最後目标被摧毀的(de)整個(gè)過程長(cháng)達幾天到(dào)幾周。整個(gè)過程的(de)效率取決于:偵察機(jī)的(de)觀察能(néng)力、情報(bào)人(rén)員(yuán)的(de)判斷能(néng)力♥、軍事(shì)指揮單位的(de)決策能(néng)力和(hé)行(xíng)動能(néng)力。現(xiàn)代的(de)精準武器(qì)及信息化(huà)技(jìφ)術(shù)的(de)發展已經使得(de)OODA整個(gè)過程的(de)速度、效率、成功率大(d↓à)大(dà)提升。OODA是(shì)個(gè)過程,往往是(shì)分(fēn)工(gōng)進行(xíng)的(de),馬賽克作(zuò)戰思想認$為(wèi)人(rén)類在軍事(shì)史上(shàng)的(de)殺傷鏈組織形态經曆了(le)4個(gè)階段:
這(zhè)裡(lǐ)展開(kāi)講一(yī)下(xià)馬賽克作(zuò)戰:
将先進兵(bīng)器(qì)變小(xiǎo),能(néng)力打散。一(yī)個(gè)集成了(le)感知(zhī)、決策、打擊模塊一∞(yī)體(tǐ)并且還(hái)要(yào)能(néng)在複雜(zá)高(gāo)烈度戰場(chǎng)生(shēng)存的(de)兵©(bīng)器(qì)是(shì)非常昂貴的(de)。而如(rú)果兵(bīng)器(qì)變小(xiǎo),僅具備OODA過程中的(de)一(yī)部分(fēn¶)能(néng)力,其造價就(jiù)會(huì)降低(dī),研發叠代過程就(jiù)會(huì)加快(kuài)。武器(qì)系統越複雜(αzá),模塊越多(duō),研發和(hé)測試周期就(jiù)越長(cháng)。
作(zuò)戰組織必須有(yǒu)高(gāo)度的(de)可(kě)塑性,這(zhè)種作(zuò)戰組織必須有(>yǒu)能(néng)力讓敵人(rén)無法預測、感到(dào)驚訝。美(měi)軍當前把作(zuò)戰網絡組織方式暴露在敵人(rén)面₹前。這(zhè)一(yī)狀況必須有(yǒu)所改變,以敵人(rén)想象不(bù)到(dào)的(de)方式組織出全新的(de)作(zuò)戰組織。指揮前移、自(zì)組織,靈活的(de)作(zuò)戰組織和(hé)高(gāo)烈度戰争中,戰場(chǎng)态勢瞬息萬變,中心化←(huà)的(de)指揮無法跟上(shàng)這(zhè)種變化(huà),了(le)解戰場(chǎng)真正面貌的(de)隻有(yǒu)前線指揮官。必須讓前線指揮官群體(tǐ)擁有(yǒ±u)能(néng)力基于可(kě)用(yòng)軍事(shì)資源快(kuài)速組織快(kuài)速打擊快(kuài)速完成OODA過程,這(zhè)種組織對(§duì)域外(wài)能(néng)力的(de)依賴越小(xiǎo)越好(hǎo)。
馬賽克作(zuò)戰的(de)應對(duì)
01 削弱敵人(rén)的(de)感知(zhī)、認知(zhī)優勢
馬賽克作(zuò)戰或其他(tā)任何的(de)作(zuò)戰形式,都(dōu)依賴對(duì)戰場(©chǎng)态勢的(de)正确感知(zhī)和(hé)分(fēn)析進行(xíng)。幹擾敵方認知(zhī)優勢,包括延緩敵方認知(zhī)速度、降低(dī)敵方認知(zhī)✔質量等,主要(yào)考慮從(cóng)物(wù)理(lǐ)空(kōng)間(jiān)和(hé)賽博空±(kōng)間(jiān)進行(xíng)反制(zhì)。在物(wù)理(lǐ)空(kōng)間(jiā♦n),發展分(fēn)布式作(zuò)戰裝備、設置隐蔽僞裝設施,并據此對(duì)敵方基于視(shì)覺的(de)智能(néng)探測手段進行(xíng)欺騙₩,增加戰場(chǎng)迷霧,降低(dī)敵方認知(zhī)的(de)全面性。提高(gāo)我方認知(zhī)效能(néng),主要(yào)指加強對(duì)馬賽克作(zuò)戰下(xià)分(fēn)布式作(zuò)戰兵(bīng)力戰場(c>hǎng)态勢的(de)深度理(lǐ)解認知(zhī)。發展基于人(rén)類認知(zhī)的(de)智能(néng)認知(zhī)增強技(jì )術(shù)、基于多(duō)模态數(shù)據的(de)群體(tǐ)意圖識别技(jì)術(shù)以及面向分(fēn)布式兵(bīng)力的(de)作(zuò)戰樣式識别技(jì)術(shù),提高(gāo)對(duì)戰場(chǎng)分(fēn)布式目标的(de)類型識别、意圖識别和(hé→)行(xíng)動樣式綜合識别等能(néng)力,為(wèi)指揮員(yuán)正确定下(xià)作(zuò)戰決心奠定有(yǒu)利基礎。增加我方戰場(chǎng)複雜(zá)度,采用(yòng)“以彼之道(dào),還(hái)施彼身(shēn)”方法,主要(yào)考慮拓展作(zuò)戰空(kōng)間>(jiān)和(hé)作(zuò)戰兵(bīng)力決策空(kōng)間(jiān),降低(dī)對(duì)手的(de)決策質量和(hé)速度。馬賽克作(zuò)戰的(de)出發點就(jiù)是(shì)使得(de)體(tǐ)系變得(de)不(bù)可(kě±)預測,提高(gāo)殺傷網被破壞的(de)難度。然而這(zhè)并不(bù)意味著(zhe)殺傷網不(bù)可(k∑ě)破壞。通(tōng)過感知(zhī)和(hé)決策優勢依然有(yǒu)可(kě)能(néng)快(kuài)速尋找作(zuò)戰體(tǐ)系的(de)脆弱點"并予以破壞。
借鑒思路(lù)-構建生(shēng)态開(kāi)放(fàng)安全體(tǐ)系
作(zuò)戰和(hé)網絡安全對(duì)抗非常相(xiàng)似,在軍事(shì)研發中,研發攻擊手段比研發防禦手段容易得(de)多(duō)。在網絡↓安全對(duì)抗中同樣是(shì)研制(zhì)攻擊手段比防禦手段容易得(de)多(duō)。借鑒馬賽克作(zuò)戰的(de)思路(lù),應對(duì)措施有(yǒu)®:
防護能(néng)力的(de)輕量化(huà),從(cóng)而加快(kuài)研發叠代過程。
通(tōng)過開(kāi)放(fàng)體(tǐ)系架構,集成多(duō)種防護能(néng)力組成一(yī)個(gè)整體(tǐ)體(tǐ)系。
提供安全能(néng)力編排框架,靈活構建安全任務鏈條。
削弱敵人(rén)的(de)感知(zhī)、提升自(zì)身(shēn)的(de)感知(zhī)能(néng)力。
01 防護能(néng)力的(de)輕量化(huà)
馬賽克作(zuò)戰思路(lù)中,将兵(bīng)器(qì)變小(xiǎo),每個(gè)兵(bīng)器(qì)具備O ODA過程中的(de)一(yī)部分(fēn)能(néng)力,其造價就(jiù)會(huì)降低(dī),研發叠代過程就(jiù)會(huì)加快(kuài)。同時(shí)又(yò>u)能(néng)夠将一(yī)個(gè)一(yī)個(gè)具備單一(yī)或者少(shǎo)量功能(néng)的(de)馬賽克碎片靈活的(de)組合為(wφèi)一(yī)個(gè)整體(tǐ),來(lái)完成複雜(zá)的(de)作(zuò)戰任務。在網絡安全領域,這(zhè)個(gè)思想同樣适用×(yòng),網絡安全防禦的(de)體(tǐ)系研發的(de)速度變快(kuài)才能(néng)和(hé)網絡攻擊進行(xíng)對(duì)抗。網絡安全的(de)設施主要(yà≤o)是(shì)軟件(jiàn)部分(fēn),軟件(jiàn)開(kāi)發領域能(néng)夠将軟件(jiàn♦)進行(xíng)輕量化(huà)的(de)技(jì)術(shù)就(jiù)是(shì)容器(qì)技(jì)術(shù),以及容器(qì)編排技(jì)術(shù)。同¶時(shí)通(tōng)過提供PASS平台,将一(yī)些(xiē)通(tōng)用(yòng)的(de)軟件(jiàn)基礎功×能(néng)統一(yī)提供,也(yě)能(néng)夠使得(de)軟件(jiàn)變得(de)輕量化(huà)。
(1)容器(qì)和(hé)k8s容器(qì)編排框架虛拟機(jī)屬于虛拟化(huà)技(jì)術(shù)。而Docker這(zhè)樣的(de)容器(qì)技±(jì)術(shù),也(yě)是(shì)虛拟化(huà)技(jì)術(shù),屬于輕量級的(de)虛拟化(huà)。開(kāi)發人(rén)員(yuán)編寫代碼,在自(zì)己本地(dì)環境測試完成後,将代碼部署到(dào)測試或生(shēng)産環境中,經常會(huì)遇到&(dào)各種各樣的(de)問(wèn)題。容器(qì)化(huà)技(jì)術(shù)正好(hǎo)解決了(le)這(zhè)一(yī)關鍵問(wèn)題,它将軟件(j♠iàn)程序和(hé)運行(xíng)的(de)基礎環境分(fēn)開(kāi)。開(kāi)發人(rén)員(yuán)編碼完成後将程序打包到(dào)一(yī)個(gè)容器(qì)&鏡像中,鏡像中詳細列出了(le)所依賴的(de)環境,在不(bù)同的(de)容器(qì)中運行(xíng)标準化(huà)ε的(de)鏡像,從(cóng)根本上(shàng)解決了(le)環境不(bù)一(yī)緻的(de)問(wèn)題。
虛拟機(jī)雖然可(kě)以隔離(lí)出很(hěn)多(duō)“子(zǐ)電(diàn)腦(nǎo)”,但(dàn)占用(yòng)空(kōng)間(jiān)更大(dà)©,啓動更慢(màn)。而容器(qì)技(jì)術(shù)恰好(hǎo)沒有(yǒu)這(zhè)些(xiē)缺點。它不(bù)需要(yào)虛拟出 整個(gè)操作(zuò)系統,隻需要(yào)虛拟一(yī)個(gè)小(xiǎo)規模的(de)環境(類似“沙箱”)。它啓動時(shí)間(jiān)很(hěn×)快(kuài),幾秒(miǎo)鐘(zhōng)就(jiù)能(néng)完成。而且,它對(duì)資源的(de)利用(yòn₹g)率很(hěn)高(gāo)(一(yī)台主機(jī)可(kě)以同時(shí)運行(xíng)幾千個(gè)Docker容器(qì))。此外(wài),它β占的(de)空(kōng)間(jiān)很(hěn)小(xiǎo),虛拟機(jī)一(yī)般要(yào)幾G←B到(dào)幾十GB的(de)空(kōng)間(jiān),而容器(qì)隻需要(yào)MB級甚至KB級。k8s全稱kubernetes,是(shì)為(wèi)容器(qì)服務而生(shēng)的(de)一(yī)個(gè)可(kě)移植容器(qì)的(de)編排管理(l↓ǐ)工(gōng)具,從(cóng)架構設計(jì)層面,我們關注的(de)可(kě)用(yòng)♣性,伸縮性都(dōu)可(kě)以結合k8s得(de)到(dào)很(hěn)好(hǎo)的(de)解決,再從(cóng)部署運維層面,服務部署,服務監控,應用(yòng)£擴容和(hé)故障處理(lǐ),k8s都(dōu)提供了(le)很(hěn)好(hǎo)的(de)解決≈方案。使用(yòng)k8s和(hé)容器(qì)作(zuò)為(wèi)技(jì)術(shù)來(lái)開(kāi)發、部署網絡安全應用(yòng™),這(zhè)樣網絡安全能(néng)力就(jiù)如(rú)同馬賽克碎片一(yī)樣進行(xíng)∞靈活的(de)部署,編排。基于k8s可(kě)以搭建網絡安全PASS平台,PASS平台進一(yī)步提供中間(jiān)件(jiàn)和(hé)存儲服務、應用(yòng)管理(lǐ)服務、運維管↔理(lǐ)服務,DevOps工(gōng)具,測試工(gōng)具。
通(tōng)過PASS平台一(yī)方面安全應用(yòng)的(de)開(kāi)發可(kě)以利用(yòng)現(xiàn)有(yǒu)的(de)PASS平台能(nén'g)力,包括各種中間(jiān)件(jiàn)和(hé)數(shù)據庫的(de)使用(yòng),同時(shí)專注于安全功能(néng)的(de)≠開(kāi)發,由PASS平台提供基礎的(de)運維功能(néng)和(hé)應用(yòng)部署功能(néng)。另一(yī)方面通(tōng)過Ω配套的(de)開(kāi)發工(gōng)具,包括devops,自(zì)動測試工(gōng)具,增加安全應用(y∏òng)開(kāi)發的(de)便利性,提高(gāo)安全應用(yòng)開(kāi)發的(de)速度。通(tōng)過容器(qì),k8s容器(qì)編排和(hé)PASS引擎。以及具備了(le)構建一(yī)個(gè)一(yī)個(gè)的(de)安全設備馬賽克碎片的(de)能♣(néng)力,也(yě)能(néng)夠将這(zhè)些(xiē)馬賽克碎片随意放(fàng)置。但(dàn€)是(shì)還(hái)不(bù)能(néng)讓這(zhè)些(xiē)馬賽克碎片組合來(lái)完成安全任務。組合這(zhΩè)些(xiē)馬賽克碎片需要(yào)開(kāi)放(fàng)體(tǐ)系架構,具體(tǐ)到(dà≤o)軟件(jiàn)層面需要(yào)使用(yòng)面向服務的(de)軟件(jiàn)架構(SOA)。SOA面向服務的(de)架構是(shì)一(yī)個(gè)組件(jiàn)模型,它将應用(yòng)程序的(de)不(bù)同功能(néng)單元(稱為(∑wèi)服務)通(tōng)過這(zhè)些(xiē)服務之間(jiān)定義良好(hǎo)的(de)接口和(hé)契約聯系起來(lá i)。接口是(shì)采用(yòng)中立的(de)方式進行(xíng)定義的(de)。這(zhè)使得(de )構建在各種各樣的(de)系統中的(de)服務可(kě)以以一(yī)種統一(yī)和(hé)通(tōng)用(yòng)的(de)方式進行(xíng)交互。面向服務架構,它可(kě)以根據需求通(tōng)過網絡對(duì)松散耦合的(de)粗粒度應用(yòng)組件(jiàn)進行(xíng)分(fē✘n)布式部署、組合和(hé)使用(yòng)。标準原則,提供關鍵界面的(de)統一(yī)标準; 支撐分(fēn)層架構原則; 促進抽離(lí)。服務交換機(jī)制(zhì),加入和(hé)退出系統時(shí)的(de)客戶端、服務協議(yì)的(de)基本行(xíng)為(wèi)服務基礎支撐,并且支持測試、隔離(lí)和(hé)身(shēn)份驗證
通(tōng)過面向服務的(de)軟件(jiàn)架構,各種感知(zhī)類,防護類,判斷類,決策類,行(xíng)動類的(de)安全設施利用(yòng)面向服務的(de)技(jì)術( shù)支撐中間(jiān)件(jiàn)(黃(huáng)色部分(fēn))能(néng)夠進行(xíng)靈活的(de)整合。對(duì)于§已經存在的(de)遺留的(de)安全設施可(kě)以通(tōng)過代理(lǐ)插件(jiàn)形式集成(橙色部π分(fēn))。
基于SOA面向服務的(de)架構的(de)安全設施碎片已經能(néng)夠靈活的(de)進行(xíng)組合。如(rú)何去(qù)組合這(zhè)些(xiē)碎片還(hái)σ需要(yào)做(zuò)到(dào)以下(xià)幾點
1)能(néng)夠對(duì)安全任務有(yǒu)很(hěn)專業(yè)理(lǐ)解的(de)安全運營人(rén)員(yuán)
如(rú)何戰鬥指揮,成敗的(de)關鍵之一(yī)就(jiù)是(shì)指揮員(yuán)如(rú)何進行(xíng)戰鬥資源的(de)搭配。
2)方便快(kuài)捷的(de)安全任務鏈條編排工(gōng)具
能(néng)夠可(kě)視(shì)化(huà)的(de)進行(xíng)快(kuài)速的(de)任務鏈條編排,便于理(±lǐ)解,便于調整。
3)安全任務鏈條的(de)基于曆史經驗積累評估
對(duì)于成功的(de)安全任務鏈條,成功的(de)場(chǎng)景,條件(jiàn)是(shì)什(shén)麽。對(d₩uì)于失敗的(de)任務鏈條場(chǎng)景,條件(jiàn)的(de)不(bù)适用(yòng)地(dì)方,以及需要(yào)改進增強地(dì)方。
安全編排、自(zì)動化(huà)和(hé)響應(SOAR)是(shì)指的(de)是(shì)安全團隊所使用(yòng)的(de) 3 大(dà)軟件(jiàn)功能(néng):案例和(hé)工(gōn≈g)作(zuò)流管理(lǐ)、任務自(zì)動化(huà),以及集中式管理(lǐ)訪問(wèn)、查詢和(hé)共享威脅情報(bào)。
随著(zhe)網絡安全攻防對(duì)抗的(de)日(rì)趨激烈,網絡安全單純指望防範和(hé)阻止的(de)策略已經失效,必須更加注重檢測與響應。企業(yè)和(hé)組織要(yàεo)在網絡已經遭受攻擊的(de)假定前提下(xià)構建集阻止、檢測、響應和(hé)預防于一(yī)體(tǐ)的(de)全新安全防護體(tǐ)系。在國(guó)際上(shàng),檢測和(hé)&響應類産品受到(dào)了(le)極大(dà)的(de)關注。Gartner 用(yòng) OODA 模型,來(€lái)描繪一(yī)個(gè)典型的(de)安全運營流程。OODA 即 Observe(觀察)、Orient(定位)、Decide(決策)、Act(行(xí↓ng)動)。觀察:觀察事(shì)件(jiàn)并确定發生(shēng)了(le)什(shén)麽,即通(tōng)過各種檢測、分×(fēn)析工(gōng)具,比如(rú) SIEM 類工(gōng)具,找到(dào)威脅線索,如(rú)告警定位:确定觀察的(de)方向,并添加上(shàng)下(xià)文(wén)來(lái)确定觀察的(de)含義,即對(duì)産生(shēng)的(de)®告警的(de)內(nèi)容做(zuò)調查、豐富化(huà)。比如(rú)查找外(wài)網域名的(de)威脅情報(bào),查找此 IP÷ 的(de)曆史行(xíng)為(wèi)協助研判等等。決策:根據業(yè)務的(de)風(fēng)險容忍度和(hé)能(néng)力決定适當的(de)響應行(xíng)動↔,即判定是(shì)否需要(yào)對(duì)此告警采取行(xíng)動,比如(rú)是(shì)否需要(yào)封禁,是(shì)否影(yǐng)響業(yè)務,是(shì)否需要(yàoβ)進一(yī)步觀察。行(xíng)動:根據決定采取行(xíng)動,并應用(yòng)到(dào)觀察過程中,然後重複,即執行(xíng)确定的(de)安全策'略,并驗證。每一(yī)步都(dōu)對(duì)下(xià)一(yī)步提供了(le)指導,周而複始,構成了(le)一(yī)個(gè)良性促進的(de)進化(huà)循環,不(bù)斷優化(huà)企業(yè)的(de)安全運營流程↔以應對(duì)不(bù)斷變化(huà)的(de)安全威脅。
上(shàng)圖為(wèi)安數(shù)雲SOAR劇(jù)本編排界面,将各種安全設施抽象為(wèi)安全能(néng)力,也(yě₽)就(jiù)是(shì)馬賽克碎片,在具體(tǐ)安全任務場(chǎng)景下(xià)通(tōng)過可(kě)視(shì)化(huà)編輯,靈活的(de)構建安全任務鏈條。在網絡安全領域,每家(jiā)網安企業(yè)都(dōu)有(yǒu)自(zì)己擅長(cháng)的(de)能(εnéng)力,安數(shù)雲作(zuò)為(wèi)雲安全守護者,潛心立足雲安全領域、賦能(néng)雲安全核心價值,在國(guó)內(nèi)率先利用(yòng)雲計(jì)算(suàn)"技(jì)術(shù),深度融合SDN及SOAR,基于各種優勢安全能(néng)力進行(xíng)安全任務編排,搭建安全生(shēng)态圈,生(shēng)态化(huà)融合各類安全産品及解決方案,以為(wèi)客→戶提供更全面更優質的(de)安全保障優勢,領跑運營商市(shì)場(chǎng)。03 靈活構建安全任務鏈條感知(zhī)能(néng)力對(duì)抗
基于開(kāi)放(fàng)體(tǐ)系架構和(hé)安全編排、自(zì)動化(huà)和(hé)響應構建的(de)安全體(tǐ)系已經能(néng)夠φ像馬賽克作(zuò)戰一(yī)樣,構建足夠的(de)靈活的(de)安全任務。但(dàn)是(shì)單體(tǐ)碎片的(de)能(néng)力₩依然重要(yào),特别是(shì)感知(zhī)能(néng)力的(de)對(duì)抗。美(měi)軍B-21隐身(shē•n)轟炸機(jī)、F-35隐身(shēn)戰鬥/轟炸機(jī)等進行(xíng)“技(jì)術(shù)碾壓”的(de)重要(yào)技(jì)術(shù)手段就(jiù)是(sh ì)“隐身(shēn)”。在網絡入侵中,越來(lái)越多(duō)的(de)攻擊手段也(yě)是(shì)“隐身(¶shēn)”攻擊手段,入侵行(xíng)為(wèi)隐藏在正常流量當中,比如(rú)webshell,dns≤隐蔽隧道(dào)等。所以一(yī)個(gè)有(yǒu)效的(de)安全體(tǐ)系應該具備感知(zhī)對(duì)抗能(néng)力。♠一(yī)方面要(yào)削弱對(duì)方感知(zhī)能(néng)力,一(yī)方面要(yào)增強己方感知(zhī)能(néng)力。(1)削弱對(duì)方感知(zhī)能(néng)力在網絡安全領域削弱對(duì)方感知(zhī)能(néng)力的(de)思路(lù)首先減少(shǎo)暴露面,同時(shí)注意敏感信息洩露。但(dàn)是(shì)随著(zhe)•數(shù)字化(huà)轉型重塑IT架構,大(dà)多(duō)數(shù)組織的(de)網絡資産數(shù)量和(hé)複雜(zá)性前所未有(y↔ǒu)的(de)增加,攻擊面急劇(jù)擴大(dà)。攻擊面管理(lǐ)成為(wèi)一(yī)種新興技(jì)術(shù)可(kě)有(yǒu)效用(yòng)于安全運營,并把攻擊面管理(lǐ)分(fēn)為(wèi)外(wài)部攻擊面(Exte≠rnal Attack Surface Management,縮寫為(wèi)EASM)和(hé)網絡資産攻擊面(Cyber Asset Attack Surface Management,'縮寫為(wèi)CAASM)。EASM強調外(wài)部攻擊者視(shì)角,針對(duì)暴露在公網的(de)資産(包括互聯網、雲、物(wù)聯網、智慧城(ch≠éng)市(shì)等環境下(xià)的(de)資産與風(fēng)險),主要(yào)通(tōng)過黑(hēi)客探測的(de)手法與情報ε(bào)來(lái)進行(xíng)分(fēn)析。CAASM則強調內(nèi)外(wài)部全局視(shì)角,通(tōng)過AP✔I與其他(tā)系統集成的(de)方式來(lái)解決持續的(de)資産可(kě)見(jiàn)性和(hé)漏洞風(βfēng)險。攻擊面管理(lǐ)這(zhè)個(gè)工(gōng)作(zuò)很(hěn)多(duō)安全運營者或多(duō)或少(shǎo) 都(dōu)在做(zuò),比如(rú);漏洞掃描、Web掃描、漏洞管理(lǐ)、影(yǐng)子(zǐ)資産排查、敏感信©息洩露檢測、滲透測試、互聯網資産測繪、資産梳理(lǐ)或人(rén)工(gōng)清點等,站(zhàn)在潛在攻擊者的(d♦e)角度來(lái)不(bù)斷審視(shì)與管理(lǐ)資産和(hé)薄弱環節的(de)持續過程。是(shì)一(yī)種集成的(de)技(jì)術(shù)與能(néng)力、流程的(d∏e)組合,緻力于在攻擊發生(shēng)前發現(xiàn)和(hé)修複暴露面,封堵可(kě)能(néng)被利用(yòng)的(de)攻擊路(lù)×徑。通(tōng)過攻擊面管理(lǐ)能(néng)夠很(hěn)大(dà)程度上(shàng)削弱網絡攻擊的(de)感知(zhī)能(néng)力。在網絡安全領域己方感知(zhī)能(néng)力的(de)增強的(de)思路(lù)包括:識别隐身(shēn)入侵或惡意行(xíng)為(wèi)
UEBA,User and Entity Behavior Analytics,即用(yòng)戶與實體(tǐ)行(xín±g)為(wèi)分(fēn)析,關聯了(le)用(yòng)戶活動和(hé)相(xiàng)關實體(tǐ)(用(yòng)戶相(xiàng)關的(de)∑應用(yòng)和(hé)終端等)信息構建人(rén)物(wù)角色與群組,進一(yī)步定義這(zhè)些(xiē)個(gè)體(tǐ)與群組的(de)合法和(hé)正常行(xíng)為("wèi),把這(zhè)些(xiē)人(rén)物(wù)角色在群體(tǐ)與群體(tǐ)、群體(tǐ)與個(gè)體(tǐ)、個(gè)體(tǐ)與個(gè)體(tǐ)(那(nà)些(xiē)遠≠(yuǎn)離(lí)合法和(hé)正常行(xíng)為(wèi)的(de)群體(tǐ)與個(gè)體(tǐ))維度上∞(shàng)相(xiàng)互比對(duì)分(fēn)析,将異常用(yòng)戶(失陷賬号)和(hé)用(yòng)戶異常(非法行λ(xíng)為(wèi))檢測出來(lái),從(cóng)而達到(dào)檢測業(yè)務欺詐、敏感數(shù)據洩露、內(nèi)部惡意λ用(yòng)戶、有(yǒu)針對(duì)性攻擊等高(gāo)級威脅的(de)目的(de)。基于UEBA行(xíng)為(wèi)分(fēn)析方法,結合EDR,NDR進行(xíng)更大(dà)範圍,更深度的(de)感知(zαhī)能(néng)力部署。能(néng)夠有(yǒu)效增強己方網絡安全感知(zhī)能(néng)力。馬賽克作(zuò)戰是(shì)美(měi)軍針對(duì)未來(lái)廣泛認可(kě)的(de)一(yī)種作(zuò)戰體(tǐ)系和(hé)作(zuò')戰思路(lù),目前美(měi)軍基于馬賽克作(zuò)戰思想已經進行(xíng)多(duō)種場(chǎng)景實驗,以及↔廣泛的(de)基礎設施建設。雖然目前還(hái)沒有(yǒu)一(yī)個(gè)完全成型的(de)馬>賽克作(zuò)戰體(tǐ)系。但(dàn)是(shì)馬賽克作(zuò)戰的(de)技(jì)術(shù)思路(lù)同樣适>合于網絡安全體(tǐ)系建設。比如(rú)作(zuò)戰任務編排和(hé)安全編排、自(zì)動化(huà)和(hé)響應(SOAR),感知(zhī)能(néng)力對(duì)抗的(de)思路(lù)和(hé)攻擊面管理(lǐ),UEBA恰好(hǎo)吻合。馬賽克作(zuò)戰的(de)思路(lù)對(duì)于未來(lái)安全體(t♣ǐ)系建設能(néng)夠提供有(yǒu)益的(de)指導。
