斗象科技深度參與公安部三所“網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)體系”制定

  • 人閱讀
  • 2023-04-19 15:26:09

  • 來源:東方財(cái)富周刊

  • 相關(guān)關(guān)鍵詞

“實(shí)戰(zhàn)是檢驗(yàn)網(wǎng)絡(luò)安全建設(shè)成果的唯一標(biāo)準(zhǔn),建立技術(shù)型、可量化的能力評價(jià)體系又是實(shí)戰(zhàn)常態(tài)化的基礎(chǔ)。”

為了幫助企業(yè)快速發(fā)現(xiàn)自身安全建設(shè)中存在的短板和盲區(qū),有效提升真實(shí)網(wǎng)絡(luò)環(huán)境下企業(yè)自身對威脅的識別、響應(yīng)在實(shí)際運(yùn)行下的安全能力,斗象科技協(xié)助公安部第三研究所信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室制定了網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)體系。旨在通過技術(shù)性、可量化的評估方式,摸清企業(yè)實(shí)戰(zhàn)防護(hù)能力整體水平與成熟度底數(shù),分析、發(fā)現(xiàn)短板和盲區(qū),促進(jìn)各組織安全體系、安全系統(tǒng)、安全設(shè)備的實(shí)際攻防能力效果的穩(wěn)步提升。

企業(yè)對自身網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力的認(rèn)知需求

隨著0day攻擊、APT攻擊、勒索軟件等威脅愈發(fā)嚴(yán)重,安全對抗的水平不斷提高,企業(yè)安全建設(shè)逐漸由合規(guī)驅(qū)動(dòng)轉(zhuǎn)變?yōu)閷?shí)戰(zhàn)驅(qū)動(dòng)。然而,傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)往往側(cè)重于理論上的頂層設(shè)計(jì),安全系統(tǒng)、安全設(shè)備能力大多依賴于安全廠商的維護(hù),忽視了其在實(shí)戰(zhàn)執(zhí)行、實(shí)際運(yùn)行中的有效性和滯后性可能,這導(dǎo)致大部分企業(yè)在安全體系落地上存在諸多瓶頸,如:

實(shí)戰(zhàn)防護(hù)能力現(xiàn)狀不清晰。經(jīng)過近些年的合規(guī)建設(shè),組織大多建設(shè)了自身的網(wǎng)絡(luò)安全防護(hù)體系,但對現(xiàn)有體系在實(shí)戰(zhàn)中能否有符合預(yù)期的表現(xiàn),缺少清晰、量化的評價(jià)手段;

實(shí)戰(zhàn)防護(hù)能力建設(shè)缺乏指標(biāo)指引。與傳統(tǒng)基于合規(guī)的安全防護(hù)體系建設(shè)不同,基于實(shí)戰(zhàn)的安全防護(hù)體系建設(shè)需要面臨更加復(fù)雜多變的情形,在沒有豐富實(shí)戰(zhàn)經(jīng)驗(yàn)的情況下如何科學(xué)、有效地構(gòu)建實(shí)戰(zhàn)防護(hù)體系成為組織的迫切需求;

防護(hù)體系盲區(qū)難以發(fā)現(xiàn)。安全體系建設(shè)具備典型的“木桶效應(yīng)”,這一點(diǎn)在實(shí)戰(zhàn)中尤為凸顯,而常規(guī)的安全評估及安全測試手段,難以體系、全面地尋找安全建設(shè)的短板及盲區(qū)。

網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)體系

為了幫助企業(yè)清晰認(rèn)識并解決上述痛點(diǎn),斗象科技通過多年來積累的實(shí)戰(zhàn)攻防經(jīng)驗(yàn),以“以攻促防”為目標(biāo)、以“常態(tài)化安全運(yùn)營”為導(dǎo)向,協(xié)助公安部三所制定《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》體系,將安全實(shí)戰(zhàn)能力劃分為6大安全域、36個(gè)能力項(xiàng)、108個(gè)評價(jià)維度、數(shù)百個(gè)能力指標(biāo)。從資源、技術(shù)、管理三個(gè)評價(jià)維度入手,采用人工評估+工具驗(yàn)證的方式,對每個(gè)能力指標(biāo)進(jìn)行量化評估和成熟度打分,為企業(yè)提供一套針對實(shí)戰(zhàn)安全能力建設(shè)可參考的標(biāo)準(zhǔn)及能力提升方向。

圖 1 實(shí)戰(zhàn)能力全景圖

6大安全域

《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》包含六大安全域(如表1)。這六個(gè)安全域形成了一條囊括了包括安全管理、日常運(yùn)營、安全事件、安全漏洞、內(nèi)外部威脅、安全情報(bào)等安全活動(dòng)和安全要素全生命周期中重要的安全控制要求的鏈條,能夠映射到網(wǎng)絡(luò)攻擊殺傷鏈的不同階段,采用縱深防御的思想,力求讓攻擊者在殺傷鏈的每個(gè)環(huán)節(jié)舉步維艱,避免攻擊者攻擊意圖的實(shí)現(xiàn)。

表 1 《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》六大安全域

36個(gè)能力項(xiàng)

作為對安全域的進(jìn)一步細(xì)化,能力項(xiàng)描述了企業(yè)從物理到網(wǎng)絡(luò)、從硬件到軟件、從內(nèi)部到外部所應(yīng)具備的一系列安全實(shí)戰(zhàn)能力。《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》體系對六個(gè)安全域共細(xì)分出36個(gè)能力項(xiàng)。每個(gè)能力項(xiàng)都包含從資源、管理、技術(shù)三個(gè)維度量化出的若干指標(biāo)項(xiàng)的體系評價(jià)。

圖 2 能力項(xiàng)及評級維度

安全能力評分方式及能力等級劃分

《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》體系參考了國際標(biāo)準(zhǔn)和最佳實(shí)踐,具備通用性和可操作性,并結(jié)合了中國國情和實(shí)戰(zhàn)攻防特點(diǎn),可以根據(jù)企業(yè)的實(shí)際需求進(jìn)行針對性量化評估,從“資源投入、管理流程、技術(shù)有效性”三個(gè)維度科學(xué)計(jì)算得到各個(gè)能力項(xiàng)的得分,進(jìn)而客觀分析出企業(yè)安全實(shí)戰(zhàn)能力水平處于何種等級。

評分方式

該評價(jià)體系中的評價(jià)項(xiàng)主要分為體系評估和技術(shù)驗(yàn)證評估,最終評分采用兩者加權(quán)的方式計(jì)算出來。其中,體系得分由六大安全域得分加權(quán)而來,而安全域得分則由安全域下的各項(xiàng)能力項(xiàng)加權(quán)而來,依次類推。技術(shù)驗(yàn)證得分也同樣是這種層層遞進(jìn)的關(guān)系。

圖 3 網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評分方式

技術(shù)驗(yàn)證評估主要針對防護(hù)、檢測和響應(yīng)三個(gè)安全域中的部分能力項(xiàng)。這些技術(shù)驗(yàn)證項(xiàng)會通過人工驗(yàn)證+自動(dòng)化驗(yàn)證的方式,在確保不影響業(yè)務(wù)的前提下,采用從真實(shí)攻擊場景中提取的無害化攻擊方法,對企業(yè)對應(yīng)的安全能力進(jìn)行實(shí)戰(zhàn)化測試。

圖 4 技術(shù)驗(yàn)證架構(gòu)

為了更精確地評價(jià)不同企業(yè)在不同場景下的安全能力,該體系引入了“不適用項(xiàng)”概念。避免一些在現(xiàn)實(shí)環(huán)境中不會對某些企業(yè)安全狀態(tài)產(chǎn)生影響的能力項(xiàng)拉低整體分?jǐn)?shù),導(dǎo)致最終評價(jià)與企業(yè)真實(shí)安全狀態(tài)之間出現(xiàn)過大差距。另外,對于一些嚴(yán)重影響到企業(yè)安全的能力項(xiàng),該體系還設(shè)計(jì)了一票否決項(xiàng),確保關(guān)鍵安全能力/指標(biāo)相對于同組其他能力/指標(biāo)的優(yōu)先級。

能力等級劃分

根據(jù)企業(yè)在上述評價(jià)體系中的最終得分,可對企業(yè)安全實(shí)戰(zhàn)能力的綜合水平做出等級劃分,按照由低到高的順序依次分為初始級、基礎(chǔ)級、增強(qiáng)級和優(yōu)化級四個(gè)級別。表2詳細(xì)說明了在這種能力等級劃分方法下,每個(gè)等級在概念上對企業(yè)安全建設(shè)的要求。

表 2 能力等級劃分

證書樣例

完成評估后,信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室會頒發(fā)對應(yīng)等級的《網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)》證書,該證書表示在有效期內(nèi),企業(yè)具備相應(yīng)等級的安全能力用以應(yīng)對實(shí)戰(zhàn)環(huán)境下的各種安全挑戰(zhàn)。

圖 5 網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)證書樣例

不同于常態(tài)化的安全評估工作,網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)體系不僅將關(guān)注點(diǎn)從單一的人員、系統(tǒng)層面,拓展到評估整個(gè)企業(yè)的信息資產(chǎn)是否安全,還能幫助企業(yè)建立有效的安全評估和監(jiān)督機(jī)制,利用周期性的評價(jià)——整改——再評價(jià)的方式對整個(gè)安全建設(shè)的實(shí)施情況和效果進(jìn)行閉環(huán)監(jiān)測,確保相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到有效控制。

此次推出的“網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力評價(jià)體系”,充分迎合了當(dāng)前我國實(shí)戰(zhàn)常態(tài)化為目標(biāo)的網(wǎng)絡(luò)安全建設(shè)趨勢,并就企業(yè)如何對自身的安全體系進(jìn)行查漏補(bǔ)缺和進(jìn)一步完善給出了基于實(shí)戰(zhàn)的經(jīng)過驗(yàn)證的可行性路徑。這對于甲方企業(yè)以及自身專業(yè)安全能力的成熟和人才的培養(yǎng)都極具價(jià)值。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )