青藤云安全細(xì)談最具影響力三大安全架構(gòu)：零信任、ATT&CK、自適應(yīng)安全（ASA）

隨著安全的快速發(fā)展，為應(yīng)對和解決各種安全問題，各權(quán)威機(jī)構(gòu)以及相關(guān)專家提出了很多安全架構(gòu)，它們對安全發(fā)展都具有重大意義。但是，如果一定從中選出幾個對當(dāng)今安全發(fā)展影響最大的安全架構(gòu)，筆者會選擇Gartner提出的Adaptive Security Architecture模型（CARTA屬于自適應(yīng)架構(gòu)3.0）、Forrester提出的Zero Trust模型及MITRE的ATT&CK框架。

Zero Trust和Adaptive Security Architecture是前幾年一直火熱的理論模型，ATT&CK則是最近一年國內(nèi)信息安全圈最火熱的一個新名詞了。相信安全從業(yè)人員對于這幾個概念或多或少都有了一定的了解，筆者今天想要重點談一下這三者之間的一些關(guān)系。

先說下自適應(yīng)安全3.0階段的CARTA模型（持續(xù)自適應(yīng)風(fēng)險與信任評估），這是自適應(yīng)安全架構(gòu)演進(jìn)后形成的一個概念（如欲了解更多相關(guān)內(nèi)容，可閱讀青藤云安全COO程度先生所寫《自適應(yīng)安全架構(gòu)的歷史和演進(jìn)》）。CARTA所強(qiáng)調(diào)的對風(fēng)險和信任的評估分析，與傳統(tǒng)安全方案采用allow或deny的簡單處置方式完全不同，CARTA是通過持續(xù)監(jiān)控和審計來判斷安全狀況的，強(qiáng)調(diào)沒有絕對的安全和100%的信任，尋求一種0和1之間的風(fēng)險與信任的平衡。

那么這三個理論框架之間有什么關(guān)系呢？筆者認(rèn)為要實現(xiàn)CARTA，第一步就是零信任，首先需要評估安全狀況，包括驗證用戶、驗證設(shè)備、限制訪問和權(quán)限，最后是自適應(yīng)的調(diào)整策略。然后，在整個安全過程中，安全狀況會隨時發(fā)生變化，其中最主要就是需要面臨各種攻擊，因此需要進(jìn)行持續(xù)檢測，這個時候ATT&CK框架就是一個很好的安全檢測和響應(yīng)模型。

零信任是實現(xiàn)CARTA第一步

為了更好地理解數(shù)字時代的信任，需要先了解“Trust”這個詞本身的含義。所謂信任，是兩個實體之間建立的一個彼此連接關(guān)系，這個關(guān)系要求彼此能夠按照預(yù)期的方式做事。在這個過程中，需要監(jiān)視在彼此交互期間雙方是否在約定的預(yù)期范圍內(nèi)活動。如果發(fā)生風(fēng)險性的偏差，就需要糾正此類偏差甚至是中斷彼此的信任關(guān)系。在這里需要強(qiáng)調(diào)的是，信任并不是絕對的，而是一個相對的概念，并且是一個動態(tài)變化的關(guān)系。

在了解了Trust的概念之后，就比較容易了解網(wǎng)絡(luò)安全概念中所謂的Zero Trust（零信任）了。零信任網(wǎng)絡(luò)是指，所有初始安全狀態(tài)的不同實體之間，不管是企業(yè)內(nèi)部還是外部，都沒有可信任的連接。只有對實體、系統(tǒng)和上下文的身份進(jìn)行評估之后，才能動態(tài)擴(kuò)展對網(wǎng)絡(luò)功能的最低權(quán)限訪問。

零信任網(wǎng)絡(luò)默認(rèn)使用Deny作為起點。在授予網(wǎng)絡(luò)訪問權(quán)限之前，要對實體和設(shè)備的身份和信任進(jìn)行評估。當(dāng)然，Gartner提出的CARTA模型，已經(jīng)擴(kuò)展到了網(wǎng)絡(luò)之外，包括IT堆棧、風(fēng)險合規(guī)治理流程等方面。在交互過程中不斷監(jiān)視和評估風(fēng)險和信任級別，如果發(fā)現(xiàn)信任下降或風(fēng)險增加到了閾值，需要進(jìn)行響應(yīng)，則應(yīng)該相應(yīng)地調(diào)整訪問策略。

CARTA戰(zhàn)略流程

此外，CARTA在戰(zhàn)略方法中強(qiáng)調(diào)，在交互期間持續(xù)監(jiān)視和評估實體及其行為。在自適應(yīng)安全架構(gòu)中，CARTA戰(zhàn)略總共包括七個步驟，零信任可以作為其第一步，如下圖所示。

CARTA戰(zhàn)略的七個步驟

在CARTA的自適應(yīng)攻擊防護(hù)架構(gòu)中，采用的正是零信任策略，如下圖右上角紅框內(nèi)容所示。采用零信任架構(gòu)是防護(hù)的第一步，可以很好地應(yīng)對內(nèi)部攻擊。在建立一定程度的信任連接之前，會對系統(tǒng)進(jìn)行加固和隔離，所有微隔離的Projects之間都是采用零信任網(wǎng)絡(luò)連接。而CARTA進(jìn)一步擴(kuò)展了零信任的概念，并將攻擊防護(hù)視為一個持續(xù)的風(fēng)險和信任評估過程，如下圖深藍(lán)色部分所示。在圖形的中心，CARTA還擴(kuò)展了網(wǎng)絡(luò)之外的功能。例如，CARTA在系統(tǒng)上運(yùn)行時監(jiān)視可執(zhí)行代碼，以發(fā)現(xiàn)惡意行為和風(fēng)險的跡象，即使它通過了初始風(fēng)險和信任評估。這就是被稱為終端檢測和響應(yīng)的EDR技術(shù)。

采用零信任實現(xiàn)自適應(yīng)攻擊防護(hù)

同樣，在CARTA自適應(yīng)的訪問防護(hù)架構(gòu)中，初始安全狀態(tài)都是默認(rèn)deny狀態(tài)，如下圖右上角的紅框所示。在對用戶的憑據(jù)、設(shè)備和上下文進(jìn)行評估之前，用戶沒有任何訪問權(quán)限。因此，在建立足夠的信任級別之前，不應(yīng)該授予訪問權(quán)限。CARTA進(jìn)一步擴(kuò)展了零信任的概念，并將訪問保護(hù)視為一個持續(xù)的風(fēng)險和信任評估問題，如下圖的深綠色部分所示。在圖形的中心，CARTA還擴(kuò)展了網(wǎng)絡(luò)訪問之外的功能。例如，CARTA戰(zhàn)略方法監(jiān)視用戶的風(fēng)險行為，即使他們已經(jīng)通過了初始風(fēng)險和信任評估，并被授予了對應(yīng)用程序的訪問權(quán)。這就是被稱為用戶和實體行為分析的UEBA。

采用零信任實現(xiàn)自適應(yīng)訪問防護(hù)

ATT&CK是CARTA持續(xù)風(fēng)險評估的保證

CARTA和ATT&CK一樣，都非常關(guān)注檢測和響應(yīng)部分的實現(xiàn)。而ATT&CK作為入侵分析“鉆石”級別的模型，能夠增強(qiáng)企業(yè)的檢測和響應(yīng)能力。那么，如何根據(jù)ATT&CK框架來檢查目前安全產(chǎn)品的整體覆蓋度，進(jìn)行全面的差距分析，以及如何將ATT&CK所涵蓋的技術(shù)點融入到產(chǎn)品中去，這些都是值得大家思考的問題，這也是自適應(yīng)安全架構(gòu)最核心的檢測和響應(yīng)部分內(nèi)容。（建議讀者先閱讀一下筆者先前的文章《一文看懂ATT&CK框架以及使用場景實例》和《細(xì)述MITRE ATT＆CK框架的實施和使用方式》，對ATT&CK框架的概念、使用場景、以及實施和使用方式先有一個初步的了解，這更有利于理解文本的內(nèi)容涵義。）

ATT&CK框架核心就是以矩陣形式展現(xiàn)的TTPs，即Tactics, Techniques and Procedures（戰(zhàn)術(shù)、技術(shù)及步驟），是指攻擊者從踩點到獲取數(shù)據(jù)以及這一過程中的每一步是“如何”完成任務(wù)的。因此，TTPs也是痛苦金字塔中對防御最有價值的一類IoC。當(dāng)然這也意味著收集TTPs，并將其應(yīng)用到網(wǎng)絡(luò)防御中的難度系數(shù)是最高的。而ATT&CK則是有效分析攻擊者行為（即TTPs）的威脅分析框架。

Bianco 提出的痛苦金字塔

ATT&CK使用攻擊者的視角，比從純粹的防御角度更容易理解上下文中的行動和潛在對策。對于檢測，雖然很多防御模型會向防御者顯示警報，但不提供引起警報事件的任何上下文，例如從防御者的視角自上而下地介紹安全目標(biāo)的CIA模型、側(cè)重于漏洞評級CVSS、主要考慮風(fēng)險計算的DREAD模型等。這些模型只能形成一個淺層次的參考框架，并沒有提供導(dǎo)致這些警報的原因以及與系統(tǒng)或網(wǎng)絡(luò)上可能發(fā)生的其它事件的關(guān)系。

而ATT&CK框架提供了對抗行動和信息之間的關(guān)系和依存關(guān)系，防御者就可以追蹤攻擊者采取每項行動的動機(jī)，并了解這些行動和依存關(guān)系。擁有了這些信息之后，安全人員的工作從尋找發(fā)生了什么事情，轉(zhuǎn)變?yōu)榘凑誂TT&CK框架，將防御策略與攻擊者的手冊對比，預(yù)測會發(fā)生什么事情。這正是CARTA所倡導(dǎo)的“預(yù)防有助于布置檢測和響應(yīng)措施，檢測和響應(yīng)也有助于預(yù)測”。

使用ATT&CK框架來提升檢測能力的首要步驟就是對數(shù)據(jù)源進(jìn)行盤點。ATT＆CK框架已定義了大約50種不同類型的數(shù)據(jù)源。對于每個數(shù)據(jù)源，企業(yè)需要對數(shù)據(jù)質(zhì)量、數(shù)量內(nèi)容等方面進(jìn)行管理?？梢允褂肕ITRE ATT＆CK導(dǎo)航工具，按下圖所示方式將數(shù)據(jù)源映射到ATT＆CK技術(shù)，進(jìn)行可視化展示。

數(shù)據(jù)源可視化示例

其次，對于企業(yè)機(jī)構(gòu)來說，知道威脅主體使用了哪些ATT＆CK技術(shù)，這一點也至關(guān)重要。組織機(jī)構(gòu)可以根據(jù)MITRE ATT＆CK知識庫中存在的威脅組織和惡意軟件創(chuàng)建熱力圖。將威脅組織使用的技術(shù)與企業(yè)的檢測或可見性水平進(jìn)行比較，確定哪些方面可能存在差距，需要改進(jìn)，從而增強(qiáng)檢測和事件響應(yīng)能力。下圖顯示了一個基于ATT＆CK中所有威脅組織數(shù)據(jù)的熱力圖。熱力圖中的顏色越深，則表示攻擊組織使用該技術(shù)的頻率就越高。

基于威脅組織的熱力圖

例如，某些ATT＆CK技術(shù)與自身組織機(jī)構(gòu)相關(guān)。那么，組織機(jī)構(gòu)就可以將其與當(dāng)前的檢測狀態(tài)進(jìn)行直觀比較，確定在ATT＆CK技術(shù)方面可能存在的差距或改進(jìn)之處。

將威脅主體攻擊技術(shù)與企業(yè)的檢測結(jié)果進(jìn)行比較

最后，基于上述分析，以ATT＆CK框架為基礎(chǔ)實現(xiàn)檢測方案的可視化，然后對檢測方案進(jìn)行評分（如下圖所示），管理檢測和響應(yīng)方案。

顯示檢測方案分?jǐn)?shù)的熱力圖示例

寫在最后

Zero Trust和ATT&CK架構(gòu)都是從攻擊者的視角出發(fā)看問題，顛覆了傳統(tǒng)上的純粹防御安全觀念，與CARTA倡導(dǎo)的安全人員應(yīng)該通過理解上下文和持續(xù)風(fēng)險評估來靈活調(diào)整安全策略的理念有諸多異曲同工之處。

青藤云安全認(rèn)為:鑒于在安全領(lǐng)域，防御者始終處于一個敵暗我明的天生劣勢，因此，安全人員應(yīng)該采用零信任的態(tài)度，并主動提高安全檢測能力，才是根本之策。CARTA藍(lán)圖可以幫助大家實現(xiàn)這一目標(biāo)，而Zero Trust和ATT&CK框架則是成功落實該理念的關(guān)鍵保障。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。