“零信任”(附记):主动防御

围观次数:489 views

迄今为止,各种安全解决方案的基本思路仍然是攻击与防御的对抗,以洛克希德·马丁公司提出的“网络杀伤链(Cyber Kill Chain)”为代表,并进一步发展和细化为ATT&CK模型。在这种思路下,企业需要穷举可能遇到的威胁和攻击,并部署相应的防护措施。

然而,截止2020年4月25日,MITRE ATT&CK模型包括三部分,分别是:PRE-ATT&CK,包含15类战术174种技术;企业ATT&CK阵列,包含12类战术266种技术;移动ATT&CK阵列,包含13类战术79种技术。随着时间推移,还会不断诞生新的战术和技术,而且往往是在攻击者成功实践之后,新的战术和技术才会被总结出来纳入ATT&CK体系。

在此基础上,要做到全面和充分的防护,企业需要配备足够的专业人员,根据业务的实际情况分析和识别需要防范的攻击技术,选择和部署相应的安全产品/方案,并保证持续关注和及时响应及更新。且不说这样的安全实践对企业业务的影响,受人员、资金和时间的限制,几乎不可能有企业能够真正完成。

其实,归纳攻击者行为的网络杀伤链和ATT&CK模型的真正用处在于事故发生后的分析和鉴证(forensics),而不是防御。

另一方面,我们应该认识到,根据进攻者的策略/行为制定防御策略/行为是被动防御(Passive Defense)。其中,侦测和响应攻击是消极(Negative)行为,对攻击进行预判和预防是积极(Positive)行为。如果与Gartner的“自适应攻击防护框架(Adaptive Attack Protection Architecture)”对应,则侦测(Detect)和响应(Respond)属于消极行为,预测(Predict)和预防(Prevent)属于积极行为。

根据实际业务的特征和需要制定防御策略/行为是主动防御(Active Defense)。与传统安全理念强调保证“可信”、对抗攻击不同,“零信任”的根本特点在于接受业务中普遍“不可信”的现实,主动为业务提供支持和保障。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助