节选两张图自笔者《智慧安全 – 应对数字商业的安全风险挑战》幻灯片,关于应对高级威胁的企业防御新体系架构的设计,希望与正在思考类似题目的同志们探讨。本来还打算多写几句阐述,后来想到看得懂的自然不用解释,就懒得动笔了。以后会有机会看到整套幻灯片并和笔者交流。
威胁防御现在市面五花八门琳琅满目的技术和产品,各种厂商的各有重点的自我吹嘘,甲方需要一个框架体系审视自己所处的位置,理解厂商可以提供的能力,总结自身最关注的风险,结合自己的实际能力,考虑投资回报率,以制定下一步行动计划。
安全厂商的产品都可以找到对应位置,而每个企业到达了哪个阶段也可准确评估。成本和难度自下而上增加。能够达到的企业数量越向上越少。当然并不是说只有完成了下层工作才可以做上层。但是效果却不是说做了金字塔靠上的工作就可以自然比下方位置好。性价比显然是个值得考虑的重要因素。现在市场上出现的各种理论片段,都可以被包在上图框架中。
进攻(Offense):采用法律行动和技术手段等,实施遏制或接管攻击方所使用的基础设施、解体攻击方团队、以及其它措施,以达到瓦解攻击行动的目标。与传统讲的攻防无关。现在很多合规要求都包含漏扫和渗透测试。
上图要讲解的内容可以很多:金字塔每层具体含义、对应的标准和框架、可供选择的技术和产品、威胁情报提供的作用、需要的人员团队能力、实施的复杂性和难点、等等。此处就不展开阐明了。
关于风险这部分,上图简明易懂表示出不同阶段和做法的实际效果区别。红色矩形代表企业实际暴露的风险。做合规可以防御部分高级威胁。但要想有效缩减风险面积,需要向前图金字塔的上方行进。即使是做到第三阶段的企业仍有风险暴露。考虑到金字塔越向上成本增加越快,这其中也是有一条投资回报线需要考虑。