网络安全之国际主流网络安全架构模型

目前，国际主流的网络安全架构模型重要有：
● 信息技术咨询公司Gartner的ASA（Adaptive Security Architecture自适应安全架构）
● 美国政府资助的非营利研究机构MITRE的ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和知识）
● 信息技术咨询公司Gartner的CSMA（Cybersecurity Mesh Architecture网络安全网格架构）
1. Gartner提出的ASA（Adaptive Security Architecture自适应安全架构）

2014年，针对于当时业界安全产品重要重在防御和边界，安全态势形成严峻挑衅的问题，Gartner公司首次提出ASA（Adaptive Security Architecture自适应安全架构），盼望业界能从单纯被动防御和应急响应的思路中解放出来，通过加强持续监测和分析预测提升主动防御能力，1.0架构重要包括以下四个象限：

• 预防Pretect，通过系统加固和隔离等本领来淘汰系统暴漏面积，比如接纳黑名单；
  
• 检测Detect，持续监视/检测事故的发生并对其进行评估，对检出的事故进行隔离，以防止其造成进一步的破坏；
  
• 响应Response，事故发生之后需要对事故进行调停和溯源；
  
• 预测Predict，根据以往已经存在的威胁，来预测潜在的威胁。
  

2017年，针对于高级攻击的防御架构，Gartner公司在1.0架构的基础上进行了相关的理论丰富，将自适应安全架构的外延扩大，自适应安全架构进入2.0时期：

• “持续监控分析”改成“持续可视化和评估”，同时参加UEBA相关的内容（User& Entity behavior analytics用户和实体的行为分析）;
  
• 引入每个象限的小循环体系，不仅仅是四个象限大循环；
  
• 在大循环中参加了策略和合规要求，同时对大循环的每个步骤说明了循环的目标，到保护象限是实行动作、到检测象限是监测动作、到响应和预测象限都是调解动作。
  

2018年，Gartner公司正式确认了CARTA（Continuous Adaptive Risk and Trust Assessment持续自适应风险与信任评估）的安全趋势，即自适应安全架构3.0。相比2.0架构，3.0架构最大的变革是把2.0架构作为攻击的保护外环,增加关于访问的保护内环，原因在于：

• 2.0架构未考虑认证问题，导致完备性有缺失，如黑客获取有效认证内容，如用户名密码，自适应架构对于此类变乱是“可信”的，威胁无法感知；
  
• 为加强云期间下的云服务的发现、访问、监控和管理，3.0架构将CASB（Cloud Access Security Broker云访问安全署理）作为原型挪到了这个总体架构中，解决了部分认证问题；
  
• 假如认证体系只是一次性认证并没有持续的监控和审计，必须要有被盗取认证信息的心理预期，以是要持续的进行监控和分析以及响应，形成闭环。
  

3.0架构的适用场景变得更为广泛，包括了安全响应、数据保护、安全运营中心、开辟安全运维、物联网、供应链安全、业务持续和劫难恢复等领域。

2. MITRE提出ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和知识）

ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和知识）是一个知识库，它从攻击者的角度看待问题，理顺了攻击者渗透网络、入侵主机、提升权限、机密移动和渗漏数据的攻击链，建立了网络攻击中使用的战术和技术的细致列表，出现了攻击者在攻击网络时所接纳的行为，并且详细先容了每一种技术的使用方式。
该模型被CISA（美国网络安全与基础办法安全局）和FBI以及超过80%的企业用于威胁调查，它对于政府或企业组织来说都非常有效，由于组织需要建立一个基于威胁的防御体系。
ATT&CK模型可以资助网络变乱响应团队(CERT)、安全运营中心(SOC)、红蓝队、威胁猎手、IT部门等安全团队，更好地测试、开辟和排序其检测和响应机制，对公司的业务、行业和知识产权提供高效安全保障，详细可分为：

• Detections and Analytics（检测和分析）：资助网络防御者开辟分析程序，以检测对手使用的技术。
  
• Threat Intelligence（威胁情报）：为分析人员提供了一种通用语言来构造，比力和分析威胁情报。
  
• Adversary Emulation and Red Teaming（攻击模拟）：提供了一种通用语言和框架，攻击模拟团队可以使用该语言和框架来模拟特定威胁并筹划其办法。
  
• Assessment and Engineering（评估与工程化）：可用于评估组织的能力并推动工程决定。
  

但是，安全公司McAfee与加州大学伯克利分校长期网络安全中心的连合调研项目发现，很多网络安全团队在框架应用方面仍旧面临诸多挑衅：

• 大多数接纳ATT&CK框架的安全团队都没有实现自动化。虽然91%的企业使用ATT&CK框架来标记网络安全变乱，但只有不到一半的企业可以自动更改部分安全策略；
  
• ATT&CK框架和安全产品之间的互操作性存在困难；
  
• 难以将网络安全变乱映射到安全策略更改，以及无法关联来自云、网络和端点的变乱；
  
• 企业使用的安全产品可能无法检测到ATT&CK矩阵中存在的全部技术。
  

2021年，MITRE发布了ATT&CK的第十个版本，该版本最大的变革是在企业矩阵（Enterprise ATT&CK）中添加了一组新的数据源和数据组件对象，以补充ATT&CK v9中发布的数据源名称更改。新版ATT&CK企业矩阵包含14个战术、188个技术、379个子技术、129个组和638个软件。

3. Gartner提出的CSMA（Cybersecurity Mesh Architecture网络安全网格架构）

随着更多的应用和数据迁移到云服务，传统网络边界已经消失，网络安全威胁形势日益复杂。同时，网络攻击本领也在快速演进，AI和大规模自动化技术驱动的新型威胁层出不穷，带来了快速增长的网络攻击数量。在这种形势下，传统安全本领已经无以为继，组织普遍存在网络安全技能短缺的逆境。因此，Gartner在2021年一种全新的安全架构模式CSMA（Cybersecurity Mesh Architecture网络安全网格架构）。
CSMA架构是一种当代安全方法，包括在最需要的地方部署控制步调、构建身份化的零信任网络并以身份作为安全边界，通过提供基础安全服务以及会合式策略管理和编排功能，使诸多工具可以或许协同操作，而不是每个安全工具都在孤岛环境中使用。
通过CSMA架构，可以获得全部边沿的深度可见性、会合管理分布式解决方案、策略的同等实行、使用威胁情报、通过集成第三方能力以更好地防卫已知和未知攻击、跨混合环境自动实行可操作响应等上风。

CSMA架构盼望通过搭建一个全面覆盖、深度集成、动态协同的“网络安全网格平台”，将不同厂商的安全工具整合为一个协同生态系统，让组织可以或许机动地进行方案部署，同时从集成和融合的运营、可视化和安全性中受益，对于在当前不断扩展的网络中，低落复杂度和进步整体安全有效性至关重要。

---

作者博客：http://xiejava.ishareread.com/

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。