网络安全滑动标尺模型是SANS公司的研究员在2015年发表的一份白皮书《网络安全滑动标尺模型》中建立的。该模型对组织机构在威胁防御方面的措施、能力以及所做的资源投入进行分类,以详细探讨网络安全的各个方面。模型的标尺用途广泛,如向非技术人员解释安全技术事宜、对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保对事件的根本原因分析准确无误等。利用此模型,防御方可确保安全措施与时俱进。该模型表明,若做了充分的防护准备,攻击者想达到目的,需付出更大的代价。
该模型可划分为五大类别,分别为架构安全(Architecture)、被动防御(Passive Defense)、主动防御(Active Defense)、威胁情报(Threat Intelligence)和进攻(offense) [4] ,如图4-3所示。
图4-3 网络安全滑动标尺模型
网络安全滑动标尺模型的每个类别在安全方面的重要性并不均等。若系统构建和实现过程考虑安全,则会显著提升系统的防御态势。而技术足够先进、目标极其坚定的攻击者总会找到途径绕过完善的架构。因此,资源的投入不应仅限于架构本身。滑动标尺的每个类别不可或缺,在考虑如何实现安全以及关注其他类别时应以预期投资收益为导向。将安全能力划分为五个逐渐进化的能力,在建设期间应遵循从左向右的顺序。
(1)架构安全:指用安全思维规划、构建和维护系统。根据需求合理构建架构安全,可提升标尺的其他阶段的效率,降低开销。确保各安全要素被设计到系统中,为业务需求提供有力支撑。
(2)被动防御:建立在架构安全的基础上,提供持续威胁防护和检测,无须人工介入的系统。可提供资产防护、填补或缩小已知的安全缺口,减少与威胁交互的机会,并提供威胁洞察分析。
(3)主动防御:分析人员监控、响应网络内部威胁,从中汲取经验并将理解知识运用于其中的过程。承担主动防御的分析人员包括事件响应人、威胁分析师、网络安全监控分析师以及利用自己的环境探寻攻击者并进行响应的其他人员。
(4)威胁情报:收集数据、利用数据获取信息并进行评估的过程,以填补之前发现的知识缺口。威胁情报是一种特定类型的情报,为保护方提供攻击者、攻击者的行为、攻击能力以及策略、技术与过程的相关信息,目的是了解攻击者,以便更准确地识别攻击者,更有效地响应攻击活动 [5] 。
(5)进攻:作为滑动标尺模型的最后阶段,是以自卫为目的,除友方网络之外对攻击者采取的直接行动。采取进攻行动时,需要了解前面各阶段,具备相关技能。对于企业来说,进攻行动本质上必须是合法的,才能被视为网络安全行为。
根据实际场景和任务目标,可选择不同的应急响应模型。各类模型都是根据行业工作者的经验所设计的,具有参考价值,应灵活运用。在发生网络安全事件时,运用好响应模型,能够迅速对事件研判分析,并及时做好应对措施,避免造成严重的影响和损失。