企业安全能力验证方法论

企业安全背景

现有企业安全建设框架有很多，以合规为导向的、以场景为导向、以数据为导向的建设体系，这些能力都是以防御的视角进行建设，面对黑客的攻击很多时候是捉襟见肘的。本文将以攻击者的视角对企业风险进行全面分析。

以合规政策为导向

此类的建设体系在我国基本是以等级保护、关基保护、密码测评、分级保护、XC等为建设依据，对象基本都是业务系统为纬度。

优势：符合国家合规建设要求，以基础安全防护设备能够保护大部分的脚本小子的攻击；

劣势：面对APT攻击时往往容易被攻破。

以业务场景为导向

此类的建设体系一般有重大安全保障场景、终端安全防护场景、，对象可能是用户为纬度。

优势：有针对性的防护场景，在此场景下面对黑客能够有很好的效果，并且有完备的管理制度来保障场景落地的操作性；

劣势：投资较大，很难覆盖全部场景的安全建设。

以数据安全为导向

此类的建设体系包括DSMM、DSG、数据全生命周期等，对象一般是数据库、数据字段、文件、音频、视频等。

优势：在最底层进行保护，就算被攻破，数据的破解也不容易，并且可以看到数据的全流向，是目前比较热门的建设体系；

劣势：对业务系统性能、使用上影响较大，难以推广。

以新型技术为导向

此类建设体系包括云原生安全体系，对象一般是云平台。

优势：采用新技术在理念、能力方面都有较大的优势，发现的安全风险较少；

缺点：需要较为强的研发技术，并且安全能力基本都需要适配。

以安全模型为导向

此类建设体系包括：滑动标尺模型、IPDDR、PDR等安全体系，对象一般是整个企业环境。

优势：经过长时间验证的成熟模型，有较多的参考实例；

缺点：建设能力繁多，需要较长的时间建设才能有较好的成效。

企业风险分析

根据权威信息统计。在信息安全事件中，外部黑客导致的威胁大概只有30%，70%由于内部员工的疏忽或有管理不当导致的；

常见的内部威胁导致的网络安全事件的原因包括：安全设备策略配置不当、安全设备策略更新不及时、员工违规操作、安全防护能力不足、资产暴露互联网等

攻击性防护框架

思路来源

在2023年的Gartner 9大网络安全趋势中，其中有一个网络安全验证（Cybersecurity Validation），其是由BSA（入侵与攻击模拟）演变而来。此项技术趋势最大的特点是模拟黑客的攻击，以实战角度对企业安全进行测量。

Gartner定义安全验证：安全验证是技术、流程和工具的融合，用于验证潜在攻击者如何利用已识别的威胁暴露，以及安全防御体系和流程的实际应对情况。

风险分析

我们将以安全设备的纬度来看我们的资产是否被保护，此内容一般包含几个部分：

• 资产是否真的在安全能力的保护中；

• 安全设备自身是否安全

• 安全设备能力是否正确使用；

实施手段

资产保护视图建设手段：

1、人工方式：由系统管理员手动对资产的包含手段进行添加，比如防火墙保护、XDR保护等，此种方式效率低且准确性无法保障；

2、被动方式：借助安全设备的告警日志，与资产信息进行比对，由于攻击者为了隐蔽自身和实际场景，很多设备并不会被经常攻击或没有被攻击，此方式会造成资产保护视图不全面；

3、主动方式：在企业网络中部署探针，此探针不断向发现的资产进行模拟攻击，结合安全设备的日志可最大程度发现安全缺口，但此方式可能会对业务系统造成影响或者与实际的网络攻击混合造成混乱；

以上手段都有各自的优缺点，因此最好的方式就是以主动方式为主、被动方式和人工方式为辅，在安全最大化、投资最小化、影响最小化中进行取舍建设，实现持续验证系统安全体系的有效性。

功能框架

整体功能框架以采集、分析和展示三层架构为主，加上外部能力共享，形成企业安全验证平台。

1、资产防护全景图

应包含整体防护率评分、整体安全评分、防护详请等信息，以动态拓扑的方式呈现，支持多级下钻，全面展示企业资产安全防护情况。

2、资产管理

应包含安全设备、资产的管理功能，可配置资产和安全设备之间的关系。

3、POC管理

应展示POC的数量、名称、风险等级等，支持自定义添加POC，此功能是安全验证体系的核心，建设成效主要取决POC的质量。

常见POC网站：

https://github.com/mai-lang-chai/Middleware-Vulnerability-detection

https://github.com/DawnFlame/POChouse

https://github.com/PeiQi0/PeiQi-WIKI-POC

https://github.com/coffeehb/Some-PoC-oR-ExP

https://github.com/EdgeSecurityTeam/Vulnerability

4、用户管理

应支持多级用户的管理功能，分权分域。

5、系统管理

支持系统相关信息的配置。

建设拓扑

探针部署与各网络、各业务系统中去，数量越多，防护能力监测越准确、越及时，探针后的数据传送会安全验证平台与其他安全组件能力进行对比验证，最终发现攻击薄弱点。

注意：探针的性能、大小需要严格限制；

关键技术

1、自适应的安全运行环境，实现POC运行；

2、自动化的探针更新技术，实现安全自更新；

3、智能化的数据比对技术，实现数据对比；

4、可持续的漏洞验证技术，策略持续更新；

5、可运行的编排验证技术，具备安全运营能力；

最后的话

安全建设是一个持续的过程，任何防护手段都有其优缺点，以动态发展的眼观看待安全，可采用多套安全体系可最大程度降低安全事件的风险。