威胁驱动的网络安全方法论

本文主要内容取自洛克希德·马丁公司的论文：A Threat-Driven Approach to Cyber Security，想要全面准确了解论文内容的朋友建议阅读原文。希望能够抛砖引玉，为相关领域的相关工作人员带来一点不同的思路或启发，从而更好地维护企业/组织的网络安全。欢迎交流与指正，转载请注明来自博客园r00tgrok。

摘要

目前的网络安全风险管理实践很大程度上是由合规性要求驱动的，这使得公司/组织不得不在安全控制和漏洞上投入人力/物力。（风险管理涉及多个方面，包括资产、威胁、漏洞和控制，并根据事故发生的可能性及造成的影响进行评估。威胁会通过漏洞对信息系统造成损失，安全控制则是试图阻止或缓解威胁源实施攻击的措施。）然而，由于致力于安全控制和漏洞，他们忽略了风险管理中最重要的因素——威胁。这种失衡的状况表现为坚守既有的安全架构及工程实践中的标准和原则，更加注重应急响应而不是风险管理。

一个功能完备的架构应该将威胁放在战略、战术及运营实践的首要位置，工程师和分析员们遵循常规的方法论，将威胁分析和跨越多个职能系统的威胁情报整合到一起，而不是让它们彼此隔离。这保证了安全控制得到实施和评估，并随着不断出现的有影响力的威胁和攻击向量而不断调整。这样能使我们得到更加精确的信息，以一种更优的方式分配资源及控制其使用，从而生成一个敏捷、有弹性的网络安全实践。这种威胁驱动的方法和合规性并不冲突，对一个机构来说正如量身定制一般，践行这一方法可以是风险管理得到加强，机构最终得到一个既合规又更加安全的信息系统。

引言

目前，网络安全领域的架构、工程及运维实践主要聚焦于合规性——遵循一到多条规定、政策。一些机构整合了传统的信息安全理念及原则，并试图将安全植入IT系统的开发过程来补充这些实践。成熟的运营者遵循网络杀伤链（Cyber Kill Chain）或类似实践及情报驱动防御（Intelligence Driven Defense）方法来同网络威胁抗争。

目前的实践存在以下不足，因而限制了其有效性：

1.  过多的资源被用于合规性要求，行为和文化都以和合规性为导向；

2. 缺乏可伸缩（横向和纵向）的格式化威胁建模及分析实践；

3. 制度上缺乏架构/工程职能及运营/分析职能之间的整合；

除此之外，合规性驱动的战略大多数情况下会导致控制第一的观念，即系统架构及基础程序由已知安全控制及控制框架驱动。这种践行方法的结果如下：

• 合规性（即来自权威机构的控制列表）并不能保证系统是安全的，反而容易助长一种看似安全的假象；

• 资源被浪费在不能处理实际威胁的控制上

• 经常以二元论评估控制的有效性

• 未做能够发现问题的分析

• 残留的风险增加了

此外，漏洞驱动的方法常会过多强调在处理漏洞上的努力，这种方法存在以下缺陷：

• 暗示了一个高反应操作环境

• 漏洞和事故在一个微观的层面得到处理，而不是将之置于一个更大的威胁场景中

• 仅已知漏洞能被修复，