目录
1.概述
PPDR模型由四个主要部分组成:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response),如下图所示。PPDR模型是在整体的安全策略的控制和指导下,综合运用防护工具(如网络防火墙,IPS,WAF,EDR,数据库防火墙,零信任系统,加密机等)的同时,利用检测工具(如漏洞扫描,入侵检测系统,APT,数据库审计,日志审计)了解和评估系统的安全状态,通过适当的响应将系统调整到一个比较安全的状态。防护、检测、响应组成一个完整的,动态的安全循环。
2.模块功能
策略:
策略是PPDR模型的核心,意味着网络安全要达到 的目标,决定各种措施的强度。
防护:
防护 是安全的第一步,包括制订安全规章(以安全策略为基础制定安全细则);配置系统安全(配置操作系统,安装补丁);采用安全措施(安装使用防火墙,WAF,零信任等)。
检测:
检测是对上述二者的补充,通过检测发现系统或网络的异常情况,发现可能 的攻击行为,如漏洞扫描,渗透测试等。
响应:
响应是在发现攻击行为后系统自动采取的行动,目前 的入侵响应措施也比较单一,主要就是关闭端口,中断连接,中断服务等方式,研究多种入侵响应方式将是今后的发现方向之一。可以在发下方向进行尝试:
防火墙联动——EDR,
APT联动——EDR
态势感知平台联动——EDR
SOAR平台联动——网关类设备(防火墙,WAF,EDR,)
3.应用场景范围
网络安全相关从业者,网络安全加固方案编写,场景化方案,规划方案皆可参考PPDR模型。
4.与PDR模型对比
1)与PDR相对多了策略时间维度,可随时根据效果调整安全策略,有一定的主动权。
2)PDR为基于时间的静态模型,防护,检测,响应很难实现量化。PPDR可实时根据安全态势调整防护,检测,响应的投放资源。比较适合未来的发展趋势。