《The Sliding Scale of Cyber Security》是 Robert M.lee 在2015年发表的一篇文章,和Gartner的“自适应安全”模型类似,提供了一种宏观角度的企业安全建设指导模型。Gartner 的安全自适应模型是针对被动防御措施必然被突破的现实,提出了安全投资应该同时兼顾防御、检测、响应和预防4个方面。Robert M.Lee的这篇文章则希望阐明面对不同的威胁类型需要建立怎样的安全能力,以及这些能力间的演进关系,从而帮助在管理层沟通安全建设投资、并确定和跟踪安全投入的优先级等活动。
这个模型在国内很多地方都在使用。但其中两个问题上似乎存在不同的理解,下面就此讲讲笔者的理解。
滑动标尺的演进关系
滑动标尺模型从左到右,是一种明确的演进关系,这种演进至少包含以下几个层面的含义:
左侧是右侧的基础,如果右侧的建设没有一定的基础,在实际中也很难完成更右侧的能力建设。简单的例子,在架构安全阶段安全域划分、访问控制没有做好,被动防御要考虑的攻击面就会很大进而难以实施;而被动防御阶段做得不好,很多简单的事件/攻击无法快速处理,也就没有资源(需要分析的事件/数据,以及对应的安全运营