“自适应安全模型”&“零信任”&“ATT&CK”

前言

网络安全在近十几年中有了突破性发展，为了应对越发频增的安全问题，各个权威机构与专家相继提出了很多安全架构，例如在之前的文章中我们介绍过的由Forrester提出的零信任模型以及MITRE公司提出的ATT&CK框架。

其实无论是“零信任模型”也好还是“ATT&CK”框架也罢，都缺乏针对不同环境场景而灵活改变安全策略的能力。所以，美创安全实验室在本篇文章将会给大家介绍一种结合了“零信任体系”与“ATT&CK框架”的可以持续自适应风险与信任评估的安全模型----自适应模型。话不多说，Let’s go！

自适应安全框架简介

自适应安全框架（Adaptive Security Architecture，ASA模型）是Gartner在2014年提出的面向下一代的安全体系框架，用于应对云计算与物联网快速发展所带来的新型安全形势。自适应安全框架（ASA）从预测、防御、检测、响应四个维度，强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。

① 预测：通过防御、检测、响应结果不断优化基线系统，逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

② 检测：用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状态中。

③ 响应：用于高效调查和补救被检测分析功能(或外部服务)查出的事务，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来事故。

防御：是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

零信任与自适应安全

零信任网络是近几年一直火热的理论模型，其具体的逻辑架构与设计原则在前几篇文章中已经提过，这里就不再细提了。简而言之，“零信任”体系依赖于其核心组件“策略引擎”实现对每个访问请求的allow或deny处理。这个处理过程类似于“白名单”技术，“非白即黑”是这个体系的核心要点。而自适应安全3.0阶段的CARTA模型与传统安全方案所采用的allow或deny的简单处理方式完全不同，CARTA模型是通过持续监控和审计来判断安全状况的，他所强调的是没有绝对的安全或者说没有100%的信任，寻求一种0和1之间的风险与信任的平衡。

而“零信任体系”就是实现CARTA模型的基础。为了满足CARTA模型要求的自适应调整策略，我们需要评估安全状况、包括验证用户、验证设备、限制访问和权限。这听上去是不是和“零信任体系”中“策略引擎”运行的“信任算法”有相似之处？“零信任”强调的就是根据尽可能多的“身份信息”来判断这个行为是否可信，但在网络安全中，“信任”并不是绝对的，而是一个相对的概念，并且是一个动态的变化关系。

零信任网络默认使用Deny作为起点。在授予网络访问权限之前，要对实体、设备的身份和信任进行评估。当然，Gartner提出的CARTA模型，已经扩展到了网络之外，包括IT堆栈、风险合规治理流程等方面。在交互过程中不断监视和评估风险和信任级别，如果发现信任下降或风险增加到了阈值，需要进行响应，则应该相应地调整访问策略。

在CARTA的自适应攻击防护架构中，采用的正好是“零信任策略“，因为其可以很好的应对内部攻击。CARTA模型在建立一定程度的信任连接之前，会对系统进行加固和隔离，所有微隔离的Projects之间都是采用零信任网络连接。与此同时CARTA模型还进一步扩展了零信任的概念，并将攻击防护视为一个持续的风险和信任评估过程。例如，CARTA在系统上运行时监视可执行代码，以发现恶意行为和风险的迹象，即使它通过了初始风险和信任评估。这就是被称为终端检测和响应的EDR技术。因此，在CARTA自适应的访问防护架构中，初始安全状态都是默认deny状态，在对用户的凭据、设备和上下文进行评估之前，用户没有任何访问权限。

ATT&CK与自适应安全

CATRA模型在整个安全过程中，安全状况会随时发生变化，其中最主要就是需要准备好可能面临的各种攻击，因此需要进行持续检测，这个时候ATT&CK框架就是一个很好的安全检测和响应模型。CARTA模型和ATT&CK框架一样，都非常关注检测和响应部分的实现。而在之前的文章中也提过，ATT&CK框架作为目前的通用语言是能够增强企业的检测和响应能力的。那么，如何根据ATT&CK框架来检查目前安全产品的整体覆盖度，进行全面的差距分析，建立对应的检测响应方案，就是自适应安全框架最为核心的检测和响应部分的内容。

关于如何使用ATT&CK框架构建一套属于自己的检测响应方案，建议阅读笔者的上一篇文章《ATT&CK使用场景及实施方式》。其中我们有讲到ATT&CK框架核心就是以矩阵的形式展现TTPs（Tactics, Techniques and Procedures，战术，技术及步骤），而如何确定选用的ATT&CK框架中的战术及技术是根据攻击成本的高低来判断的。

对于检测来说，虽然很多防御模型会向防御者显示警报，但不提供引起警报事件的任何上下文，例如从防御者的视角自上而下地介绍安全目标的CIA模型、侧重于漏洞评级CVSS、主要考虑风险计算的DREAD模型等。这些模型只能形成一个浅层次的参考框架，并没有提供导致这些警报的原因以及与系统或网络上可能发生的其它事件的关系。

而ATT&CK框架提供了对抗行动和信息之间的关系和依存关系，防御者就可以追踪攻击者采取每项行动的动机，并了解这些行动和依存关系。拥有了这些信息之后，安全人员的工作从寻找发生了什么事情，转变为按照ATT&CK框架，将防御策略与攻击者的手册对比，预测会发生什么事情。这正是CARTA所倡导的“预防有助于布置检测和响应措施，检测和响应也有助于预测”。可以说ATT&CK框架是CARTA可以进行持续风险评估的保证。

自适应框架的应用

自适应安全框架（ASA）框架作为网络安全2.0时代先进的参考模型，已经在新防御体系建设中得到了广泛的应用。越来越多的网络安全产品厂商和解决方案提供商，使用自适应安全框架（ASA）框架各象限内容进行对标，以使自身的产品或解决方案能够覆盖多个领域或专注在某个垂直领域。

① 安全防御层面：下一代IPS除了具有传统IPS的功能外，还需要具有自适应安全能力的安全引擎，才能够实现周而复始不间断地发现辨识网络信息、学习并关联信息、自动调整行动策略的自动防御能力。

② 安全检测层面：在网络、主机、应用等层面，在传统基于特征的安全检测基础上，融入基于异常的持续性安全检测，能够快速、即时地发现各种潜在的安全威胁，为APT、业务欺诈等行为的判定提供充分的依据。

③ 安全预测层面：通过对网络流量、系统日志、用户行为、文件内容等方面的深度检测，利用安全分析模型对多种安全威胁数据进行自动化挖掘和网络威胁情报关联分析，最终实现网络安全态势感知和安全威胁的精准预测。

总结

“零信任”（Zero Trust）和“ATT&CK“是近几年国内信息安全圈讨论热点最多的两个词，不可否认，这两个体系的建立确实给了当前面对信息安全艰难处境的我们提供了新的视野和思路。虽然“零信任”解放了我们的视野，让我们不再关注内外网之分，但由于缺少对攻击行为的描述与追踪导致我们对溯源以及预警准备不足。虽然ATT&CK给我们带来了通用标准化的攻击行为语言，但由于其映射十分困难导致仅停留在理论层面而难以落地。而最新版的自适应安全框架3.0----CARTA模型，以零信任和ATT&CK为基础搭建演进后形成了一种集成概念，以ATT&CK的技术做支撑同时继承了“零信任”体系的核心思想“信任评估”，实现了在不同环境场景下的持续自适应风险与信任评估。

同时，所有机构都应不再盲目信任“防御”措施能够100%有效，在面对不可避免的潜在侵害行为时，应在防御的基础上重点建设“检测”和“预测”能力。总而言之，深入理解并合理应用自适应安全框架（ASA）框架，才能更有效地构建网络安全2.0时代新防御体系，提升网络安全主动防御能力，最终达到安全的可管、可控、可视、可调度、可持续。