目录
[2.1 模型概念提出者](#2.1 模型概念提出者)
[2.2 模型图](#2.2 模型图)
[2.3 模型内容](#2.3 模型内容)
[2.3.1 Protection(保护)](#2.3.1 Protection(保护))
[2.3.2 Detection(检测)](#2.3.2 Detection(检测))
[2.3.3 Response(响应)](#2.3.3 Response(响应))
[2.4 PDR模型思想](#2.4 PDR模型思想)
[2.4.1 PDR模型假设](#2.4.1 PDR模型假设)
[2.5 PDR模型缺点](#2.5 PDR模型缺点)
[3.1 PPDR模型思想](#3.1 PPDR模型思想)
[3.2 PPDR模型图](#3.2 PPDR模型图)
[3.3 PPDR模型内容](#3.3 PPDR模型内容)
[3.3.1 策略](#3.3.1 策略)
[3.3.2 防护](#3.3.2 防护)
[3.3.3 检测](#3.3.3 检测)
[3.3.4 响应](#3.3.4 响应)
[3.4 与PRD模型对比](#3.4 与PRD模型对比)
[4.1 PDRR模型提出者](#4.1 PDRR模型提出者)
[4.2 PDRR模型图](#4.2 PDRR模型图)
[4.3 PDRR模型防御思想](#4.3 PDRR模型防御思想)
[4.4 模型内容](#4.4 模型内容)
[4.4.1 Protection(防护)](#4.4.1 Protection(防护))
[4.4.2 Detection(检测)](#4.4.2 Detection(检测))
[4.4.3 Recovery(恢复)](#4.4.3 Recovery(恢复))
[4.4.4 Reaction(响应)](#4.4.4 Reaction(响应))
[5.1 ASA模型提出者](#5.1 ASA模型提出者)
[5.2 ASA模型图(1.0)](#5.2 ASA模型图(1.0))
[5.3 ASA模型内容(1.0)](#5.3 ASA模型内容(1.0))
[5.3.1 预测](#5.3.1 预测)
[5.3.2 检测](#5.3.2 检测)
[5.3.3 响应](#5.3.3 响应)
[5.3.4 防御](#5.3.4 防御)
[5.4 ASA模型图(2.0)](#5.4 ASA模型图(2.0))
[5.5 ASA模型内容(2.0)](#5.5 ASA模型内容(2.0))
[5.5.1 UEBA介绍](#5.5.1 UEBA介绍)
[5.6 SAS模型图(3.0)](#5.6 SAS模型图(3.0))
[5.7 SAS模型内容(3.0)](#5.7 SAS模型内容(3.0))
[5.7.1 CASB介绍](#5.7.1 CASB介绍)
[5.7.2 总结](#5.7.2 总结)
[5.8 总结](#5.8 总结)
一、概述
在安全领域,有很多常见的网络安全模型,如基于时间的PDR模型、PPDR模型、PDRR模型、ASA模型等,了解这些模型,对我们在落地网络安全建设时能提供很好的帮助,今天我们就来聊一聊这些安全模型。
二、基于时间的PDR模型
2.1 模型概念提出者
源自美国国际互联网安全系统公司ISS提出的自适应网络安全模型ANSM(Adaptive Network Security Model),是一个可量化、可数学证明、基于时间的安全模型。
2.2 模型图
2.3 模型内容
2.3.1 Protection(保护)
采用一系列手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性、完整性、可用性、可控性和不可否认性等。
2.3.2 Detection(检测)
利用各类工具检查系统可能存在的供黑客攻击、病毒泛滥的脆弱性,即入侵检测、病毒检测等。
2.3.3 Response(响应)
对危及安全的事件、行为、过程及时作出响应处理,杜绝危害的进一步蔓延扩大,力求将安全事件的影响降到最低。
2.4 PDR模型思想
PDR(Protection Detection Response)模型的思想是承认信息系统中漏洞的存在,正视系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
2.4.1 PDR模型假设
该模型基于这样的假设:任何安全防护措施都是基于时间的。基于该模型给出信息系统攻防时间表,其中,
- **检测时间(Dt)**指的是系统采取某种检测措施,能够检测到系统攻击所需要的时间;
- **保护时间(Pt)**指的是某种安全防护措施所能坚守的时间;
- **响应时间(Rt)**是从发现攻击到做出有效响应动作所需的时间;
- **假设暴露时间(Et)**表示系统被对手成功攻击后的时间。
那么就可以根据下面两个关系式来判断是否安全:如果Pt>Dt+Rt,那么是安全的;
如果Pt<Dt+Rt,那么Et=(Dt+Rt)-Pt。
2.5 PDR模型缺点
该模型虽然直观实用,但Pt、Dt、Rt很难准确定义,而且对系统的安全隐患和安全措施采取相对固定的前提假设,难以适应网络安全环境的快速变化。
三、PPDR模型
3.1 PPDR模型思想
PPDR(Policy Protection Detection Response)模型的核心思想是所有的防护、检测、响应都是以安全策略为依据来实施的,也称为P2DR模型。
3.2 PPDR模型图
3.3 PPDR模型内容
3.3.1 策略
PPDR模型中的策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制订、评估与执行等。
3.3.2 防护
防护指的是通过部署和采用安全技术来提高网络的防护能力,如访问控制、防火墙、入侵检测、加密技术、身份认证等技术。
3.3.3 检测
检测指的是利用信息安全检测工具来监视、分析、审计网络活动,了解和判断网络系统的安全状态。检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。主要方法包括实时监控、检测、报警等。
3.3.4 响应
响应指的是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,包括恢复系统功能和数据、启动备份系统等。其主要方法包括关闭服务、跟踪、反击、消除影响等。
3.4 与PRD模型对比
与PDR模型相比,P2DR模型则更强调控制和对抗 ,即强调系统安全的动态性,并且以安全检测、漏洞监测和自适应填充"安全间隙"为循环来提高网络安全。
该模型同时考虑了管理因素,它强调安全管理的持续性、安全策略的动态性,以实时监视网络活动、发现威胁和弱点来调整和填补网络漏洞。
另外,该模型强调检测的重要性,通过经常对网络系统进行评估来把握系统风险点,及时弱化甚至消除系统的安全漏洞。
四、PDRR模型
4.1 PDRR模型提出者
PDRR(Protection Detection Response Recovery)模型由美国国防部(DoD)提出 ,是防护、检测、响应、恢复的缩写。
4.2 PDRR模型图
4.3 PDRR模型防御思想
PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。
从工作机制上看,这四个部分是一个顺次发生的过程。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测,以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,安全风险上升到不可接受状态,则马上采取应急措施对其进行响应处理,直至风险降低到可接受程度。
4.4 模型内容
4.4.1 Protection(防护)
主要包含功能:
主要内容有加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
目标:
采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。
4.4.2 Detection(检测)
主要包含功能:
主要内容有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。
目标:
提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。
4.4.3 Recovery(恢复)
主要包含功能:
主要内容有数据备份、数据恢复、系统恢复等。
目标:
对危及安全的事件、行为、过程及时做出响应处理,杜绝危害的进一步蔓延扩大,力求系统尚能提供正常的服务。
4.4.4 Reaction(响应)
主要包含功能:
主要内容有应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
目标:
一旦系统遭到破坏,尽快恢复系统功能,尽早提供正常的服务。
五、ASA模型
5.1 ASA模型提出者
自适应安全架构(Adaptive Security Architecture, ASA)模型是Gartner在2014年提出的面向下一代的安全体系框架,类似PDCA的戴明环理念,强调以持续监控和分析为核心。
5.2 ASA模型图(1.0)
5.3 ASA模型内容(1.0)
ASA主要从预测、检测、响应、防御 四个维度对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。它强调安全防护是一个持续处理的循环过程,主要用于应对云计算与物联网等新领域快速发展所带来的新挑战。
5.3.1 预测
针对现有系统和信息中具有威胁的新型攻击以及漏洞设定优先级和定位,通过防御、检测、响应结果不断优化安全策略与规则,自适应地精准预测未知的、新型的攻击,然后形成情报反馈到预防和检测功能,从而构成整个处理流程的闭环。
5.3.2 检测
主要假设自己已处在被攻击状态中,检测、发现那些规避网络防御的攻击行为,降低威胁造成的"停摆时间"以及其他潜在的损失。
5.3.3 响应
用于高效调查和应急响应被检测分析功能查出的安全事件,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免再次发生类似安全事件。
5.3.4 防御
用于防御攻击的一系列策略集、产品和服务。它主要通过减少被攻击面来提升攻击门槛,并在受影响前阻断攻击行为。
5.4 ASA模型图(2.0)
5.5 ASA模型内容(2.0)
2016年自适应安全架构的原作者,Gartner两位王牌分析师Neil MacDonald和Peter Firstbrook对此架构进行了勘误和改版,变动并不大,但是同年自适应安全架构在全球范围内得到了广泛的认可。在2017年进入了自适应安全架构的2.0时期,在1.0的基础上进行了相关的理论丰富。
在自适应架构2.0的时候加入了一些额外的元素,主要是三点变化。
- 第一、在持续的监控分析中改变成持续的可视化和评估,同时加入了UEBA相关的内容;
- 第二、引入了每个象限的小循环体系,不仅仅是四个象限大循环;
- 第三、在大循环中加入了策略和合规的要求,同时对大循环的每个步骤说明了循环的目的,到保护象限是实施动作,到检测象限是监测动作,到响应和预测象限都是调整动作。
5.5.1 UEBA介绍
其实在2016年的十大科技趋势之自适应架构报告中也能看到端倪,在后面详细介绍了UEBA的相关内容。UEBA是User& Entity behavior analytics的缩写,意义是用户和实体的行为分析,这里的实体主要指终端、应用、网络等IT资产实体。美国有很多专注于做此种类型的厂商,主要的思路是收集这些IT资产实体的数据进行大数据分析和机器学习,来找出一些安全问题。重点的功能是在分析侧,很多终端安全厂商或者网络安全厂商会跟UEBA的厂商进行配合使用,前者发现既有的一些安全问题,后者帮助发现更深层次的问题,尤其还有人的因素在里面。
UEBA的结构图如下所示:
自适应架构2.0将策略和合规的问题囊括进来,就将自应安全架构的外延扩大了,在此架构提出的时候主要是针对于高级攻击的防御架构,相当于此架构的普适性增强了。
5.6 SAS模型图(3.0)
5.7 SAS模型内容(3.0)
在2018年十大安全趋势中,正式确认了"持续自适应风险与信任"(CARTA)的安全趋势,也即是自适应安全架构3.0的强调。这次架构的添加的内容较多,同时名字都进行了修改。
比之前最大的变化即是多了关于访问的保护内环,把之前的自适应安全架构作为攻击的保护外环。作为增加了内环重点的关注认证,也有其内在原因:
- 第一、之前的自适应安全架构没有考虑认证的问题,导致架构的完整性有缺失。如果黑客获取了有效的认证内容,比如用户名密码,自适应架构对于此类事件是"可信"的,威胁就无法感知。
- 第二、在云时代下CASB这种产品就是解决了部分认证的问题,Gartner同时使用自适应安全架构的方法论来对CASB的能力架构进行过全面分析,可以说是将对CASB自适应的架构作为原型挪到了这个总体架构中,在这个架构中的核心点在于认证,包括了云服务的发现、访问、监控和管理。
- 第三、如果认证体系只是一次性认证并没有持续的监控和审计,必须要有被窃取认证信息的心理预期,所以要持续的进行监控和分析以及响应,所以要形成闭环。
5.7.1 CASB介绍
CASB自适应安全威胁保护如下图:
5.7.2 总结
从这些变化可以看出一些重点,对于认证领域(IAM) 的重视,并将攻击保护侧和访问保护侧分别定位为将"坏"的驱赶出来和让"好"的进入。如果把内外环换个顺序感觉会更直观一些,一般来说先是接触访问然后再接触内部系统。这个架构的适用场景变得更为广泛,包括了安全响应、数据保护、安全运营中心、双模IT、开发安全运维、物联网、供应链安全、业务持续和灾难恢复等领域。很明显在未来的一两年内,可能会一直是十大科技趋势之一。
5.8 总结
展望一下自适应安全架构的未来,两个方向是一直在提的,后面估计会加入到自适应架构中。一个就是开发安全运维(DevSecOps) ,另一个是欺骗系统(Deception System)。开发安全运维提到了很多年,对于解决安全的问题的本质很有意义,同时在目前开发运维慢慢成为主流,安全要吻合这种趋势来解决这种方式的安全问题。同时欺骗系统的重要性也被提及出来,但是作为边缘产品,是否能得到甲方的全面认可,还要看市场的反响。
自适应安全架构发展4年,不断的扩展它的内涵和外延,表现出了极大的生命力。无论作为安全甲方还是安全乙方,都有很大的参考价值。安全建设方,可以按照此架构对整个组织的安全状况进行梳理,构建整个安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善整体的安全态势;同时安全厂商可以根据此架构来规划功能和能力,不断增强和加深自适应的各项安全要求。
好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!