2.3　提高和改善網絡安全服務

面對網絡服務的安全挑戰，可以通過選擇適合的網絡安全服務策略，構建安全的網絡服務，加強網絡安全監控等措施來提升網絡服務的整體安全能力。

2.3.1　網絡安全服務策略

為應對ABCD時代所面臨的安全形勢，國內外相關機構紛紛推出各種安全理念、架構，以及與之配套的網絡安全產品和服務。較有代表性的是美國著名科技咨詢公司Gartner于2014年發布的自適應安全框架（ASA），這個框架包括了預測、防御、檢測、響應4個連續循環階段。通過持續、多維度地對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，不斷提升自身的安全能力，如圖2-2所示。

（1）預測：通過防御、檢測、響應結果不斷優化基線系統，逐漸精準預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊，并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能，從而構成整個處理流程的閉環。

（2）防御：通過一系列策略集、產品和服務進行防御。這個階段的目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。

（3）檢測：用于發現那些逃過防御網絡的攻擊，該階段的關鍵目標是降低威脅造成的中斷及其他潛在的損失。檢測能力對于處于風險中的企業非常關鍵。

（4）響應：用于進一步調查和補救被檢測分析功能（或外部服務）發現的事件，以提供攻擊證據和攻擊源分析，并形成新的預防手段來避免安全事故。

更為深入的網絡安全框架的內容將在第3章詳細介紹。

2.3.2　落地能力建設

通過上述框架提升網絡安全能力（提升技術能力、提升組織能力和相關制度流程保障能力建設）是關鍵。

1. 提升技術能力

首先，ASA安全框架的4個階段都是數據驅動的，快速檢測告警必須靠大數據，所有的網絡攻擊都會或多或少留下告警、日志等痕跡，相關的痕跡會轉換成數據，數據掌握得越多，識別和發現攻擊的速度就會越快。

其次，可以利用數據驅動的態勢感知能力解決網絡攻擊非均衡性問題，態勢感知能力是用數據做安全的一整套動態防御體系。第一步通過數據建立正常行為模式，從而發現異常、遏制敵對勢力偷取信息；第二步基于機器學習的智能計算、工具和系統，把威脅轉化成報警；第三步采取應急響應措施，隔離主機、評估損失。

在業界的實踐中可以參考MITRE公司的ATT & CK模型，MITRE公司是美國一家從事網絡空間安全領域威脅建模、情報分析的公司，其主要能力就是分類建模。ATT & CK（Adversarial Tactics，Techniques and Common Knowledges，對抗性戰術、技巧和常見知識）將攻擊相關上下文信息用更加標準和抽象的方式總結成了初始訪問、駐留、橫向移動、命令控制等階段，并且將具體的攻擊行為整理成一個字典，常見的戰術動作都可以在ATT & CK Enterprise中找到。MITRE公司也提出通過一種結構化威脅信息表達式（Structured Threat Information eXpression，STIX）來描述攻擊，其中包括Observables（可觀察對象）、Indicators（上下文關聯）、Incidents（上下文實例）、TTP、Exploit Target（弱點）、Campaign（意圖）、ThreatActors（惡意行為特征）、Courses of Action（反應措施）描述攻擊；便于表達和分享，便于安全自動化，便于引入知識圖譜等新的AI技術。在其官網上就描述了79個APT攻擊組織（188個別名）的相關攻擊用例。

此外，傳統基于邊界管控的網絡安全模型在基于云計算、人工智能的環境下已經不再使用，著名研究機構Forrester的首席分析師約翰·金德維格在2010年提出了零信任（Zero Trust）安全模型，該模型基于以下幾點假設。

（1）應該始終假設網絡充滿威脅。

（2）外部和內部威脅每時每刻都充斥著網絡。

（3）不能僅依靠網絡位置（是否內外網）來建立信任關系。

（4）所有設備、用戶和網絡流量都應該被認證和授權。

（5）訪問控制策略應該是動態的、基于盡量多的數據源進行計算和評估的。

基于以上假設，模型建議了5項ABCDE原則：Assume nothing（不做任何假定）、Believe nobody（不信任任何人員）、Check everything all the time（隨時檢查一切）、Defeat Dynamic threats/risks（防范動態威脅）、Expect and prepare for the worst（做好最壞打算）。

2. 提升組織能力

確立數據驅動的安全管理方法，可以借助大數據和人工智能。對于那些采用已知樣本、攻擊和漏洞特征的網絡攻擊可以通過機器發現。而采用0Day、1Day未知漏洞的攻擊方法，需要采用“人+機器”的方法，并且人起到關鍵性作用，需要把人的知識驅動和機器的數據驅動結合起來，提高整體效能。

如何結合人和機器讓安全工作日常化，Gartner推出了安全運營的方法論。

（1）安全運營模型。

OODA模型用來描繪一個典型的安全運營流程。OODA即Observe（觀察）、Orient（調整）、Decide（決策）、Act（行動）。

①Observe（觀察）：通過各種檢測、分析工具［如SIEM（Security Information and Event Management）類工具］找到威脅線索，如告警信息。

②Orient（調整）：對產生告警的內容做調查、豐富化。例如，查找外網域名的威脅情報，查找IP的歷史行為協助研判等。

③Decide（決策）：判定是否需要對此告警采取行動，如是否需要封禁、是否影響業務、是否需要進一步觀察。

④Act（行動）：執行確定的安全策略并驗證。每一步都對下一步提供了指導，周而復始，構成了一個良性的進化循環，不斷優化企業的安全運營流程以應對不斷變化的安全威脅。

（2）SOAR（Security Orchestration，Automation and Response，安全編排、自動化與響應）。

SOAR指的是一種技術，它使企業收集安全運營團隊所關注的輸入，如源自SIEM和其他安全技術的告警。另外，此安全技術可進行事件分析與分類，綜合運用人類分析師和計算機的處理能力來幫助定義、排序和驅動按標準工作流程執行的安全事件響應活動。企業可使用SOAR工具來數字化地定義事件分析與響應工作流程，使用編排技術將企業的安全運營流程數字化管理。

編排的元素包含了人工操作與自動化執行兩部分，編排的結果是一系列的預案。在預案執行中可以使用類似工單的技術驅動責任人與狀態的流轉，執行結果可以保存為知識庫、案例庫。

其中，人工操作包括安全事件鑒別、調查取證、應急響應、判斷決策等內容，而自動化（機器）執行包括通過與外部設備/系統的集成，自動化完成安全事件上下文豐富化、持續追蹤、聯動處置等方面的內容。

一方面，應該有足夠崗位編制的保障，建立一支“技術扎實、能力過硬、善打硬仗”的技術運維團隊，很多單位的網絡安全管理部門的人員嚴重不足。在實際工作中，除了安全管理，還需要適當的專業安全技術和運維服務人員來做分析、判斷和響應處置工作。

另一方面，針對社會工程學攻擊，需要通過網絡安全意識培訓提升全員安全意識。可以圍繞日常生活和工作所涉及的信息安全問題、事件展開，并以多種形式展現，時刻吸引參訓者的注意力，使他們對個人和企業信息安全保護感同身受。培訓內容及展現形式必須能夠有所觸動，使其印象深刻，形成自覺保護個人和企業信息的主觀意愿，使參訓者了解缺乏信息安全基本常識、安全意識薄弱的危害和后果，使其對侵害個人和企業信息的行為保持警惕性，杜絕僥幸心理。意識培訓的效果可以在日常工作中通過人工的測試、檢查和數據分析來驗證。

3. 相關制度流程保障能力建設

在網絡安全法的時代，安全問題已經不只是某個單位內部的技術問題，而是涉及履行法律義務的問題。相關的制度流程是保證策略落地的重要保障環節，主要關注網絡安全風險策略制定、新技術風險評估、安全生命周期管理、安全應急響應、安全績效考核及運用等內容。