1.3.3　自適應安全架構3.0

2018年，ISC發布的十大安全趨勢中，正式確認了持續自適應風險與可信評估（CARTA）的安全趨勢，而持續自適應風險與可信評估也是自適應安全架構3.0的核心元素。自適應安全架構3.0添加的內容較多，對模型名字也進行了修改。Gartner在2017年發布的《在高級威脅的時代使用“持續自適應風險與可信評估”的方法來擁抱數字商業機會》報告中提到了持續自適應風險與可信評估，并把原有的自適應安全架構2.0升級到3.0，自適應安全架構3.0如圖1-5所示。

圖1-5　自適應安全架構3.0

相比于2.0版本，自適應安全架構3.0最大的變化是多了關于訪問認證的防護內環，并將自適應安全架構2.0作為攻擊的防護外環。自適應安全架構2.0沒有考慮訪問認證的安全問題，導致架構不完整。如果黑客獲取了有效的認證內容，比如用戶名和密碼，自適應安全架構會認為此類入侵是“可信”的，這樣無法做到感知威脅。

在云時代，云訪問安全代理（CASB）解決了部分認證的問題，Gartner同時使用自適應安全架構的方法論對CASB的能力架構進行了全面的分析，以CASB作為原型應用到3.0總體架構中。CASB自適應架構的核心在于認證，包括云服務的發現、訪問、監控和管理。

如果認證體系只是一次性認證，沒有持續監控和驗證，就一定存在認證信息被竊取的安全風險，因為必須對訪問認證活動進行持續的監控、分析以及響應，實現認證風險的閉環管理。CASB自適應威脅保護架構如圖1-6所示。

圖1-6　CASB自適應威脅保護架構

自適應安全架構的變化反映出自適應安全架構3.0對于認證領域（IAM）的重視，并將攻擊保護側和訪問保護側分別定位為將試圖繞過認證的惡意行為驅趕出來，讓正常的、有授權的正常行為進入。

如果把內外環換個順序，感覺會更直觀一些。一般來說，系統授權的用戶是接觸訪問后再接觸內部系統。自適應安全架構的適用場景變得更為廣泛，包括安全響應、數據保護、安全運營中心、雙模IT、開發安全運維、物聯網、供應鏈安全、業務持續和災難恢復等領域。

展望自適應安全架構的未來，開發安全運維（DevSecOps）和欺騙系統（Deception System）這兩個方向是自適應安全架構關注的重點，隨著自適應安全架構的演變，未來很有可能把這兩個方向加入自適應安全架構。開發安全運維的想法提出了很多年，對于解決安全的本質問題很有意義。目前，開發安全運維慢慢成為主流，所謂安全，就是要從系統自身出發，解決安全風險問題，也就是大家常說的“內生”安全。而欺騙系統的重要性雖然也被提出來了，但是作為邊緣產品，是否能得到甲方的全面認可，還要看市場的反饋。但是在這幾年攻防實戰演習中，欺騙系統已經在攻防實戰演習中得到應用，并取得了不錯的效果。

自適應安全架構發展了5年，它的內涵和外延不斷擴展，表現出了極大的生命力，無論作為安全甲方還是安全乙方，都有很大的參考價值。安全建設方可以按照此架構梳理整個組織的安全狀況，構建完整的安全建設方案，盡量選擇自適應能力更強的廠商來改善整體安全態勢。安全廠商可以根據此架構規劃功能和能力，不斷增強和加深自適應的各項安全要求。