采用威胁框架，度量和提升网络安全防护体系

王小丰

在合规建设的基础上有效推动安全防护体系的能力提升是一个较好的方案，我们要在实践中运用威胁框架，增强防护体系的威胁对抗能力。

前面的嘉宾介绍了在云端如何建立安全的防护体系，同时我们也注意到安全的最终目的是为了保障安全、对抗攻击者。如何去度量我们的防护体系到底有没有效果？这是我汇报的主要内容。

现在的网络应用场景越来越复杂，网络攻击者越来越多，有两个典型的数据：一是恶意代码样本种类增加了400倍，这是20年的变化情况。安天引擎本地检测规则增加了500倍。并且不是单纯的种类增加，每个种类里面的技术也相对增加了。二是SNORT的默认生效规则数量，从2003年的2345条到2019年的11629条，16年间增加了约4倍。

一方面是攻击种类、攻击方法的增加，另一方面是攻击复杂度的剧增。企业在这些年的发展情况是一个典型传统架构的防护体系，为了保证对IT场景的覆盖，需要做这些安全措施：比如网络安全能力、安全运行支撑性措施、应用与数据层、设备与计算层等，要对各个场景进行安全覆盖。进一步对比私有云场景，我们会发现在供给数量上会剧增，做到云化安全防护之外，还要做到云平台的基础防护。如果是高度依赖IT的企业，多元混合云成为了选择，防护体系和安全场景也会进一步增加。

综合来看，网络攻击的技术手法、应用场景和防护体系、APT攻击行动的复杂性和危害性均在剧增，安全防护体系要想有效，亟待提升面向对抗效果的评估方式和指引能力。

业内和科研界对如何做出有效的防护体系也进行了探索，但我们如何去度量这些实践的有效性呢？我认为最重要的还是要从实际防护的效果出发，难免会碰到两个问题：一是不可能模拟出完整的攻击效果;二是我们会发现，尤其是APT的隐蔽性和长期性，我们不一定能够发现真正的实际效果，不一定能够保证这些效果。

如今，大数据领域的威胁框架比较多，我们举的例子是ATT&CK，目前被业内广泛采用的威胁框架，这个框架有三个特点：一是从攻击者的视角和攻击过程的整体分析来说较为全面。同时，它给出了整个攻击行动之后应该采用的对抗行为。二是可以形成有效的知识库，指导防御方通过采集+分析来识别攻击行为。三是发展前景良好，获得安全研究人员和安全厂商的广泛支持。

关于ATT&CK威胁框架的三个域览：一是企业域，二是移动域，三是工控域。企业域主要运用于公共平台，包括云平台。如果要对比的话，针对其他的研究模型来看，企业域主要应用于攻击发起之前的攻击组织活动。我们把整个威胁框架翻译了一下，大概有十多类技术，细化到每一类技术中分别有20多种相关战术。

目前从业内应用来看主要有两大类：一是针对攻击事件和攻击组织的分析。比如，针对APT29空间组织的分析，目前来看通过这种方式可以刻画出攻击组织经常采用的计算数，发现攻击组织的计算数变化，同时监测如何防护。二是度量自身的防护体系，通过将整个威胁框架进行覆盖，对自己应用的IT场景进行覆盖，形成改善措施。

从我们对分析者的追踪过程发现三种能力较为重要：一是验证和提升产品能力，二是提升威胁对抗能力，三是评估和改进系统安全性。

在真正的攻击实践中往往会出现三个情况：一是在自己的IT场景中不可能把安全场景做全，二是不可能把安全场景做到最细，三是思考如何对抗威胁。比如折纸攻击战术相对而言不是那么高超，它是通过数源分析，用少量的攻击资源不停地伪装、变换、隐藏自己，我们就称其为“折纸”。比较有意义的是其至今仍然活跃，在隔离了内网的情况下仍然可以去传播，去窃密。

我们针对“折纸”攻击行动的应对措施分析：一是进行传统的攻击战术分析，二是把战术分析的情况映射到整个ATT&CK威胁框架的技术和战术上，三是应用了ATT&CK框架中提供的SHIELD框架映射。因为，SHIELD框架中强调了蜜罐、诱捕，及时将攻击者的攻击行动引入到蜜罐环境中或者密码环境中捕获威胁，能够有助于更好的给自己留下时间窗，形成改善整个安全策略的时间，进而映射到整个威胁行为，将威胁行为编排到各个安全产品中。四是制定对抗方案，这时候会把对抗策略大量地分发到蜜罐、密码中，少量分发到防火墙中，形成整个对抗技巧，可以快速对抗APT的攻击组织。

在合规建设的基础上有效推动安全防护体系的能力提升是一个比较好的方案，威胁框架提供了非常好的面向对抗的评估方式与提升指引。我们做了很多方法论的探索和技术指南的探索，但面对真正实战效果和对抗效果的评估仍非常重要的。

网络是人和人的对抗，从我们掌握的ATT&CK框架上来讲，它是对攻击型战术的总结，千万不要因为建立了ATT&CK框架就认为建立了所有的安全感，不要以为建立了框架就建立了对抗所有攻击的能力。在实践中运用威胁框架，全面增强防护体系的威胁对抗能力，才能达成保证体系对客户有效方面的安全价值。

（根据演讲内容整理，未經本人审核）