“實戰是檢驗網絡安全建設成果的唯一標準,建立技術型、可量化的能力評價體系又是實戰常態化的基礎。”
為了幫助企業快速發現自身安全建設中存在的短板和盲區,有效提升真實網絡環境下企業自身對威脅的識別、響應在實際運行下的安全能力,斗象科技協助公安部第三研究所信息網絡安全公安部重點實驗室制定了網絡安全實戰能力評價體系。旨在通過技術性、可量化的評估方式,摸清企業實戰防護能力整體水平與成熟度底數,分析、發現短板和盲區,促進各組織安全體系、安全系統、安全設備的實際攻防能力效果的穩步提升。
企業對自身網絡安全實戰能力的認知需求
隨著0day攻擊、APT攻擊、勒索軟件等威脅愈發嚴重,安全對抗的水平不斷提高,企業安全建設逐漸由合規驅動轉變為實戰驅動。然而,傳統的網絡安全建設往往側重于理論上的頂層設計,安全系統、安全設備能力大多依賴于安全廠商的維護,忽視了其在實戰執行、實際運行中的有效性和滯后性可能,這導致大部分企業在安全體系落地上存在諸多瓶頸,如:
實戰防護能力現狀不清晰。經過近些年的合規建設,組織大多建設了自身的網絡安全防護體系,但對現有體系在實戰中能否有符合預期的表現,缺少清晰、量化的評價手段;
實戰防護能力建設缺乏指標指引。與傳統基于合規的安全防護體系建設不同,基于實戰的安全防護體系建設需要面臨更加復雜多變的情形,在沒有豐富實戰經驗的情況下如何科學、有效地構建實戰防護體系成為組織的迫切需求;
防護體系盲區難以發現。安全體系建設具備典型的“木桶效應”,這一點在實戰中尤為凸顯,而常規的安全評估及安全測試手段,難以體系、全面地尋找安全建設的短板及盲區。
網絡安全實戰能力評價體系
為了幫助企業清晰認識并解決上述痛點,斗象科技通過多年來積累的實戰攻防經驗,以“以攻促防”為目標、以“常態化安全運營”為導向,協助公安部三所制定《網絡安全實戰能力評價》體系,將安全實戰能力劃分為6大安全域、36個能力項、108個評價維度、數百個能力指標。從資源、技術、管理三個評價維度入手,采用人工評估+工具驗證的方式,對每個能力指標進行量化評估和成熟度打分,為企業提供一套針對實戰安全能力建設可參考的標準及能力提升方向。
圖 1 實戰能力全景圖
6大安全域
《網絡安全實戰能力評價》包含六大安全域(如表1)。這六個安全域形成了一條囊括了包括安全管理、日常運營、安全事件、安全漏洞、內外部威脅、安全情報等安全活動和安全要素全生命周期中重要的安全控制要求的鏈條,能夠映射到網絡攻擊殺傷鏈的不同階段,采用縱深防御的思想,力求讓攻擊者在殺傷鏈的每個環節舉步維艱,避免攻擊者攻擊意圖的實現。
表 1 《網絡安全實戰能力評價》六大安全域
36個能力項
作為對安全域的進一步細化,能力項描述了企業從物理到網絡、從硬件到軟件、從內部到外部所應具備的一系列安全實戰能力。《網絡安全實戰能力評價》體系對六個安全域共細分出36個能力項。每個能力項都包含從資源、管理、技術三個維度量化出的若干指標項的體系評價。
圖 2 能力項及評級維度
安全能力評分方式及能力等級劃分
《網絡安全實戰能力評價》體系參考了國際標準和最佳實踐,具備通用性和可操作性,并結合了中國國情和實戰攻防特點,可以根據企業的實際需求進行針對性量化評估,從“資源投入、管理流程、技術有效性”三個維度科學計算得到各個能力項的得分,進而客觀分析出企業安全實戰能力水平處于何種等級。
評分方式
該評價體系中的評價項主要分為體系評估和技術驗證評估,最終評分采用兩者加權的方式計算出來。其中,體系得分由六大安全域得分加權而來,而安全域得分則由安全域下的各項能力項加權而來,依次類推。技術驗證得分也同樣是這種層層遞進的關系。
圖 3 網絡安全實戰能力評分方式
技術驗證評估主要針對防護、檢測和響應三個安全域中的部分能力項。這些技術驗證項會通過人工驗證+自動化驗證的方式,在確保不影響業務的前提下,采用從真實攻擊場景中提取的無害化攻擊方法,對企業對應的安全能力進行實戰化測試。
圖 4 技術驗證架構
為了更精確地評價不同企業在不同場景下的安全能力,該體系引入了“不適用項”概念。避免一些在現實環境中不會對某些企業安全狀態產生影響的能力項拉低整體分數,導致最終評價與企業真實安全狀態之間出現過大差距。另外,對于一些嚴重影響到企業安全的能力項,該體系還設計了一票否決項,確保關鍵安全能力/指標相對于同組其他能力/指標的優先級。
能力等級劃分
根據企業在上述評價體系中的最終得分,可對企業安全實戰能力的綜合水平做出等級劃分,按照由低到高的順序依次分為初始級、基礎級、增強級和優化級四個級別。表2詳細說明了在這種能力等級劃分方法下,每個等級在概念上對企業安全建設的要求。
表 2 能力等級劃分
證書樣例
完成評估后,信息網絡安全公安部重點實驗室會頒發對應等級的《網絡安全實戰能力評價》證書,該證書表示在有效期內,企業具備相應等級的安全能力用以應對實戰環境下的各種安全挑戰。
圖 5 網絡安全實戰能力評價證書樣例
不同于常態化的安全評估工作,網絡安全實戰能力評價體系不僅將關注點從單一的人員、系統層面,拓展到評估整個企業的信息資產是否安全,還能幫助企業建立有效的安全評估和監督機制,利用周期性的評價——整改——再評價的方式對整個安全建設的實施情況和效果進行閉環監測,確保相關網絡安全風險得到有效控制。
此次推出的“網絡安全實戰能力評價體系”,充分迎合了當前我國實戰常態化為目標的網絡安全建設趨勢,并就企業如何對自身的安全體系進行查漏補缺和進一步完善給出了基于實戰的經過驗證的可行性路徑。這對于甲方企業以及自身專業安全能力的成熟和人才的培養都極具價值。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。