安全圈的老司机赵武前辈写了一篇“构建基于攻防实效的安全体系,有效解决通报问题”的文章,提出了从技术层面来解决企业现目前不胜其烦的安全通报问题。其观点提出:一是摸清家底,构建完整的资产库,聚焦“靶标漏洞”;二是结合业务,联防联控,构建快速响应机制;三是识别未知风险。结合我对安全的观察与分析,我认为,目前能够有效解决企业面临的安全风险,进而规避通报问题的有效方式是建立企业的安全文化基因。

对于一个企业,主张安全文化的建设要“将企业安全理念和安全价值观表现在决策者和管理者的态度和行动中,落实在企业的管理制度中,将安全管理溶入企业整个管理的实践中,将安全法规、制度落实在决策者、管理者和员工的行为方式中,将安全标准、技术、产品等落实在企业运营的业务、流程和应用中,由此构成一个良好的安全文化气氛。通过安全文化的建设,影响企业各级管理人员和员工的安全自觉性,以文化的力量保障企业安全制度和安全体系的持续运营。”这样才能抓住企业目前安全建设的实质和根本内涵。

如何来落实企业的安全文化建设?在我看来,通过网络靶场可构建企业的安全文化,网络靶场是建立企业安全文化的一种手段和工具。具体来说,在赵武前辈攻防实效的安全体系的基础上,基于网络靶场构建基于攻防实效的安全文化体系,主要包含四个阶段:

一是企业攻击面分析:摸清家底,构建完整的资产库和网络拓扑,聚焦“靶标漏洞”。攻击面分析需要从网络安全角度梳理企业的“攻击暴露面”,通过分析企业组织体系的“攻击暴露面”并建立安全知识库。安全知识库除了聚焦“靶标漏洞”,还得包括企业的安全策略、管理制度、人员习惯等影响“攻击暴露面”的内容。基于收集和评估的企业“攻击暴露面”知识数据,企业攻击面分析需要对这些知识进行进一步处理,目标是通过网络靶场的仿真数据/安全事件构造工具生成针对性的综合安全事件(针对性的流量、攻击等模拟)。

在此阶段,网络靶场具备或者提供的能力是:①企业组织体系资源管控能力,该能力能够识别或梳理企业中网络可达的完整的资产库,建立捕获“靶标漏洞”在技术方面所需信息(例如已识别资产的类型和版本以及对应的CVE漏洞等)的能力(或集成、对接目前各大安全厂商安全监测平台的能力);②建立企业“攻击暴露面”安全行为基线,比如攻击路径分析,为构造安全事件提供数据和基准。

二是企业网络靶场环境:结合企业网络、资产和业务等内容,将企业的生产环境复制到网络靶场中,建立监测与仿真体系。监测体系要求在企业的生产环境中安装安全监测采集探针,对企业网络、业务及人员等建立操作行为建立数据采集。这些采集的数据将作为整体体系中重要的评估环节的原始数据。仿真体系使用虚拟化技术和仿真技术、以及结合不可模拟的实际设备对企业的生产环境进行复制,建立孪生环境或镜像副本。同时,仿真体系还需要根据企业的“攻击暴露面”分析,针对性构造网络安全事件、防御者的防御工具和技术、攻击者的工具(战术)和技术等亚历山大•科特(Alexander Kott)所述的网络空间安全概念模型的4元组内容。

在此阶段,网络靶场具备或者提供的能力是:①具备对企业的运营资产、网络、系统及人员等进行安全监测的能力,建立全方位的安全检测体系(或者集成、对接各个安全厂商的安全监测平台及态势感知系统等);②具备对企业网络空间场景/组织的基础结构进行建模的能力。主要包含网络空间靶场需要构造或合成的4元组,即{ I:网络事件,可以理解为不应该发生的网络安全事件}、{Td:防御者的防御工具和技术}、{Nd:防御者的运营资产,网络和系统}、{ Ta:攻击者的工具(战术)和技术}。

三是结合业务建模培训:根据企业“攻击面分析”和“网络靶场环境”,针对企业的业务特殊需求量身定制结合业务的建模培训内容,这些培训内容是针对企业的“攻击暴露面”进行的针对性培训,将在“网络靶场环境”中对企业的“攻击暴露面”进行还原,并要求企业员工在“网络靶场环境”中,结合孪生的实际业务操作环境,练习、演练企业暴露面收敛,学习培训的相关安全教材(例如讲座、教程、意识视频等),并基于靶场仿真,构建基于业务的剧情式培训演练和应急响应机制。

在此阶段,网络靶场具备或者提供的能力是:①具备结合企业业务及“攻击暴露面”建模培训内容的能力,靶场将在企业的复制环境中,能够建模构造可能引发的攻击战术、防御策略以及综合安全事件,并将可能性引入到培训环节对学员进行安全应对培训和指引;②具备提供学员快速场景构建及场景还原的测试和评估新的策略和技术的能力。

四是企业监测评估反馈:通过在第二阶段建立的监测体系,将实时监测企业生产环境和企业网络靶场环境。在靶场环境中,通过培训完成后,监测体系将显示每个学员和整个计划的结果。监测体系将对培训的结果做一个初步的评估。然后,监测体系将在企业生产环境中,监测学员的安全培训习惯和技能操作行为反馈,并最终评估是否达到培训的效果,如果监测显示,某项制度或技术在培训后,在企业的生产环境实际操作中,学员还是没有遵循安全培训的要求,企业可将该学员再次回返到企业靶场的孪生环境,再次进行针对性训练,直到学员养成安全习惯,变成学员自身的行为习惯为止。

在此阶段,网络靶场具备或者提供的能力是:①具备企业生产环境和靶场复制环境操作行为和操作培训监测采集、分析评估的能力。网络靶场需在培训阶段结束后在生产环境继续审核学员的操作行为,目的是捕捉学员是否真正运用了自己的培训能力,建立了安全意识和操作习惯。②具备长期运营的能力,靶场需要在企业的业务和安全运营中一直进行不间断的安全运营,为企业的安全文化建立提供运营手段。

网络空间安全是此消彼长、对抗激烈的高科技较量,其能力的提升依赖于安全人员、攻防装备、技战法等多个方面的整体进步。而这些方面的进步,无不需要紧贴企业实际的安全需求,紧贴业务运行动态,反复检验、改进和完善。只有将安全文化融入到企业的文化基因,凝结起来一种文化氛围,将员工的安全观念、安全意识、安全态度、安全技能、行为习惯、以及对安全价值的理解和领导及个人所认同的安全原则和接受的行为方式。才能很好的解决网络安全层面对企业现目前困扰问题。

通过安全观念文化的建设,影响决策者、管理者和员工对安全的正确态度和意识,强化企业每一个人的安全意识。安全运营和安全文化,是提升企业安全保障体系长治久安的固本之举。

声明:本文来自时间之外沉浮事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。