青藤云安全细述最具影响力的三大安全架构:零信任、ATT&CK、自适应安全
星期一, 十一月 4, 2019
随着安全的快速发展,为应对和解决各种安全问题,各权威机构以及相关专家提出了很多安全架构,它们对安全发展都具有重大意义。但是,如果一定从中选出几个对当今安全发展影响最大的安全架构,笔者会选择Gartner提出的Adaptive Security Architecture模型(CARTA属于自适应架构3.0)、Forrester提出的Zero Trust模型及MITRE的ATT&CK框架。
Zero Trust和Adaptive Security Architecture是前几年一直火热的理论模型,ATT&CK则是最近一年国内信息安全圈最火热的一个新名词了。相信安全从业人员对于这几个概念或多或少都有了一定的了解,笔者今天想要重点谈一下这三者之间的一些关系。
先说下自适应安全3.0阶段的CARTA模型(持续自适应风险与信任评估),这是自适应安全架构演进后形成的一个概念。CARTA所强调的对风险和信任的评估分析,与传统安全方案采用allow或deny的简单处置方式完全不同,CARTA是通过持续监控和审计来判断安全状况的,强调没有绝对的安全和100%的信任,寻求一种0和1之间的风险与信任的平衡。
那么这三个理论框架之间有什么关系呢?笔者认为要实现CARTA,第一步就是零信任,首先需要评估安全状况,包括验证用户、验证设备、限制访问和权限,最后是自适应的调整策略。然后,在整个安全过程中,安全状况会随时发生变化,其中最主要就是需要面临各种攻击,因此需要进行持续检测,这个时候ATT&CK框架就是一个很好的安全检测和响应模型。
为了更好地理解数字时代的信任,需要先了解“Trust”这个词本身的含义。所谓信任,是两个实体之间建立的一个彼此连接关系,这个关系要求彼此能够按照预期的方式做事。在这个过程中,需要监视在彼此交互期间双方是否在约定的预期范围内活动。如果发生风险性的偏差,就需要纠正此类偏差甚至是中断彼此的信任关系。在这里需要强调的是,信任并不是绝对的,而是一个相对的概念,并且是一个动态变化的关系。
在了解了Trust的概念之后,就比较容易了解网络安全概念中所谓的Zero Trust(零信任)了。零信任网络是指,所有初始安全状态的不同实体之间,不管是企业内部还是外部,都没有可信任的连接。只有对实体、系统和上下文的身份进行评估之后,才能动态扩展对网络功能的最低权限访问。
零信任网络默认使用Deny作为起点。在授予网络访问权限之前,要对实体和设备的身份和信任进行评估。当然,Gartner提出的CARTA模型,已经扩展到了网络之外,包括IT堆栈、风险合规治理流程等方面。在交互过程中不断监视和评估风险和信任级别,如果发现信任下降或风险增加到了阈值,需要进行响应,则应该相应地调整访问策略。
CARTA战略流程
此外,CARTA在战略方法中强调,在交互期间持续监视和评估实体及其行为。在自适应安全架构中,CARTA战略总共包括七个步骤,零信任可以作为其第一步,如下图所示。
CARTA战略的七个步骤
在CARTA的自适应攻击防护架构中,采用的正是零信任策略,如下图右上角红框内容所示。采用零信任架构是防护的第一步,可以很好地应对内部攻击。在建立一定程度的信任连接之前,会对系统进行加固和隔离,所有微隔离的Projects之间都是采用零信任网络连接。而CARTA进一步扩展了零信任的概念,并将攻击防护视为一个持续的风险和信任评估过程,如下图深蓝色部分所示。在图形的中心,CARTA还扩展了网络之外的功能。例如,CARTA在系统上运行时监视可执行代码,以发现恶意行为和风险的迹象,即使它通过了初始风险和信任评估。这就是被称为终端检测和响应的EDR技术。
采用零信任实现自适应攻击防护
同样,在CARTA自适应的访问防护架构中,初始安全状态都是默认deny状态,如下图右上角的红框所示。在对用户的凭据、设备和上下文进行评估之前,用户没有任何访问权限。因此,在建立足够的信任级别之前,不应该授予访问权限。CARTA进一步扩展了零信任的概念,并将访问保护视为一个持续的风险和信任评估问题,如下图的深绿色部分所示。在图形的中心,CARTA还扩展了网络访问之外的功能。例如,CARTA战略方法监视用户的风险行为,即使他们已经通过了初始风险和信任评估,并被授予了对应用程序的访问权。这就是被称为用户和实体行为分析的UEBA。
采用零信任实现自适应访问防护
CARTA和ATT&CK一样,都非常关注检测和响应部分的实现。而ATT&CK作为入侵分析“钻石”级别的模型,能够增强企业的检测和响应能力。那么,如何根据ATT&CK框架来检查目前安全产品的整体覆盖度,进行全面的差距分析,以及如何将ATT&CK所涵盖的技术点融入到产品中去,这些都是值得大家思考的问题,这也是自适应安全架构最核心的检测和响应部分内容。(建议读者先阅读一下笔者之前的文章《一文看懂ATT&CK框架以及使用场景实例》和《细述MITRE ATT&CK框架的实施和使用方式》,对ATT&CK框架的概念、使用场景、以及实施和使用方式先有一个初步的了解,这更有利于理解文本的内容涵义。)
ATT&CK框架核心就是以矩阵形式展现的TTPs,即Tactics, Techniques and Procedures(战术、技术及步骤),是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。因此,TTPs也是痛苦金字塔中对防御最有价值的一类IoC。当然这也意味着收集TTPs,并将其应用到网络防御中的难度系数是最高的。而ATT&CK则是有效分析攻击者行为(即TTPs)的威胁分析框架。
Bianco 提出的痛苦金字塔
ATT&CK使用攻击者的视角,比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。对于检测,虽然很多防御模型会向防御者显示警报,但不提供引起警报事件的任何上下文,例如从防御者的视角自上而下地介绍安全目标的CIA模型、侧重于漏洞评级CVSS、主要考虑风险计算的DREAD模型等。这些模型只能形成一个浅层次的参考框架,并没有提供导致这些警报的原因以及与系统或网络上可能发生的其它事件的关系。
而ATT&CK框架提供了对抗行动和信息之间的关系和依存关系,防御者就可以追踪攻击者采取每项行动的动机,并了解这些行动和依存关系。拥有了这些信息之后,安全人员的工作从寻找发生了什么事情,转变为按照ATT&CK框架,将防御策略与攻击者的手册对比,预测会发生什么事情。这正是CARTA所倡导的“预防有助于布置检测和响应措施,检测和响应也有助于预测”。
使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源,企业需要对数据质量、数量内容等方面进行管理。可以使用MITRE ATT&CK导航工具,按下图所示方式将数据源映射到ATT&CK技术,进行可视化展示。
数据源可视化示例
其次,对于企业机构来说,知道威胁主体使用了哪些ATT&CK技术,这一点也至关重要。组织机构可以根据MITRE ATT&CK知识库中存在的威胁组织和恶意软件创建热力图。将威胁组织使用的技术与企业的检测或可见性水平进行比较,确定哪些方面可能存在差距,需要改进,从而增强检测和事件响应能力。下图显示了一个基于ATT&CK中所有威胁组织数据的热力图。热力图中的颜色越深,则表示攻击组织使用该技术的频率就越高。
基于威胁组织的热力图
例如,某些ATT&CK技术与自身组织机构相关。那么,组织机构就可以将其与当前的检测状态进行直观比较,确定在ATT&CK技术方面可能存在的差距或改进之处。
将威胁主体攻击技术与企业的检测结果进行比较
最后,基于上述分析,以ATT&CK框架为基础实现检测方案的可视化,然后对检测方案进行评分(如下图所示),管理检测和响应方案。
显示检测方案分数的热力图示例
Zero Trust和ATT&CK架构都是从攻击者的视角出发看问题,颠覆了传统上的纯粹防御安全观念,与CARTA倡导的安全人员应该通过理解上下文和持续风险评估来灵活调整安全策略的理念有诸多异曲同工之处。
鉴于在安全领域,防御者始终处于一个敌暗我明的天生劣势,因此,安全人员应该采用零信任的态度,并主动提高安全检测能力,才是根本之策。CARTA蓝图可以帮助大家实现这一目标,而Zero Trust和ATT&CK框架则是成功落实该理念的关键保障。