安全圈的老司機趙武前輩寫了一篇“構建基于攻防實效的安全體系,有效解決通報問題”的文章,提出了從技術層面來解決企業現目前不勝其煩的安全通報問題。其觀點提出:一是摸清家底,構建完整的資產庫,聚焦“靶標漏洞”;二是結合業務,聯防聯控,構建快速響應機制;三是識別未知風險。結合我對安全的觀察與分析,我認為,目前能夠有效解決企業面臨的安全風險,進而規避通報問題的有效方式是建立企業的安全文化基因。
對于一個企業,主張安全文化的建設要“將企業安全理念和安全價值觀表現在決策者和管理者的態度和行動中,落實在企業的管理制度中,將安全管理溶入企業整個管理的實踐中,將安全法規、制度落實在決策者、管理者和員工的行為方式中,將安全標準、技術、產品等落實在企業運營的業務、流程和應用中,由此構成一個良好的安全文化氣氛。通過安全文化的建設,影響企業各級管理人員和員工的安全自覺性,以文化的力量保障企業安全制度和安全體系的持續運營。”這樣才能抓住企業目前安全建設的實質和根本內涵。
如何來落實企業的安全文化建設?在我看來,通過網絡靶場可構建企業的安全文化,網絡靶場是建立企業安全文化的一種手段和工具。具體來說,在趙武前輩攻防實效的安全體系的基礎上,基于網絡靶場構建基于攻防實效的安全文化體系,主要包含四個階段:
一是企業攻擊面分析:摸清家底,構建完整的資產庫和網絡拓撲,聚焦“靶標漏洞”。攻擊面分析需要從網絡安全角度梳理企業的“攻擊暴露面”,通過分析企業組織體系的“攻擊暴露面”并建立安全知識庫。安全知識庫除了聚焦“靶標漏洞”,還得包括企業的安全策略、管理制度、人員習慣等影響“攻擊暴露面”的內容。基于收集和評估的企業“攻擊暴露面”知識數據,企業攻擊面分析需要對這些知識進行進一步處理,目標是通過網絡靶場的仿真數據/安全事件構造工具生成針對性的綜合安全事件(針對性的流量、攻擊等模擬)。
在此階段,網絡靶場具備或者提供的能力是:①企業組織體系資源管控能力,該能力能夠識別或梳理企業中網絡可達的完整的資產庫,建立捕獲“靶標漏洞”在技術方面所需信息(例如已識別資產的類型和版本以及對應的CVE漏洞等)的能力(或集成、對接目前各大安全廠商安全監測平臺的能力);②建立企業“攻擊暴露面”安全行為基線,比如攻擊路徑分析,為構造安全事件提供數據和基準。
二是企業網絡靶場環境:結合企業網絡、資產和業務等內容,將企業的生產環境復制到網絡靶場中,建立監測與仿真體系。監測體系要求在企業的生產環境中安裝安全監測采集探針,對企業網絡、業務及人員等建立操作行為建立數據采集。這些采集的數據將作為整體體系中重要的評估環節的原始數據。仿真體系使用虛擬化技術和仿真技術、以及結合不可模擬的實際設備對企業的生產環境進行復制,建立孿生環境或鏡像副本。同時,仿真體系還需要根據企業的“攻擊暴露面”分析,針對性構造網絡安全事件、防御者的防御工具和技術、攻擊者的工具(戰術)和技術等亞歷山大?科特(Alexander Kott)所述的網絡空間安全概念模型的4元組內容。
在此階段,網絡靶場具備或者提供的能力是:①具備對企業的運營資產、網絡、系統及人員等進行安全監測的能力,建立全方位的安全檢測體系(或者集成、對接各個安全廠商的安全監測平臺及態勢感知系統等);②具備對企業網絡空間場景/組織的基礎結構進行建模的能力。主要包含網絡空間靶場需要構造或合成的4元組,即{ I:網絡事件,可以理解為不應該發生的網絡安全事件}、{Td:防御者的防御工具和技術}、{Nd:防御者的運營資產,網絡和系統}、{ Ta:攻擊者的工具(戰術)和技術}。
三是結合業務建模培訓:根據企業“攻擊面分析”和“網絡靶場環境”,針對企業的業務特殊需求量身定制結合業務的建模培訓內容,這些培訓內容是針對企業的“攻擊暴露面”進行的針對性培訓,將在“網絡靶場環境”中對企業的“攻擊暴露面”進行還原,并要求企業員工在“網絡靶場環境”中,結合孿生的實際業務操作環境,練習、演練企業暴露面收斂,學習培訓的相關安全教材(例如講座、教程、意識視頻等),并基于靶場仿真,構建基于業務的劇情式培訓演練和應急響應機制。
在此階段,網絡靶場具備或者提供的能力是:①具備結合企業業務及“攻擊暴露面”建模培訓內容的能力,靶場將在企業的復制環境中,能夠建模構造可能引發的攻擊戰術、防御策略以及綜合安全事件,并將可能性引入到培訓環節對學員進行安全應對培訓和指引;②具備提供學員快速場景構建及場景還原的測試和評估新的策略和技術的能力。
四是企業監測評估反饋:通過在第二階段建立的監測體系,將實時監測企業生產環境和企業網絡靶場環境。在靶場環境中,通過培訓完成后,監測體系將顯示每個學員和整個計劃的結果。監測體系將對培訓的結果做一個初步的評估。然后,監測體系將在企業生產環境中,監測學員的安全培訓習慣和技能操作行為反饋,并最終評估是否達到培訓的效果,如果監測顯示,某項制度或技術在培訓后,在企業的生產環境實際操作中,學員還是沒有遵循安全培訓的要求,企業可將該學員再次回返到企業靶場的孿生環境,再次進行針對性訓練,直到學員養成安全習慣,變成學員自身的行為習慣為止。
在此階段,網絡靶場具備或者提供的能力是:①具備企業生產環境和靶場復制環境操作行為和操作培訓監測采集、分析評估的能力。網絡靶場需在培訓階段結束后在生產環境繼續審核學員的操作行為,目的是捕捉學員是否真正運用了自己的培訓能力,建立了安全意識和操作習慣。②具備長期運營的能力,靶場需要在企業的業務和安全運營中一直進行不間斷的安全運營,為企業的安全文化建立提供運營手段。
網絡空間安全是此消彼長、對抗激烈的高科技較量,其能力的提升依賴于安全人員、攻防裝備、技戰法等多個方面的整體進步。而這些方面的進步,無不需要緊貼企業實際的安全需求,緊貼業務運行動態,反復檢驗、改進和完善。只有將安全文化融入到企業的文化基因,凝結起來一種文化氛圍,將員工的安全觀念、安全意識、安全態度、安全技能、行為習慣、以及對安全價值的理解和領導及個人所認同的安全原則和接受的行為方式。才能很好的解決網絡安全層面對企業現目前困擾問題。
通過安全觀念文化的建設,影響決策者、管理者和員工對安全的正確態度和意識,強化企業每一個人的安全意識。安全運營和安全文化,是提升企業安全保障體系長治久安的固本之舉。