2023-04-19 15:26:09 东方财富周刊
“实战是检验网络安全建设成果的唯一标准,建立技术型、可量化的能力评价体系又是实战常态化的基础。”
为了帮助企业快速发现自身安全建设中存在的短板和盲区,有效提升真实网络环境下企业自身对威胁的识别、响应在实际运行下的安全能力,斗象科技协助公安部第三研究所信息网络安全公安部重点实验室制定了网络安全实战能力评价体系。旨在通过技术性、可量化的评估方式,摸清企业实战防护能力整体水平与成熟度底数,分析、发现短板和盲区,促进各组织安全体系、安全系统、安全设备的实际攻防能力效果的稳步提升。
企业对自身网络安全实战能力的认知需求
随着0day攻击、APT攻击、勒索软件等威胁愈发严重,安全对抗的水平不断提高,企业安全建设逐渐由合规驱动转变为实战驱动。然而,传统的网络安全建设往往侧重于理论上的顶层设计,安全系统、安全设备能力大多依赖于安全厂商的维护,忽视了其在实战执行、实际运行中的有效性和滞后性可能,这导致大部分企业在安全体系落地上存在诸多瓶颈,如:
实战防护能力现状不清晰。经过近些年的合规建设,组织大多建设了自身的网络安全防护体系,但对现有体系在实战中能否有符合预期的表现,缺少清晰、量化的评价手段;
实战防护能力建设缺乏指标指引。与传统基于合规的安全防护体系建设不同,基于实战的安全防护体系建设需要面临更加复杂多变的情形,在没有丰富实战经验的情况下如何科学、有效地构建实战防护体系成为组织的迫切需求;
防护体系盲区难以发现。安全体系建设具备典型的“木桶效应”,这一点在实战中尤为凸显,而常规的安全评估及安全测试手段,难以体系、全面地寻找安全建设的短板及盲区。
网络安全实战能力评价体系
为了帮助企业清晰认识并解决上述痛点,斗象科技通过多年来积累的实战攻防经验,以“以攻促防”为目标、以“常态化安全运营”为导向,协助公安部三所制定《网络安全实战能力评价》体系,将安全实战能力划分为6大安全域、36个能力项、108个评价维度、数百个能力指标。从资源、技术、管理三个评价维度入手,采用人工评估+工具验证的方式,对每个能力指标进行量化评估和成熟度打分,为企业提供一套针对实战安全能力建设可参考的标准及能力提升方向。
图 1 实战能力全景图
6大安全域
《网络安全实战能力评价》包含六大安全域(如表1)。这六个安全域形成了一条囊括了包括安全管理、日常运营、安全事件、安全漏洞、内外部威胁、安全情报等安全活动和安全要素全生命周期中重要的安全控制要求的链条,能够映射到网络攻击杀伤链的不同阶段,采用纵深防御的思想,力求让攻击者在杀伤链的每个环节举步维艰,避免攻击者攻击意图的实现。
表 1 《网络安全实战能力评价》六大安全域
36个能力项
作为对安全域的进一步细化,能力项描述了企业从物理到网络、从硬件到软件、从内部到外部所应具备的一系列安全实战能力。《网络安全实战能力评价》体系对六个安全域共细分出36个能力项。每个能力项都包含从资源、管理、技术三个维度量化出的若干指标项的体系评价。
图 2 能力项及评级维度
安全能力评分方式及能力等级划分
《网络安全实战能力评价》体系参考了国际标准和最佳实践,具备通用性和可操作性,并结合了中国国情和实战攻防特点,可以根据企业的实际需求进行针对性量化评估,从“资源投入、管理流程、技术有效性”三个维度科学计算得到各个能力项的得分,进而客观分析出企业安全实战能力水平处于何种等级。
评分方式
该评价体系中的评价项主要分为体系评估和技术验证评估,最终评分采用两者加权的方式计算出来。其中,体系得分由六大安全域得分加权而来,而安全域得分则由安全域下的各项能力项加权而来,依次类推。技术验证得分也同样是这种层层递进的关系。
图 3 网络安全实战能力评分方式
技术验证评估主要针对防护、检测和响应三个安全域中的部分能力项。这些技术验证项会通过人工验证+自动化验证的方式,在确保不影响业务的前提下,采用从真实攻击场景中提取的无害化攻击方法,对企业对应的安全能力进行实战化测试。
图 4 技术验证架构
为了更精确地评价不同企业在不同场景下的安全能力,该体系引入了“不适用项”概念。避免一些在现实环境中不会对某些企业安全状态产生影响的能力项拉低整体分数,导致最终评价与企业真实安全状态之间出现过大差距。另外,对于一些严重影响到企业安全的能力项,该体系还设计了一票否决项,确保关键安全能力/指标相对于同组其他能力/指标的优先级。
能力等级划分
根据企业在上述评价体系中的最终得分,可对企业安全实战能力的综合水平做出等级划分,按照由低到高的顺序依次分为初始级、基础级、增强级和优化级四个级别。表2详细说明了在这种能力等级划分方法下,每个等级在概念上对企业安全建设的要求。
表 2 能力等级划分
证书样例
完成评估后,信息网络安全公安部重点实验室会颁发对应等级的《网络安全实战能力评价》证书,该证书表示在有效期内,企业具备相应等级的安全能力用以应对实战环境下的各种安全挑战。
图 5 网络安全实战能力评价证书样例
不同于常态化的安全评估工作,网络安全实战能力评价体系不仅将关注点从单一的人员、系统层面,拓展到评估整个企业的信息资产是否安全,还能帮助企业建立有效的安全评估和监督机制,利用周期性的评价——整改——再评价的方式对整个安全建设的实施情况和效果进行闭环监测,确保相关网络安全风险得到有效控制。
此次推出的“网络安全实战能力评价体系”,充分迎合了当前我国实战常态化为目标的网络安全建设趋势,并就企业如何对自身的安全体系进行查漏补缺和进一步完善给出了基于实战的经过验证的可行性路径。这对于甲方企业以及自身专业安全能力的成熟和人才的培养都极具价值。