2.3　提高和改善网络安全服务

面对网络服务的安全挑战，可以通过选择适合的网络安全服务策略，构建安全的网络服务，加强网络安全监控等措施来提升网络服务的整体安全能力。

2.3.1　网络安全服务策略

为应对ABCD时代所面临的安全形势，国内外相关机构纷纷推出各种安全理念、架构，以及与之配套的网络安全产品和服务。较有代表性的是美国著名科技咨询公司Gartner于2014年发布的自适应安全框架（ASA），这个框架包括了预测、防御、检测、响应4个连续循环阶段。通过持续、多维度地对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，不断提升自身的安全能力，如图2-2所示。

（1）预测：通过防御、检测、响应结果不断优化基线系统，逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能，从而构成整个处理流程的闭环。

（2）防御：通过一系列策略集、产品和服务进行防御。这个阶段的目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

（3）检测：用于发现那些逃过防御网络的攻击，该阶段的关键目标是降低威胁造成的中断及其他潜在的损失。检测能力对于处于风险中的企业非常关键。

（4）响应：用于进一步调查和补救被检测分析功能（或外部服务）发现的事件，以提供攻击证据和攻击源分析，并形成新的预防手段来避免安全事故。

更为深入的网络安全框架的内容将在第3章详细介绍。

2.3.2　落地能力建设

通过上述框架提升网络安全能力（提升技术能力、提升组织能力和相关制度流程保障能力建设）是关键。

1. 提升技术能力

首先，ASA安全框架的4个阶段都是数据驱动的，快速检测告警必须靠大数据，所有的网络攻击都会或多或少留下告警、日志等痕迹，相关的痕迹会转换成数据，数据掌握得越多，识别和发现攻击的速度就会越快。

其次，可以利用数据驱动的态势感知能力解决网络攻击非均衡性问题，态势感知能力是用数据做安全的一整套动态防御体系。第一步通过数据建立正常行为模式，从而发现异常、遏制敌对势力偷取信息；第二步基于机器学习的智能计算、工具和系统，把威胁转化成报警；第三步采取应急响应措施，隔离主机、评估损失。

在业界的实践中可以参考MITRE公司的ATT & CK模型，MITRE公司是美国一家从事网络空间安全领域威胁建模、情报分析的公司，其主要能力就是分类建模。ATT & CK（Adversarial Tactics，Techniques and Common Knowledges，对抗性战术、技巧和常见知识）将攻击相关上下文信息用更加标准和抽象的方式总结成了初始访问、驻留、横向移动、命令控制等阶段，并且将具体的攻击行为整理成一个字典，常见的战术动作都可以在ATT & CK Enterprise中找到。MITRE公司也提出通过一种结构化威胁信息表达式（Structured Threat Information eXpression，STIX）来描述攻击，其中包括Observables（可观察对象）、Indicators（上下文关联）、Incidents（上下文实例）、TTP、Exploit Target（弱点）、Campaign（意图）、ThreatActors（恶意行为特征）、Courses of Action（反应措施）描述攻击；便于表达和分享，便于安全自动化，便于引入知识图谱等新的AI技术。在其官网上就描述了79个APT攻击组织（188个别名）的相关攻击用例。

此外，传统基于边界管控的网络安全模型在基于云计算、人工智能的环境下已经不再使用，著名研究机构Forrester的首席分析师约翰·金德维格在2010年提出了零信任（Zero Trust）安全模型，该模型基于以下几点假设。

（1）应该始终假设网络充满威胁。

（2）外部和内部威胁每时每刻都充斥着网络。

（3）不能仅依靠网络位置（是否内外网）来建立信任关系。

（4）所有设备、用户和网络流量都应该被认证和授权。

（5）访问控制策略应该是动态的、基于尽量多的数据源进行计算和评估的。

基于以上假设，模型建议了5项ABCDE原则：Assume nothing（不做任何假定）、Believe nobody（不信任任何人员）、Check everything all the time（随时检查一切）、Defeat Dynamic threats/risks（防范动态威胁）、Expect and prepare for the worst（做好最坏打算）。

2. 提升组织能力

确立数据驱动的安全管理方法，可以借助大数据和人工智能。对于那些采用已知样本、攻击和漏洞特征的网络攻击可以通过机器发现。而采用0Day、1Day未知漏洞的攻击方法，需要采用“人+机器”的方法，并且人起到关键性作用，需要把人的知识驱动和机器的数据驱动结合起来，提高整体效能。

如何结合人和机器让安全工作日常化，Gartner推出了安全运营的方法论。

（1）安全运营模型。

OODA模型用来描绘一个典型的安全运营流程。OODA即Observe（观察）、Orient（调整）、Decide（决策）、Act（行动）。

①Observe（观察）：通过各种检测、分析工具［如SIEM（Security Information and Event Management）类工具］找到威胁线索，如告警信息。

②Orient（调整）：对产生告警的内容做调查、丰富化。例如，查找外网域名的威胁情报，查找IP的历史行为协助研判等。

③Decide（决策）：判定是否需要对此告警采取行动，如是否需要封禁、是否影响业务、是否需要进一步观察。

④Act（行动）：执行确定的安全策略并验证。每一步都对下一步提供了指导，周而复始，构成了一个良性的进化循环，不断优化企业的安全运营流程以应对不断变化的安全威胁。

（2）SOAR（Security Orchestration，Automation and Response，安全编排、自动化与响应）。

SOAR指的是一种技术，它使企业收集安全运营团队所关注的输入，如源自SIEM和其他安全技术的告警。另外，此安全技术可进行事件分析与分类，综合运用人类分析师和计算机的处理能力来帮助定义、排序和驱动按标准工作流程执行的安全事件响应活动。企业可使用SOAR工具来数字化地定义事件分析与响应工作流程，使用编排技术将企业的安全运营流程数字化管理。

编排的元素包含了人工操作与自动化执行两部分，编排的结果是一系列的预案。在预案执行中可以使用类似工单的技术驱动责任人与状态的流转，执行结果可以保存为知识库、案例库。

其中，人工操作包括安全事件鉴别、调查取证、应急响应、判断决策等内容，而自动化（机器）执行包括通过与外部设备/系统的集成，自动化完成安全事件上下文丰富化、持续追踪、联动处置等方面的内容。

一方面，应该有足够岗位编制的保障，建立一支“技术扎实、能力过硬、善打硬仗”的技术运维团队，很多单位的网络安全管理部门的人员严重不足。在实际工作中，除了安全管理，还需要适当的专业安全技术和运维服务人员来做分析、判断和响应处置工作。

另一方面，针对社会工程学攻击，需要通过网络安全意识培训提升全员安全意识。可以围绕日常生活和工作所涉及的信息安全问题、事件展开，并以多种形式展现，时刻吸引参训者的注意力，使他们对个人和企业信息安全保护感同身受。培训内容及展现形式必须能够有所触动，使其印象深刻，形成自觉保护个人和企业信息的主观意愿，使参训者了解缺乏信息安全基本常识、安全意识薄弱的危害和后果，使其对侵害个人和企业信息的行为保持警惕性，杜绝侥幸心理。意识培训的效果可以在日常工作中通过人工的测试、检查和数据分析来验证。

3. 相关制度流程保障能力建设

在网络安全法的时代，安全问题已经不只是某个单位内部的技术问题，而是涉及履行法律义务的问题。相关的制度流程是保证策略落地的重要保障环节，主要关注网络安全风险策略制定、新技术风险评估、安全生命周期管理、安全应急响应、安全绩效考核及运用等内容。