直击RSAC 2021 | 入侵者模拟塑实战化安全方法论，验证360多维战略布局

每经历一段时间，安全行业总会出现一个新的热门概念，最近出现的“adversary Simulation”（本文将其翻译为“入侵者模拟”），就再度掀起了行业内的高度关注。其可以简单理解为针对可能对防守方造成威胁的入侵者，通过模拟其惯用的攻击手段对防守方发起模拟攻击，以检测安全能力体系的完善度。



近日，在今年的RSAC大会中，来自RSA的安全架构师Don Murdoch分享了关于入侵者模拟的观点，并明确指出入侵者模拟是一套实战化、自动化、常态化、体系化的方法论。

实战催化安全能力“质变”

入侵者模拟需攻防视角兼具





网络安全讲百遍不如打一遍，实战攻防演习是推进网络安全建设的必要需求。但在历史上来看，在各机构组织的攻防对抗演练中，每个团队存在以孤立方式执行各自行动的诟病。因此，Don Murdoch提出要通过整合红队与蓝队并形成紫队，才能使整个红蓝对抗进化成一次实战化的入侵者模拟。



首先，在入侵者模拟中，攻击方不能仅像传统的渗透测试一样完全依赖安全服务人员的个人能力，只根据其经验完成能力范围内的攻击技战术，而是可以模拟特定对手的攻击技战术（如某个特定的APT组织所用到的TTP）。要做到这一点，就必须获得完整的安全知识图谱，Mitre Att&ck框架给我们做了很好的示范，其将网络威胁划分成若干个攻击战术与技术，把攻击行为规范化、结构化、可视化，建立了“知攻”通向“知防”的桥梁。



其次，防守方需要像攻击方一样思考。防守方在防守过程中通常会考虑梳理自身资产，盘点已经部署的各类防御系统，之后就以守株待兔的方式来观察和记录告警并作出分析。然而，大部分防守方忽略了需要以实战化方式、攻击方的视角来考虑防守策略的部署。例如，攻击方会利用哪个攻击面发起攻击，攻击路径是怎样的，将采用哪些技战术来进行攻击等。



最后，入侵者模拟需要在根据已经发现的问题进行改进之后，对改进结果进行持续验证和评估。目的就是通过使用全景攻防知识图谱与结构化的攻击方法，不断在实战检验中达到安全能力的提升。







多维战略布局推动行业演进

助力数字时代国家大安全发展







可以看出，入侵者模拟实际上是一套实战化、自动化、常态化、体系化的方法论，而这套方法论验证并契合了360政企安全集团过去多年来，在安全能力建设上不断演进的战略布局：



1.实战定义数据，数据驱动安全



360政企安全集团基于15年攻防实战经验及230亿安全研发投入，积累了海量安全大数据、东半球白帽子军团、领先的漏洞挖掘能力、APT狩猎能力、云端公共服务能力，同时构建出自己的ATT&CK知识库。与MITRE ATT&CK最大的不同是，其在东半球视角下，大量扩充了360视野内独特的技战术细节，同时创造性的增加了漏洞利用技战术知识库并持续更新，形成了360独有的全景攻防知识图谱。同时，还积极打造出APT安全知识图谱标准，将攻击行为规划范，并形成了中国通讯标准化协会行业标准草案。



2.大安全时代，构建多级安全大脑的协防联动体系



大安全时代，安全被重新定义，这不仅体现在安全风险的升维上，更体现在如何应对安全挑战方面。面对数字化时代愈加复杂的系统环境，传统基于产品、依靠单点、限于局部的安全解决方案，需要转向基于安全大数据、威胁情报和知识库，强调整体设计和协同，以安全能力为核心的建设思路。



作为唯一参加MITRE ATT&CK评测的国内安全厂商，360政企安全集团提出了以360安全大脑为核心的数字安全能力体系，通过多级安全大脑实现大连接、大数据、大计算和大协同，持续帮助国家、城市、行业、企事业等打造云网端一体化的纵深防御及运营体系。



3.评估验证效能，差距驱动改进



从2019年开始，360政企安全集团就已经将入侵者模拟技术工程化、自动化，与360全景攻防知识图谱一并融入了360数字安全能力体系，通过不断驱动自身产品改进，为客户提供了超越合规的抗攻击能力评估平台和服务。在此加持下，360正在开发实战化的网络安全能力成熟度模型及其评估标准，从网络安全能力的各个方面设置能力评估指标，致力于评估城市安全运营，关键基础设施、关键企业机构等网络安全能力。目前，其已与90%部委、72%央企、95%大型金融机构以及上百万中小企业开展了网络安全合作。



4.安全实战方法论，推动网络安全行业不断演进



实战是检验安全的最终标准，将变成新时代安全能力体系建设的必要需求。在此背景下，结合全景攻防知识图谱、多级安全大脑的协防联动体系、实战化的网络安全能力成熟度模型及其评估标准，360政企安全集团还率先提出并倡导了实战化的网络安全方法论，不断带动国内网络安全行业共同成长，助力数字时代国家大安全发展。





来源    360政企安全

看看了吧