自適應安全框架（ASA）在網路安全2.0新防禦體系中的應用

自適應安全框架（ASA）在網路安全2.0新防禦體系中的應用

文 | 岳妍

隨著雲計算、大數據、移動互聯、物聯網等新技術的成熟，社交網路、電子商務、智慧城市的發展，已經使人們的生活全面走進了由網路所構建的虛擬世界。

隨著網路承載的事務越來越豐富，其所面臨的安全威脅也越來越多，針對關鍵信息基礎設施的高級威脅持續增加，安全威脅變得更加具有針對性、技術含量也更高。

在這種嚴峻的網路安全形勢下，傳統安全體系框架在面對新的威脅和攻擊顯得已經落伍，在此背景下，自適應安全架構（Adaptive SecurityArchitecture）應運而出。

一、自適應安全框架（ASA）基礎介紹

自適應安全框架（ASA）是Gartner於2014年提出的面向下一代的安全體系框架，以應對雲大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防禦、檢測、響應四個維度，強調安全防護是一個持續處理的、循環的過程，細粒度、多角度、持續化的對安全威脅進行實時動態分析，自動適應不斷變化的網路和威脅環境，並不斷優化自身的安全防禦機制。

1.防禦：是指一系列策略集、產品和服務可以用於防禦攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，並在受影響前攔截攻擊動作。

2.檢測：用於發現那些逃過防禦網路的攻擊，該方面的關鍵目標是降低威脅造成的「停擺時間」以及其他潛在的損失。檢測能力非常關鍵，因為企業應該假設自己已處在被攻擊狀態中。

3.響應：用於高效調查和補救被檢測分析功能(或外部服務)查出的事務，以提供入侵認證和攻擊來源分析，併產生新的預防手段來避免未來事故。

4.預測：通過防禦、檢測、響應結果不斷優化基線系統，逐漸精準預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊，並對漏洞劃定優先順序和定位。該情報將反饋到預防和檢測功能，從而構成整個處理流程的閉環。

二、自適應安全框架（ASA）深入理解

在網路安全發展早期，美國國際互聯網安全系統公司所提出的PDR模型，一直作為安全技術體系建設的參考框架，應用於各個機構的網路安全建設。PDR模型包含PDR模型包括防護（Protection）、檢測（detection）和響應（Response）三個部分，並引入時間參數構成動態的具有時間特性的安全系統，即通過基本防護來延長惡意攻擊時間，並利用有限時間內的檢測和響應，來確保系統的安全性。

自適應安全框架（ASA）與PDR模型很像，但是卻有明顯的本質不同。下面以PDR模型作為基礎，通過兩者的對比來對自適應安全框架（ASA）進行一個解讀：

1、增加了安全威脅「預測」的環節

相比PDR模型，自適應安全框架（ASA）增加了預測這一重要環節，其目的在於通過主動學習並識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了「主動防禦」的思想理念，這也是網路安全2.0時代新防禦體系的核心內容之一。

2、從事件響應升級到安全防禦響應

在PDR模型中，「檢測」和「響應」是以事件處理為線索的兩個獨立的階段，而在自適應安全框架（ASA）中雖然也有這兩個環節，但卻從原來的基於事件的響應，升級到了安全防禦規則的響應。

對事件的處置環節，在自適應安全框架（ASA）中已經合併到了「檢測」環節，而「響應」環節則偏重對事件進行調查取證，並根據取證分析來設計處理類似事件的方法並及措施，並通過實施新安全措施以避免未來事件發生。

3、持續地進行基於異常的深度檢測

PDR模型也具有「檢測」環節，其檢測更多強調基於已知、規則的「異常」檢測，自適應安全框架（ASA）中的「檢測」則在此基礎之上，更多地融入了新興的機器學習的思想，讓系統自己基於大量的數據進行無監督的特徵行為學習，從而對繞過防禦機制而潛入網路或系統內部的未知的「異常」行為進行深度檢測。

4、強調協調一致的動態安全防禦體系

自適應安全框架（ASA）中對安全事件的處理，不僅僅是從制定安全規則到發現安全事件，最後完成安全事件的響應，還需要將響應結果反饋給預測環節，從而不斷修改和完善基線系統，最終實現提升系統主動評估風險並預測新型攻擊能力的最終目標。

PDR模型「應急響應」式的安全防護框架，已經不再適用於充斥著高級持續性攻擊的環境，而自適應安全框架（ASA）則強調動態地監測、分析、反饋、預測，形成一個可持續自我完善的閉環體系，讓安全防禦體系自動進行安全防護能力提升，並逐漸適應各種不同環境，以實現安全防禦「自適應」。

三、自適應安全框架（ASA）應用實踐

自適應安全框架（ASA）框架作為網路安全2.0時代先進的參考模型，已經在新防禦體系建設中得到了廣泛的應用。

越來越多的網路安全產品廠商和解決方案提供商，使用自適應安全框架（ASA）框架各象限內容進行對標，以使自身的產品或解決方案能夠覆蓋多個領域或專註在某個垂直領域。舉例說明如下：

1、安全防禦層面

下一代IPS除了具有傳統IPS的功能外，還需要具有自適應安全能力的安全引擎，才能夠實現周而復始不間斷地發現辨識網路信息、學習並關聯信息、自動調整行動策略的自動防禦能力。

2、安全檢測層面

在網路、主機、應用等層面，在傳統基於特徵的安全檢測基礎上，融入基於異常的持續性安全檢測，能夠快速、即時地發現各種潛在的安全威脅，為APT、業務欺詐等行為的判定提供充分的依據。

3、安全預測層面

通過對網路流量、系統日誌、用戶行為、文件內容等方面的深度檢測，利用安全分析模型對多種安全威脅數據進行自動化挖掘和網路威脅情報關聯分析，最終實現網路安全態勢感知和安全威脅的精準預測。

四、總結

在當前的網路安全環境下，所有機構都應該認識到自己的業務網路，處在並且長期處在持續的安全風險的環境中。

同時，所有機構都應不再盲目信任「防禦」措施能夠100%有效，在面對不可避免的潛在侵害行為時，應在防禦的基礎上重點建設「檢測」和「預測」能力。

總而言之，深入理解併合理應用自適應安全框架（ASA）框架，才能更有效地構建網路安全2.0時代新防禦體系，提升網路安全主動防禦能力，最終達到安全的可管、可控、可視、可調度、可持續。

如果覺得內容不錯，歡迎關注微信公共號（微信號ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。