自適應(yīng)響應(yīng)式信息安全識(shí)別模型

岑 嵐，王 軍

（中國(guó)移動(dòng)集團(tuán)安徽分公司，合肥 230000）

大多數(shù)信息安全審計(jì)方面會(huì)優(yōu)先集中在聚焦關(guān)鍵系統(tǒng)、關(guān)鍵業(yè)務(wù)操作、高價(jià)值信息，以及基于策略、規(guī)則的控制，將危險(xiǎn)攔截在外。

然而，完美的防御是不可能的。高級(jí)定向攻擊總能輕而易舉地繞過(guò)傳統(tǒng)預(yù)防機(jī)制。

結(jié)果，面對(duì)不可避免的風(fēng)險(xiǎn)行為時(shí)，大多數(shù)企業(yè)只有有限的能力檢測(cè)和反應(yīng)，隨之而來(lái)是“停擺”時(shí)間變長(zhǎng)，損失變大。

1 自適應(yīng)響應(yīng)式信息安全識(shí)別模型的四個(gè)階段（識(shí)別-＞預(yù)測(cè)-＞監(jiān)控-＞回溯）

實(shí)際情況中，提升后的識(shí)別、檢測(cè)、響應(yīng)和預(yù)測(cè)服務(wù)都需要繼續(xù)應(yīng)對(duì)各種風(fēng)險(xiǎn)。因此，更重要的是不要將其視作封閉固定的功能，而應(yīng)以智能、分享的方式工作，對(duì)于高級(jí)風(fēng)險(xiǎn)，自適應(yīng)響應(yīng)式系統(tǒng)需持續(xù)完善保護(hù)功能。

2 自適應(yīng)響應(yīng)式信息安全識(shí)別模型關(guān)鍵能力

（1）“識(shí)別能力”是指一系列指標(biāo)集、產(chǎn)品和服務(wù)可以用于識(shí)別風(fēng)險(xiǎn)。這個(gè)方面的關(guān)鍵目標(biāo)是通過(guò)識(shí)別風(fēng)險(xiǎn)、減少被威脅面來(lái)提升風(fēng)險(xiǎn)門檻，并在受影響前進(jìn)行攔截。

（2）“管控能力”該方面的關(guān)鍵目標(biāo)是降低風(fēng)險(xiǎn)造成的“停擺時(shí)間”以及其他潛在的損失。管控能力非常關(guān)鍵，風(fēng)險(xiǎn)管控要懂規(guī)則，更要懂業(yè)務(wù)，要負(fù)責(zé)把規(guī)則轉(zhuǎn)化成業(yè)務(wù)行動(dòng)，并監(jiān)督落實(shí)。

（3）“回溯能力”用于高效調(diào)查和補(bǔ)救被檢測(cè)分析功能查出的事務(wù)，以提供數(shù)據(jù)證據(jù)和風(fēng)險(xiǎn)來(lái)源分析，并產(chǎn)生新的預(yù)測(cè)、識(shí)別手段來(lái)避免未來(lái)事故。

（4）“預(yù)測(cè)能力”使模型體系可從外部監(jiān)控下的威脅行動(dòng)中學(xué)習(xí)，以主動(dòng)鎖定對(duì)現(xiàn)有系統(tǒng)和信息具有威脅的新型風(fēng)險(xiǎn)，并優(yōu)化識(shí)別能力。該情報(bào)將反饋到識(shí)別和檢測(cè)功能，從而構(gòu)成完整的閉環(huán)立體結(jié)構(gòu)。

3 自適應(yīng)響應(yīng)式信息安全識(shí)別模型是一項(xiàng)持續(xù)處理過(guò)程

在持續(xù)信息安全風(fēng)險(xiǎn)中，我們需要完成對(duì)安全思維的根本性切換，從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”，前者認(rèn)為風(fēng)險(xiǎn)是偶發(fā)的，一次性的事故，而后者則認(rèn)為風(fēng)險(xiǎn)是不間斷的，滲透系統(tǒng)和信息的努力是不可能完全攔截的，系統(tǒng)應(yīng)承認(rèn)自己時(shí)刻處于被攻擊中。在這樣的認(rèn)知下，我們才能認(rèn)清持續(xù)監(jiān)控的必要性。

4 持續(xù)監(jiān)控和分析是自適應(yīng)響應(yīng)式信息安全識(shí)別模型的核心

為面向復(fù)雜、變化的信息安全風(fēng)險(xiǎn)而實(shí)現(xiàn)真正的自適應(yīng)及基于風(fēng)險(xiǎn)的響應(yīng)，信息安全識(shí)別模型防護(hù)程序的核心一定是持續(xù)的主動(dòng)監(jiān)控和可視化分析風(fēng)險(xiǎn)行為痕跡。這將生成大量數(shù)據(jù)，我們可以用多種分析手段來(lái)處理這些數(shù)據(jù)，包括啟發(fā)性方法、統(tǒng)計(jì)方法、推理建模、機(jī)器學(xué)習(xí)、聚類分析、貝葉斯建模。通過(guò)一段時(shí)間的存儲(chǔ)和數(shù)據(jù)分析，并融入業(yè)務(wù)場(chǎng)景、內(nèi)外風(fēng)險(xiǎn)和社群智慧，“正?！蹦Ｊ讲拍芙?，而且數(shù)據(jù)分析也可以結(jié)合業(yè)務(wù)理解，用于分辨出從正常模式偏離的行為。

5 自適應(yīng)響應(yīng)式信息安全識(shí)別模型5種關(guān)鍵輸入

指標(biāo)：用于定義和描述各項(xiàng)組織需求，包括數(shù)據(jù)類型、數(shù)據(jù)權(quán)限、業(yè)務(wù)活動(dòng)、哪些應(yīng)用允許執(zhí)行，哪些應(yīng)被禁止，掃描的頻率、敏感數(shù)據(jù)保護(hù)、應(yīng)急響應(yīng)等，這些指標(biāo)通常源于內(nèi)部指導(dǎo)和外部影響。

場(chǎng)景：基于當(dāng)前條件的信息（如對(duì)象、時(shí)間、地點(diǎn)、風(fēng)險(xiǎn)狀態(tài)等），場(chǎng)景感知使用額外信息提升信息安全決策正確性。對(duì)于分辨哪些風(fēng)險(xiǎn)逃過(guò)傳統(tǒng)安全防護(hù)機(jī)制，以及幫助確定有意義的偏離正常行為，而不需要增加大量誤報(bào)率時(shí)，對(duì)場(chǎng)景的利用非常關(guān)鍵。

社區(qū)智慧：為更好地應(yīng)對(duì)高級(jí)風(fēng)險(xiǎn)，信息應(yīng)該是聚合的，可通過(guò)基于社區(qū)進(jìn)行分析和分享的，理想的情況下，還應(yīng)該擁有在相似行業(yè)和地區(qū)進(jìn)行信息聚合及分析的能力。這種風(fēng)險(xiǎn)知識(shí)能力建設(shè)與分享可以提升所有參與者的整體防護(hù)能力。

風(fēng)險(xiǎn)情報(bào)：風(fēng)險(xiǎn)情報(bào)既可以為客戶提供單獨(dú)的風(fēng)險(xiǎn)監(jiān)測(cè)，鎖定危害性的惡意IP、域名、黑產(chǎn)號(hào)碼等，也可集成到主流安全管控防護(hù)系統(tǒng)和產(chǎn)品，如風(fēng)險(xiǎn)控制系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)、客戶管理系統(tǒng)等，同時(shí)可以為安全分析人員提供溯源線索，從而打造健康高效的風(fēng)險(xiǎn)情報(bào)生態(tài)系統(tǒng)，構(gòu)筑寬共享、全聯(lián)通的信息共享環(huán)境，可使威風(fēng)險(xiǎn)報(bào)價(jià)值最大化，提高參與共享各方的智能風(fēng)險(xiǎn)檢測(cè)與應(yīng)急響應(yīng)能力。

漏洞分析：該信息提供給我們對(duì)其所用到的設(shè)備、系統(tǒng)、應(yīng)用和接口中的漏洞進(jìn)行分析。除了包括一致的漏洞，分析還包括存在于企業(yè)客戶和第三方應(yīng)用中的一些未知的漏洞，可通過(guò)主動(dòng)測(cè)試其應(yīng)用、庫(kù)和接口來(lái)完成。

6 自適應(yīng)響應(yīng)式信息安全識(shí)別模型價(jià)值

與自適應(yīng)響應(yīng)式信息安全識(shí)別模型的核心思想——敏捷處理不同，傳統(tǒng)信息安全的核心思想是防御和控制，就像是建設(shè)一座城墻，希望把風(fēng)險(xiǎn)阻擋在城墻外面，但風(fēng)險(xiǎn)穿透城墻有很多種方式。而且企業(yè)的業(yè)務(wù)要發(fā)展、要壯大，與安全講究的控制是有些矛盾的?！拔覀儾荒苎刂踩睦下纷?，我們要走一條新的道路，信息安全審計(jì)的目標(biāo)也是多產(chǎn)糧食，而不是影響或阻礙糧食的生產(chǎn)，絕不允許為了風(fēng)險(xiǎn)控制，把業(yè)務(wù)逼上梁山。”