企业网络安全长期以来都让人感觉像是在为一场暴风雨做准备。每个季度,你都要查看一份需要做好防灾准备的清单——或者更确切地说,是防范各种威胁。我们确保门锁牢固,检查窗户,并在文件上签字。然而,任何经验丰富的安全专家都会告诉你,一扇锁着的门根本挡不住懂得穿墙而过的攻击者。
美国国防部最近发布了新的“网络生存能力风险管理框架”(CSRMC),也印证了这一点。虽然这只是一个政府缩写,但它代表着从静态的、“特定时间点”的合规模式,彻底转向动态的、主动防御的姿态。对于企业安全负责人而言,CSRMC 是一份入门指南,指导他们在无法完全避免攻击的情况下,如何建立运营韧性。
“特定时间点”安全时代的终结
传统上,政府和私营部门都信赖基于NIST的风险管理框架(RMF),但近年来,该框架已演变为通过静态的安全活动清单来手动寻求合规性。
对手不会按照你的审计计划行事。他们会利用季度或年度审查之间的空档期。新的DoW架构摒弃了这些手动快照,转而采用持续监控和自动化验证。它将网络安全视为一个持续的过程,并将其分解为五个阶段:设计、构建、测试、部署和运营。
将漏洞转化为对抗性暴露
在商业领域,我们无法摆脱成千上万个漏洞带来的信息迷雾。我们可能会看到一份看似严重的漏洞列表,然后惊慌失措,但我们通常缺乏足够的背景信息来判断攻击者是否能够利用这些漏洞,进而攻击我们的核心系统。
美国国防部的新方法侧重于网络生存能力,即在遭受攻击的情况下仍能持续运行的能力。鉴于此,我看到一些组织开始采用一种称为“对抗性暴露验证”(AEV)的概念。
传统上,我们会问:“这个软件是否已打补丁?”而AEV则会问:“攻击者能否利用我们Windows或Linux环境中的这个特定功能来发起勒索软件攻击?”通过模拟MITRE ATT&CK框架中发现的真实攻击策略,AEV可以显示哪些安全控制措施有效,哪些薄弱。AEV是连接安全工具与验证其有效性的桥梁。
对当今首席信息安全官的三点启示
美国国防部的这一举措为企业韧性发展提供了一个重要的路线图:
- 自动化已势在必行:人工分析人员已无法应对机器级别的攻击。自动化应承担繁琐的验证工作,使人类能够更专注于战略性威胁搜寻。
- 优先考虑可利用的风险:被配置良好的防火墙阻止的高危漏洞的优先级低于能够提供通往敏感信息的明确路径的中危漏洞。
- 关注受攻击环境:假设攻击者已经入侵网络。韧性不仅仅是阻止他们入侵;更重要的是,当他们试图利用你Mac/Linux系统已有的常见漏洞时,要确保你予以强力反击。然后,在运维阶段,你可以通过持续监控和响应来最大限度地减少他们的访问。
展望未来:压力测试助力成功
美国国防部向“作战速度”的转变向私营部门发出一个信号:清单时代已经结束。通过在日常运营中应用自动化的对抗性暴露验证(AEV),企业可以摆脱仅仅寄希望于安全锁具牢固的局面,转而保持久经沙场的韧性。
CSRMC框架结构概述
该结构由五个阶段的生命周期和十个基本原则组成。
五阶段生命周期
新的架构将网络安全划分为五个阶段,与系统开发和运行相对应:
- 设计阶段——从一开始就融入安全性,确保系统架构具备韧性。
- 构建阶段——当系统达到初始运行能力(IOC)时,安全设计将被实施。
- 测试阶段——在全面运行能力(FOC)之前,进行全面的验证和压力测试。
- 部署阶段——部署时激活自动持续监控,以维持系统可见性。
- 运行阶段——实时仪表盘和警报机制可立即检测威胁并快速响应。
十大基本原则
CSRMC以十项核心原则为基础:
- 自动化——提升效率和规模
- 关键控制措施——识别和跟踪对网络安全至关重要的控制措施
- 持续监控和自动授权操作(ATO)——实现实时态势感知,从而保持持续的ATO姿态
- DevSecOps——支持安全、敏捷的开发和部署
- 网络生存能力——在对抗环境中开展行动
- 培训——提升人员技能以应对不断变化的挑战
- 企业服务与传承——减少重复工作和合规负担
- 运营化——确保利益相关者能够近乎实时地了解网络安全风险态势
- 互惠性——跨系统的重用评估
- 网络安全评估——整合基于威胁信息的测试以验证安全性
以战时速度提供网络安全保障
通过在整个国防部内推行这一结构,国防部正在确保各个领域的网络生存能力和任务保障:空中、陆地、海洋、太空和网络空间。
“这一架构代表了国防部在网络安全策略上的文化转变,”代理国防部首席信息官凯蒂·阿灵顿表示,“CSRMC以自动化、持续监控和弹性为核心,使国防部能够在抵御当今对手的同时,为应对未来的挑战做好准备。”
对于关注前沿安全动态与实践的从业者,可以持续在云栈社区的相关板块进行深入交流与学习。从防御框架的演变中汲取经验,是将理论转化为实战能力的关键一步。 | 
发表于 19 小时前
|
查看: 2|
回复: 0
