信息网络安(ān)全公(gōng)安(ān)部重点实验室推出网络安(ān)全实战能(néng)力评价服務(wù)

发布时间：2023-03-02　　　访问量：814

信息网络安(ān)全公(gōng)安(ān)部重点实验室 2023-02-23 09:30 发表于上海

概要

数字时代下，网络攻击无处不在，没有(yǒu)组织能(néng)够“袖手旁观”。优秀的网络防御體(tǐ)系能(néng)够帮助组织弹性提升安(ān)全实战中(zhōng)的表现，通过对安(ān)全运营过程中(zhōng)各能(néng)力维度所有(yǒu)潜在风险的细致考察和应用(yòng)必要的验证措施来识别防护手段的有(yǒu)效性，进而分(fēn)析现有(yǒu)态势，是组织评估自身实战能(néng)力的一项良好实践。

公(gōng)安(ān)部第三研究所信息网络安(ān)全公(gōng)安(ān)部重点实验室推出一项针对网络安(ān)全实战能(néng)力的评价服務(wù)，致力于通过技(jì )术性、可(kě)量化的评估方式，摸清实战防护能(néng)力整體(tǐ)水平与底数；分(fēn)析、发现短板和盲區(qū)；并提出可(kě)落地的构想和解决方案，指引各组织安(ān)全攻防能(néng)力的稳步提升。

将技(jì )术验证视為(wèi)组织自身信息系统的一次防火演习——通过这种方式全面地测试组织面对真实网络攻击时的响应和防护能(néng)力。然后，使用(yòng)在模拟过程中(zhōng)收集到的信息来改进组织的网络安(ān)全策略以及确认安(ān)全产(chǎn)品的有(yǒu)效性。

值得一提的是，在网络攻防演习场景下使用(yòng)此类工(gōng)具(jù)的目的会尝试像攻击者一样侵入信息系统，但评价过程中(zhōng)验证工(gōng)具(jù)的行為(wèi)方式与真实攻击者不同，技(jì )术测评时会以不破坏组织系统或数据的方式对所在网络區(qū)域发起攻击，且使用(yòng)的是没有(yǒu)有(yǒu)效载荷的攻击工(gōng)具(jù)。因此，组织的网络可(kě)以保持正常运行，不会造成任何真正的伤害。

一、网络安(ān)全实战能(néng)力的认知需求

在此背景下，组织的安(ān)全建设工(gōng)作(zuò)愈加趋向实战化、常态化、體(tǐ)系化，实战防护能(néng)力成為(wèi)组织安(ān)全建设最重要的目标和成熟度指标。但组织在进行网络安(ān)全实战防护能(néng)力建设时会遇到诸多(duō)能(néng)力和困难，主要有(yǒu)以下几点：

实战防护能(néng)力现状不清晰

经过近些年的合规建设，组织大多(duō)建设了自身的网络安(ān)全防护體(tǐ)系，但现有(yǒu)體(tǐ)系在实战中(zhōng)能(néng)否有(yǒu)符合预期的表现，缺少清晰、量化的评价手段；

实战防护能(néng)力建设缺乏指引

与传统基于合规的安(ān)全防护體(tǐ)系建设不同，基于实战的安(ān)全防护體(tǐ)系建设需要面临更加复杂多(duō)变的情形，在没有(yǒu)丰富实战经验的情况下如何科(kē)學(xué)、有(yǒu)效的构建实战防护體(tǐ)系成為(wèi)组织的迫切需求；

防护體(tǐ)系盲區(qū)难以发现

安(ān)全體(tǐ)系建设具(jù)备典型的“木(mù)桶效应”，这一点在实战中(zhōng)尤為(wèi)凸显，而常规的安(ān)全评估及安(ān)全测试手段，难以體(tǐ)系、全面的寻找安(ān)全建设的短板及盲區(qū)。

二、网络安(ān)全实战能(néng)力评价體(tǐ)系

為(wèi)了帮助并且引导组织解决上述痛点，公(gōng)安(ān)部第三研究所信息网络安(ān)全公(gōng)安(ān)部重点实验室自主研发网络安(ān)全实战能(néng)力成熟度模型并推出全新(xīn)的评价體(tǐ)系，為(wèi)需求方提供一套针对实战安(ān)全能(néng)力可(kě)参考的标准及能(néng)力提升方向。

网络安(ān)全实战能(néng)力评价體(tǐ)系包含6个安(ān)全域、36项安(ān)全能(néng)力，覆盖ATT&CK中(zhōng)所推荐的组织级对抗措施，以“攻防”為(wèi)导向、以“运营”為(wèi)核心，从“资源投入、管理(lǐ)流程、技(jì )术有(yǒu)效性”三个维度科(kē)學(xué)计算得到各个能(néng)力单元成熟度得分(fēn)情况，进而客观分(fēn)析得出整體(tǐ)的网络安(ān)全攻防能(néng)力成熟度。

安(ān)全领域名(míng)称	安(ān)全领域定义
识别（Identify）	组织对于边界范围、自身暴露的攻击面、脆弱性的识别能(néng)力。包括组织、人员、软硬件IT资产(chǎn)、数据、供应链、脆弱性等。
防护（Protection）	组织对于保护业務(wù)机密性、完整性、可(kě)用(yòng)性所采取的措施，旨在提高攻击门槛及成本，保障业務(wù)正常运行。一般包括权限控制、访问控制、加密与签名(míng)、网络隔离等。
检测（Detection）	组织对于正在发生的安(ān)全威胁或安(ān)全事件的检测、感知能(néng)力。
响应（Response）	组织对于正在发生的安(ān)全威胁或安(ān)全事件的阻断、响应能(néng)力。
恢复（Recovery）	组织从安(ān)全事件导致的业務(wù)异常中(zhōng)纠正及恢复到可(kě)接受业務(wù)水平的能(néng)力。
运营（Operation）	為(wèi)组织的攻防能(néng)力提供人力、制度、统筹等管理(lǐ)能(néng)力和资源保障，持续评估和跟踪其他(tā)能(néng)力域工(gōng)作(zuò)的有(yǒu)效性，保障其他(tā)能(néng)力域的工(gōng)作(zuò)顺利开展落实。

三、體(tǐ)系评价与技(jì )术验证

在此项评价服務(wù)中(zhōng)，我们对上述评价體(tǐ)系进行了指标细化的设计作(zuò)為(wèi)评价标准，在设计过程中(zhōng)遵循了资源、技(jì )术、管理(lǐ)三维度相结合以保障體(tǐ)系完备性，在测评手段上利用(yòng)了传统安(ān)全评估问询的方式与技(jì )术层面有(yǒu)效性验证工(gōng)具(jù)双線(xiàn)并行，互增互补，以最大化发现能(néng)力的短板區(qū)域。

实战能(néng)力的技(jì )术验证

实战能(néng)力的技(jì )术验证是一种更有(yǒu)效且更具(jù)成本效益的测试基础设施安(ān)全性的方法。通过模拟攻击和测试整个基础架构，对各种攻防技(jì )术和模型进行深入研究，结合國(guó)内实际情况和业界最佳实践，从攻防两端进行技(jì )术验证，评估和快速识别目标与组织在实战场景下的表现，帮助解决现有(yǒu)安(ān)全技(jì )术的潜在漏洞与弱点。

技(jì )术验证是如何运作(zuò)的？

四、评价工(gōng)作(zuò)促进形成循环动态的优化模式

不同于常态化的安(ān)全评估工(gōng)作(zuò)，网络安(ān)全实战能(néng)力评价體(tǐ)系关注点从单一的人员、系统层面，拓展到衡量整个组织的信息资产(chǎn)是否安(ān)全、防御手段是否生效、规章制度是否落实，并通过周期性的评价-整改-再评价，能(néng)够更直观、循环性的审视组织实战能(néng)力建设是否存在短板与缺陷。具(jù)體(tǐ)来说，网络安(ān)全实战能(néng)力评价體(tǐ)系将从以下方面為(wèi)组织提供助力：

安(ān)全框架

基于组织现有(yǒu)的网络安(ān)全框架，结合等保2.0、行业规范、实战模型，帮助组织梳理(lǐ)现有(yǒu)框架體(tǐ)系的完备性及识别、防护、检测响应等关键环节的防护水平。

核心资产(chǎn)

通过能(néng)力评价发现并且测绘组织内部资产(chǎn)，支撑组织认定自身核心需要保护的资产(chǎn)以及遗落在外的幽灵资产(chǎn)。

去芜存菁

最大限度提高组织内部防守团队效能(néng)，合理(lǐ)配置现有(yǒu)安(ān)全工(gōng)具(jù)能(néng)力，消除冗余，确保组织内安(ān)全防护团队接收和响应高保真数据。

有(yǒu)效掌握

实现组织内部对安(ān)全产(chǎn)品及设备价值及风险的有(yǒu)效掌握，尽可(kě)能(néng)避免安(ān)全产(chǎn)品带来的负影响，规避安(ān)全人员“只会上产(chǎn)品不会用(yòng)”情况。

知己知彼

“像攻击者一样思考”。帮助组织了解攻击者惯用(yòng)工(gōng)具(jù)、手段、策略和程序，為(wèi)组织有(yǒu)效开展防御活动指明方向。

常态实训

通过安(ān)全能(néng)力域中(zhōng)对 “定期严格实训”指标要求的落实，开展周期性的安(ān)全演练可(kě)以迫使组织实际的面对现实威胁，将所有(yǒu)建设效果赋能(néng)在实战训练当中(zhōng)。

;

信息网络安(ān)全公(gōng)安(ān)部重点实验室推出网络安(ān)全实战能(néng)力评价服務(wù)

发布时间：2023-03-02 访问量：814

信息网络安(ān)全公(gōng)安(ān)部重点实验室 2023-02-23 09:30 发表于上海

发布时间：2023-03-02　　　访问量：814