网络安全滑动标尺模型——SANS 分析师白皮书 来源：http://blog.nsfocus.net/sliding-scale-cyber-security/ 2018-11-29 编注： 1. SANS 是美国系统网络安全协会的缩写； 2. 网络安全滑动标尺模型（The Sliding Scale of Cyber Security）是美国系统网络安全协 会（SANS）于 2015 年提出的安全模型，将网络安全体系建设过程划分为架构建设、被动 防御、积极防御、威胁情报和进攻反制五个阶段； 3. 原作者罗伯特 梅里尔.李（Robert M. Lee）是 SANS 认证讲师； 4. 这篇文章原文发表于 2015 年 8 月；曾被其它译者翻译过，如安天的《网络安全滑动 标尺模型》。 （Rick Kang） （以下正文） 网络安全滑动标尺模型对组织在威胁防御方面的措施、能力以及所做的资源投资进行 分类，详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型的 标尺用途广泛，如向非技术人员解释安全技术事宜，对资源和各项技能投资进行优先级排 序和追踪、评估安全态势以及确保事件根本原因分析准确无误。 作者：罗伯特 梅里尔.李（Robert M. Lee） 1. 执行摘要 网络安全滑动标尺模型是针对网络安全活动和投资领域进行详细探讨的模型。该模型 包含五大类别：架构安全、被动防御、主动防御、威胁情报和进攻。这五大类别构成连续 性整体，让人一目了然：各阶段活动经精心设计，呈动态变化趋势。了解互相关联的这几 大网络安全阶段后，组织和个人可更好地理解资源投资的目标和影响，构建安全计划成熟 度模型，按阶段划分网络攻击从而进行根本原因分析，助力防御方的发展。弄明白各阶段 含义后，组织和个人会发现该标尺左侧的类别用于奠定相应基础，使标尺中其他阶段的措 施更易实现，可以使用较少资源发挥更大作用。组织和个人利用滑动标尺要达成的目标是 从该标尺的左侧部分开始投入资源，解决上述问题，从而获得合理投资收益，然后将大量 资源分配给其他类别。 该模型表明，若组织做了充分的防护准备，攻击者需付出更大代价才能成功。此外， 利用该模型，防御方可确保安全措施与时俱进。[1] 1 2. 网络安全滑动标尺模型 网络安全滑动标尺模型[2]对组织在威胁防御方面的措施、能力以及所做的资源投资进 行分类，详细探讨了网络安全的方方面面。该模型可作为了解网络安全措施的框架。模型 的标尺用途广泛，如向非技术人员解释安全技术事宜，对资源和各项技能投资进行优先级 排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。 如图 1 所示，该模型可划分为五大类别，即架构安全、被动防御、主动防御、威胁情 报和进攻。本文将围绕这些类别展开介绍，着重分析各类别的差异以及内在联系。 图 1 网络安全滑动标尺模型 3. 各类别并非一成不变，且重要性也不均等 网络安全滑动标尺模型为组织和个人讨论网络安全的各类资源和技能投资提供了框 架。该模型包含的五大类别——架构安全、被动防御、主动防御、威胁情报和进攻，各类 别相互配合实现网络安全提升，但这些类别并不是一成不变的且其重要性也存在差异。 该模型使用了标尺，表明每个类别的某些措施与相邻类别密切相关。例如，修复软件 漏洞属于架构安全范畴，而修复这一动作位于架构安全类别的右侧，要比构建系统更靠近 被动防御类别。即便如此，架构安全涉及的措施也不能视为主动防御、情报或进攻相关活 动。又如威胁情报活动，攻击者网络中开展的威胁情报活动更接近进攻活动，与搜集和分 析开源信息相比，能够更快地转变为进攻活动。同样，收集和分析事件响应数据从而生成 威胁情报更靠近主动防御类别，因为在此类别中，分析师会利用威胁情报达成防御目的。 滑动标尺的每个类别在安全方面的重要性并不均等。这一点可从本文在架构安全和进 攻的对比中明显看出。若系统构建和实现过程考虑到了安全，则会显著提升这些系统的防 御态势。要实现同样的安全目的，这些措施的投资收益远高于进攻。技术足够先进、目标 极其坚定的攻击者总会找到办法绕过完善的架构。由此可见，投资不应仅对局限于架构本 身。滑动标尺的每个类别都很重要，组织在考虑如何实现安全以及何时关注其他类别时应 2 以预期投资收益为导向。比如，若组织对架构安全和被动防御缺乏维护会发现主动防御的 价值不高，此类组织应首先修复基本问题再考虑威胁情报或进攻。 要实现网络安全目标，组织应构建安全根基和文化，并不断进行完善。这样，防御方 在面对威胁和挑战时才能及时调整，更好地进行防御。由此可见，滑动标尺模型还能潜在 促进组织的安全成熟进程。组织应首先将精力放在标尺左侧的类别，构筑相应基础，然后 再对右侧的类别作出投资。组织在架构安全阶段进行合理投资会为其后有效实施被动防御 打下了基础，能够获得更大收益。此外，主动防御若在具备完善架构安全和被动防御的环 境中部署较易实现且更为有效。若缺乏该安全基础，开展网络安全监控或事件响应等主动 防御活动则较为困难且开销较大。成本凸显的是各类别的投资收益，如图 2 所示。例如， 要有效执行进攻行动，最起码要利用威胁情报，这需要组织充分了解其在主动防御、被动 防御和架构安全阶段的安全措施，明确组织面临的威胁并进行应对。然而，进攻行动为组 织带来的价值远不如合理构建和实施架构安全高。因此，我们强烈建议组织将主要精力放 在滑动标尺左侧的阶段，从架构安全做起。 图 2 成本与安全价值 4. 架构安全 架构安全：用安全思维规划、构建和维护系统。 安全的一个最重要方面是合理构建系统，使其与组织的任务、资金和人员配备相匹 配。[3]架构安全指在用安全思维规划、构建和维护系统。安全的系统设计是基础，在此之 上才能开展其他方面的网络安全建设。此外，根据组织的需求合理构建架构安全，可提升 标尺的其他阶段的效率，降低开销。例如，若网络分段不合理且未安装软件补丁进行维 护，则存在很多安全问题，防御方可能疲于应对，导致网络攻击者等真正需要识别的威胁 淹没于各类安全问题、相关恶意软件以及由于架构不合理而导致的网络配置问题中。 架构安全通常从规划和设计系统以支撑组织需求开始。为此，组织应首先明确 IT 系统 要支撑的业务目标，这可能因公司和行业而异。系统安全应为这些目标提供支撑。架构安 3 全阶段的目的并非是防御攻击者，而是要满足正常运营环境和紧急运营环境的需求，包括 偶发的恶意软件感染、误配置系统带来的网络流量峰值、以及系统仅仅因部署在同一网络 而互相导致中断。所有这些情形在当今联网基础设施的正常环境中都非常常见，而且还不 仅限于这些问题。在系统设计时考虑这些情况可以维持系统的保密性、可用性和完整性， 从而为组织的业务要求提供支撑。 安全的系统构建、采购和实现是架构安全的另一关键要素。要确保质量控制措施落到 实处，保护链条中各环节的安全很重要。这些措施与应用安全补丁等系统维护相结合，让 系统更易于防护。软件和硬件补丁应用有时被误认为是一项防御措施[4]，实际上，它们本 身并非防御措施，但是会促进安全。与合理架构相关的各项举措还会降低攻击面，最大程 度地减少攻击者进入系统的机会，万一攻击者进入系统，还可限制其行为。 下文将介绍几个样本模型，作为实现上述类别相关实践的参考。 5. 样本架构模型  国家标准与技术研究院（NIST）的 800 系列特刊 NIST 发布的 800 系列特刊提供有关安全的系统采购、设计、实现和加固的多个指南。 [5]虽然系统架构由预期结果和系统需求驱动，这些特刊还是具有很好的指导意义。需特别 关注的是 800-137 特刊“联邦信息系统与组织的信息安全持续监控”，该指南指出组织应持 续主动监控网络，识别并及时修复安全违规和漏洞，以防止攻击者对其进行利用。  普渡企业参考体系结构 -The-普渡模型是工业控制系统网络的高层体系结构模型的一个范例。[6]。该模型旨在 说明需按照功能对各网段进行划分和隔离。合理划分网络能显著提升其防护能力。  支付卡行业数据安全标准（PCI DSS） -PCI DSS 作为信息安全标准，面向的是处理特定类型信用卡及其相关数据的组织。其 中，一些标准与防火墙实现等被动防御相关，而大部分标准旨在实现架构安全，例如，开 发和维护安全的系统、数据加密、持卡人数据访问限制以及不使用厂商提供的默认密码等 要求都有助于实现合理的架构安全。 6. 被动防御 组织在通过投资该模型的架构安全类别构建了合理的安全基础后，就非常有必要投资 构筑被动防御了。被动防御位于架构安全的上层，为系统提供攻击防护。攻击者或威胁若 心怀叵测且有能力造成损害，一旦找到机会便会绕过架构，无论架构有多完善，因此被动 防御非常必要。[7]在定义被动防御前，我们先了解一下该术语的历史。 防御在传统上可划分为被动防御和主动防御。上个世纪三十至八十年代（网络这一术 语还未出现），围绕这两个术语的定义引发了众多纷争。[8]美国国防部对被动防御作了如 下定义，结束了长期纷争：为降低恶意行为几率以及尽量减少恶意行为引发的损害而采取 4 的措施，而非主动采取行动。[9]然而，该定义是否可用于网络安全领域一直是众多学者、 安全从业者和军事专业人员争论的焦点。该定义可能看似容易理解，但将其应用到网络领 域的正常运营环境就不会像字面解释这么简单了。 要实现从军事领域到网络领域的转换，需了解术语的真实含义，而非字面定义。在最 初的争论中，被动防御指无需军事部门交互的情况下提供攻击防御。加固防御工事防止导 弹轰炸便是一个例子。尽管这看起来类似于在系统中安装软件补丁，但与加固结构而非防 护攻击更为接近。因此，它不属于防御，只是对系统所处典型环境的一种认知。安装补丁 是一项维护措施。同样，为军事会议室构筑屏障，应对各种恶劣气候不是“对抗大风的被动 防御”，而只是该环境所需的正常行为。加固屏障、设置诱饵、伪装以及针对会议室的其他 二次措施才是被动防御。最后一点，现实世界还存在资源消耗情况。攻击者会消耗物理资 源，如炸弹投放一个就少一个。在数字世界，攻击者并不以这种方式消耗资源。若攻击者 使用了一种恶意软件，而未被发现或反击就会多次反复使用。在这种情况下，攻击者所需 的是时间、相关资源及人力。消耗攻击者的资源，包括其策划和实现恶意目的所需的时 间，对于防御者来说至关重要。被动防御可帮助您实现这一点。 被动防御：架构中添加的提供持续威胁防护和检测且无需经常人工互动的系统 了解被动防御术语的历史，我们或许会得出这样一个结论：可在结构中添加插件实现 防护。防御攻击而未必增强系统自身能力这一理念可帮助我们得出被动防御的定义。在现 实世界中，被动防御同样也不需要频繁的人工互动。因此，被动防御的定义为：架构中添 加的提供持续威胁防护和洞察