数据驱动安全 Gartner 调研报告 ： 设计自适应安全架构防御高级攻击 2 设计自适应安全架构防御高级攻击 11 数据驱动安全 14 关于 360 互联网安全中心 企业过度依赖的拦截和御防机制针对高级攻击的防护效果日渐式 微。全面的防护需要一种集成了预测、阻止、检测和响应功能的自 适应防护流程。 重大挑战 • 现有的拦截和阻止功能不足以抵挡有目的的高级攻击。 • 而大多数组织却仍继续在纯阻止策略上过度投资。 • 供应商以非集成的孤立方式提供检测、阻止、响应和预测功能， 这导致了成本的上升和功能有效性的下降。 • 信息安全并不具有检测高级攻击所需的持续可见性。 • 由于企业系统会遭遇连续攻击，不断受到破坏，因此，采用临时 的“应急响应”方法是一种错误的思维。 建议 信息安全架构 ： ，其中，系统被 • 将安全思维从“应急响应”转变为“持续响应” 假定为受到破坏并需要不断监控和修复。 • 利用 Gartner 的 12 项关键功能作为框架，采用自适应安全架构来 针对高级威胁进行防护。 • 减少阻止方面的投入 ；在检测、响应和预测方面进行投入。 • 从提供和集成预测、阻止、检测和响应功能的供应商处获取环境 感知型网络、终端和应用安全保护平台。 • 开发安全运维中心，支持持续监控并负责持续的威胁防护流程。 • 针对 IT 堆栈的所有层构建全面持续的监控：网络数据包、通信流、 操作系统活动、内容、用户行为和应用事务。 《数据驱动安全》由奇虎 360 公司出版。奇虎 360 公司提供的编辑附注内容与 Gartner 的分析结果相互独立。所有 Gartner 调研报告的版权归 © 2014 Gartner, Inc. 所有。保留所有权利。使用任何 Gartner 资料需经过 Gartner 的允许。使用或者出版 Gartner 调研报告并不表示 Gartner 认可奇虎 360 公司的产品和 / 或战略。未经事先书面许可，不得以任何形式复制或分发本出版物。本出版物中包含的信息 均是从我们认为可靠的来源获取的。Gartner 不对此类信息的准确性、完整性或适宜性做出任何保证，也不对此类信息中包含的任何错误、疏漏或不足，或者有关此类信息的解释承担任何责任。此处表 明的观点随时可能更改，恕不另行通知。虽然 Gartner 的调研报告可能会讨论相关的法律问题，但 Gartner 并不提供法律建议或法律服务，不应将其调研报告解释为或用作法律建议或法律服务。Gartner 是一家上市公司，其股东可能包括与 Gartner 调研报告中涉及的实体有财务利益关系的公司或基金。Gartner 的董事会成员可能包括这些公司或基金的高级管理人员。Gartner 调研报告是由它的调研机构 独立完成的，并没有受到这些公司、基金或其管理人员的介入或影响。有关 Gartner 调研报告的独立性和完整性的详细信息，请参阅其网站上的“Guiding Principles on Independence and Objectivity”（独 立性和客观性的指导原则），网址为 ：http://www.gartner.com/technology/about/ombudsman/omb_guide2.jsp。 2 3 战略规划设想 到 2020 年，60% 的企业信息安全预算将分 配到快速检测和响应方法方面（2014 年不 足 10%）。 到 2020 年，40% 的企业将建立安全数据仓 库（2014 年不足 5%）。 到 2018 年，80% 的终端保护平台将包含用户 活动监控和入侵取证功能（2013 年不足 5%） 。 三种向下钻取的功能，共有 12 种功能（将 在本调研的后面详细说明）。关注每一类别 中的功能对于提供全面的自适应攻击防护 是非常必要的。 自适应防护架构的关键能力 1 “阻止”是指对一套落实到位以阻止成功 的攻击的策略、产品和流程的描述。这 一类别的主要目标是通过缩减攻击接触 面并在企业受到影响之前拦截攻击者及 其攻击方法，从而提高攻击者的难度。 简介 本文档于 2014 年 5 月 1 日进行了修订。您 正在查看的文档为修订版。有关详细信息， 请参阅 gartner.com 上的“Corrections”（更 正）页。 大多数企业安全防护工作和产品主要集中于 拦截和阻止技术（例如防病毒）以及基于策 略的控件（例如防火墙）来抵御威胁（图 1 右上象限）。然而，阻止体系不可能滴水不 漏。有目的性的高级攻击可以轻松地避开传 统防火墙和基于签名的阻止机制。现在所有 组织均应假定其处于一种遭受持续性危害的 状态。但是，组织自欺欺人地认为可以实现 百分之百的阻止，并且过分地依赖以拦截和 签名为基础的机制来进行防护。结果，在不 可避免地出现违规事件时，大多数企业只有 有限的能力来检测和响应违规事件 1（图 1 下半部分），因此导致更长的“停延时间” 和更大的损害。 事实上，在将来，无论攻击“高级”与否（参 阅注释 1） ，更好的阻止、检测、响应和预 测功能均是应对各种攻击所必需的。而且， 这些功能不应被视为彼此孤立的功能 ；相 反，它们应当作为集成的自适应系统智能地 协作，从而构建完整的高级威胁防护流程。 2 “检测”功能旨在发现已经侵入阻止类别 的攻击。该类别的主要目标是缩短威胁 的停延时间并因此减少威胁可能带来的 损害。检测功能非常重要，因为企业必 须假定其已经受到危害。 3 “回顾”能力用于调查和解决检测活动（或 外部服务）所发现的问题，提供入侵取 证分析和根本原因分析，以及建议新的 阻止措施以避免将来出现安全事件。 4 “预测”能力使安全组织能够通过从外部 监控秘密攻击者了解外部事件，从而根 据其保护的系统和信息的当前状态主动 预测新的攻击类型，并对风险主动进行 优先级排序和寻址。然后将情报反馈到 阻止和检测能力。这样整个流程即得以 完成。 该自适应防护架构是一种有用的框架，有 助于企业对现有及潜在的安全投资进行分 类以确保实现安全投资的平衡。安全组织 应当评估其现有投资和能力以确定不足之 处，而不是由当前“炙手可热”的安全初 创企业来定义安全投资。在对供应商进行 分类和评估方面，该自适应防护架构也很 有用。提供多种类别的功能的供应商比仅 适用于一种类别的供应商更具战略意义。 图 1. 自适应防护架构的四个阶段 预测 阻止 自适应 回顾 检测 分析 为帮助企业设计一种架构并从竞争解决方 案中选择一种解决方案来针对高级威胁进 行自适应防护，我们开发了由四种类别的 高级能力构成的架构，其中每一类别包含 来源 ：Gartner（2014 年 2 月） 3 安全防护是持续的过程 在一个危害不断的时代，企业思维需要从“应 急响应”转变为“持续响应”，在应急响应中， 事件被认为是偶然的一次性事件 ；而在持续 响应中，攻击持续不断、永远无法完全阻挡 黑客对系统和信息的入侵，且系统必须被假 定为受到不断危害，因此必须持续监控系统 （参阅图 2）。 图 2. 自适应防护架构需要持续监控 环境感知型情报 建模、仿真、操作、保护 持续监控和分析是自适应防护架构 的核心 如图 2 所示，要对高级威胁进行真正的基于 风险的自适应响应，新一代安全防护流程的 核心将是持续、全面地监控和了解情况 ；这 些情况将被不断分析以确定危害迹象。这将 会产生大量数据。但是，如果不进行适当的 分析（并辅以环境、社区和威胁情报的外部 来源以提高精确度）将大数据提炼为可供企 业随时使用的洞见，这些大数据只能成为较 大的干扰。这些数据可以使用各种技术进行 分析，例如探试法、统计分析、推理建模、 机器学习、集群分析、实体链路分析和贝叶 斯建模。 模式、有意义的异常行为 社区 知识 环境 分析 威胁情报 策略 依赖性、关系 信息 持续监控和 分析 收集、关联 大数据 数据 数据 数据 数据 日志、事件、成本、利用率、攻击、违规 来源 ：Gartner（2014 年 2 月） 我们相信在将来，除了传统的安全信息和事 件管理 (SIEM) 系统，所有有效的安全防护平 台均将包括特定领域的嵌入式分析作为核心 功能。企业监控应当全面，包含尽可能多的 IT 堆栈层，例如网络活动、终端、系统交互、 应用事务和用户活动监控。这种可见性必须 涵盖企业拥有的设备和员工拥有的设备，并 且必须横跨企业数据中心以及涵盖来自基于 云的供应商的服务使用。2 将来的深入防御 不仅在于控制层，还取决于监控和了解情况 的层级（参阅图 3）。 与传统 SIEM 系统的有效监控相比，企业对 所有实体和层的持续监控将更迅速地产生更 多的各类数据。这就是为什么 Gartner 调研 报告确定大数据分析将被纳入新一代安全防 护解决方案的一个原因，同时也是为什么到 2020 年 40% 的企业将建立“安全数据仓库” 来存储这些监控数据从而支持回顾性分析的 原因之一。通过不断存储和分析这些数据， 同时结合使用环境和涵盖外部威胁和社区情 报，则可以建立“标准”模式，数据分析可 用于确定何时出现不同于标准模式的有意义 的特别模式。随着支持这些功能的技术日益 主流化，我们相信自适应防护架构也会进入 主流，因为拥有多种组件块的平台供应商会 集成这些功能并提供经过预先调整、开箱即 用的嵌入式分析引擎。 4 图 3. 持续监控所有技术层 应用后端 人员 信息 应用前端 终端 网络 来源 ：Gartner（2014 年 2 月） 持续监控和 分析 5 环境 图 4. 策略、环境、漏洞洞见、社区情报和威胁情报对于全面的防护至关重要 新一代安全防护平台 持续监控 威胁情报 ：威胁情报的核心为信誉资料，这 些资料有助于深入了解对象可信度，例如 IP 地址、域、URL、文件、应用等等。并且， 高级威胁情报服务还为企业提供深入见解， 帮助企业了解攻击者和活动的组织方式及其 要攻击的具体目标。此外，这些服务还提供 具体指导，帮助企业保护其系统和信息免受 攻击者攻击。威胁情报越来越多地以机器可 读格式提供，可以更轻松、更直接地融入到 旨在使用这些情报的网络、Web、电子邮件 和终端安全平台。 转移攻击者 ：简而言之，应用到这一不断 发展的类别中的技术试图解决黑客在时间 方面拥有的不对称优势的问题。这些技术 通过增加黑客定位合法系统和要攻击的漏 洞的难度，利用各种技术隐藏和混淆系统 漏洞洞见 社区情报 ：要更好地防御高级威胁，应当跨 基于云的社区对信息进行聚合、分析和共 享 ；理想情况下，这种基于云的社区能够为 类似行业和地域的组织聚合和分析数据。然 后这种“众包”情报将被共享以改进所有 参与者的整体防护能力。例如，社区情报有 助于解答诸如“像我们一样的其他企业在关 注什么？