随着安全的快速發展，為應對和解決各種安全問題，各權威機構以及相關專家提出了很多安全架構，它們對安全發展都具有重大意義。但是，如果一定從中選出幾個對當今安全發展影響最大的安全架構，筆者會選擇Gartner提出的Adaptive Security Architecture模型(CARTA屬于自适應架構3.0)、Forrester提出的ZeroTrust模型及MITRE的ATT&CK框架。

Zero Trust和Adaptive Security Architecture是前幾年一直火熱的理論模型，ATT&CK則是最近一年國内信息安全圈最火熱的一個新名詞了。相信安全從業人員對于這幾個概念或多或少都有了一定的了解，筆者今天想要重點談一下這三者之間的一些關系。

先說下自适應安全3.0階段的CARTA模型(持續自适應風險與信任評估)，這是自适應安全架構演進後形成的一個概念(如欲了解更多相關内容，可閱讀青藤雲安全COO程度先生所寫《自适應安全架構的曆史和演進》)。CARTA所強調的對風險和信任的評估分析，與傳統安全方案采用allow或deny的簡單處置方式完全不同，CARTA是通過持續監控和審計來判斷安全狀況的，強調沒有絕對的安全和100%的信任，尋求一種0和1之間的風險與信任的平衡。

那麼這三個理論框架之間有什麼關系呢?筆者認為要實現CARTA，第一步就是零信任，首先需要評估安全狀況，包括驗證用戶、驗證設備、限制訪問和權限，最後是自适應的調整策略。然後，在整個安全過程中，安全狀況會随時發生變化，其中最主要就是需要面臨各種攻擊，因此需要進行持續檢測，這個時候ATT&CK框架就是一個很好的安全檢測和響應模型。

零信任是實現CARTA第一步

為了更好地理解數字時代的信任，需要先了解“Trust”這個詞本身的含義。所謂信任，是兩個實體之間建立的一個彼此連接關系，這個關系要求彼此能夠按照預期的方式做事。在這個過程中，需要監視在彼此交互期間雙方是否在約定的預期範圍内活動。如果發生風險性的偏差，就需要糾正此類偏差甚至是中斷彼此的信任關系。在這裡需要強調的是，信任并不是絕對的，而是一個相對的概念，并且是一個動态變化的關系。

在了解了Trust的概念之後，就比較容易了解網絡安全概念中所謂的Zero Trust(零信任)了。零信任網絡是指，所有初始安全狀态的不同實體之間，不管是企業内部還是外部，都沒有可信任的連接。隻有對實體、系統和上下文的身份進行評估之後，才能動态擴展對網絡功能的最低權限訪問。

零信任網絡默認使用Deny作為起點。在授予網絡訪問權限之前，要對實體和設備的身份和信任進行評估。當然，Gartner提出的CARTA模型，已經擴展到了網絡之外，包括IT堆棧、風險合規治理流程等方面。在交互過程中不斷監視和評估風險和信任級别，如果發現信任下降或風險增加到了阈值，需要進行響應，則應該相應地調整訪問策略。

CARTA戰略流程

此外，CARTA在戰略方法中強調，在交互期間持續監視和評估實體及其行為。在自适應安全架構中，CARTA戰略總共包括七個步驟，零信任可以作為其第一步，如下圖所示。

CARTA戰略的七個步驟

在CARTA的自适應攻擊防護架構中，采用的正是零信任策略，如下圖右上角紅框内容所示。采用零信任架構是防護的第一步，可以很好地應對内部攻擊。在建立一定程度的信任連接之前，會對系統進行加固和隔離，所有微隔離的Projects之間都是采用零信任網絡連接。而CARTA進一步擴展了零信任的概念，并将攻擊防護視為一個持續的風險和信任評估過程，如下圖深藍色部分所示。在圖形的中心，CARTA還擴展了網絡之外的功能。例如，CARTA在系統上運行時監視可執行代碼，以發現惡意行為和風險的迹象，即使它通過了初始風險和信任評估。這就是被稱為終端檢測和響應的EDR技術。

采用零信任實現自适應攻擊防護

同樣，在CARTA自适應的訪問防護架構中，初始安全狀态都是默認deny狀态，如下圖右上角的紅框所示。在對用戶的憑據、設備和上下文進行評估之前，用戶沒有任何訪問權限。因此，在建立足夠的信任級别之前，不應該授予訪問權限。CARTA進一步擴展了零信任的概念，并将訪問保護視為一個持續的風險和信任評估問題，如下圖的深綠色部分所示。在圖形的中心，CARTA還擴展了網絡訪問之外的功能。例如，CARTA戰略方法監視用戶的風險行為，即使他們已經通過了初始風險和信任評估，并被授予了對應用程序的訪問權。這就是被稱為用戶和實體行為分析的UEBA。

采用零信任實現自适應訪問防護

ATT&CK是CARTA持續風險評估的保證

CARTA和ATT&CK一樣，都非常關注檢測和響應部分的實現。而ATT&CK作為入侵分析“鑽石”級别的模型，能夠增強企業的檢測和響應能力。那麼，如何根據ATT&CK框架來檢查目前安全産品的整體覆蓋度，進行全面的差距分析，以及如何将ATT&CK所涵蓋的技術點融入到産品中去，這些都是值得大家思考的問題，這也是自适應安全架構最核心的檢測和響應部分内容。(建議讀者先閱讀一下筆者先前的文章《一文看懂ATT&CK框架以及使用場景實例》和《細述MITRE ATT&CK框架的實施和使用方式》，對ATT&CK框架的概念、使用場景、以及實施和使用方式先有一個初步的了解，這更有利于理解文本的内容涵義。)

ATT&CK框架核心就是以矩陣形式展現的TTPs，即Tactics,Techniques and Procedures(戰術、技術及步驟)，是指攻擊者從踩點到獲取數據以及這一過程中的每一步是“如何”完成任務的。因此，TTPs也是痛苦金字塔中對防禦最有價值的一類IoC。當然這也意味着收集TTPs，并将其應用到網絡防禦中的難度系數是最高的。而ATT&CK則是有效分析攻擊者行為(即TTPs)的威脅分析框架。

Bianco提出的痛苦金字塔

ATT&CK使用攻擊者的視角，比從純粹的防禦角度更容易理解上下文中的行動和潛在對策。對于檢測，雖然很多防禦模型會向防禦者顯示警報，但不提供引起警報事件的任何上下文，例如從防禦者的視角自上而下地介紹安全目标的CIA模型、側重于漏洞評級CVSS、主要考慮風險計算的DREAD模型等。這些模型隻能形成一個淺層次的參考框架，并沒有提供導緻這些警報的原因以及與系統或網絡上可能發生的其它事件的關系。

而ATT&CK框架提供了對抗行動和信息之間的關系和依存關系，防禦者就可以追蹤攻擊者采取每項行動的動機，并了解這些行動和依存關系。擁有了這些信息之後，安全人員的工作從尋找發生了什麼事情，轉變為按照ATT&CK框架，将防禦策略與攻擊者的手冊對比，預測會發生什麼事情。這正是CARTA所倡導的“預防有助于布置檢測和響應措施，檢測和響應也有助于預測”。

使用ATT&CK框架來提升檢測能力的首要步驟就是對數據源進行盤點。ATT&CK框架已定義了大約50種不同類型的數據源。對于每個數據源，企業需要對數據質量、數量内容等方面進行管理。可以使用MITRE ATT&CK導航工具，按下圖所示方式将數據源映射到ATT&CK技術，進行可視化展示。

數據源可視化示例

其次，對于企業機構來說，知道威脅主體使用了哪些ATT&CK技術，這一點也至關重要。組織機構可以根據MITRE ATT&CK知識庫中存在的威脅組織和惡意軟件創建熱力圖。将威脅組織使用的技術與企業的檢測或可見性水平進行比較，确定哪些方面可能存在差距，需要改進，從而增強檢測和事件響應能力。下圖顯示了一個基于ATT&CK中所有威脅組織數據的熱力圖。熱力圖中的顔色越深，則表示攻擊組織使用該技術的頻率就越高。

基于威脅組織的熱力圖

例如，某些ATT&CK技術與自身組織機構相關。那麼，組織機構就可以将其與當前的檢測狀态進行直觀比較，确定在ATT&CK技術方面可能存在的差距或改進之處。

将威脅主體攻擊技術與企業的檢測結果進行比較

最後，基于上述分析，以ATT&CK框架為基礎實現檢測方案的可視化，然後對檢測方案進行評分(如下圖所示)，管理檢測和響應方案。

顯示檢測方案分數的熱力圖示例

寫在最後

Zero Trust和ATT&CK架構都是從攻擊者的視角出發看問題，颠覆了傳統上的純粹防禦安全觀念，與CARTA倡導的安全人員應該通過理解上下文和持續風險評估來靈活調整安全策略的理念有諸多異曲同工之處。

青藤雲安全認為:鑒于在安全領域，防禦者始終處于一個敵暗我明的天生劣勢，因此，安全人員應該采用零信任的态度，并主動提高安全檢測能力，才是根本之策。CARTA藍圖可以幫助大家實現這一目标，而Zero Trust和ATT&CK框架則是成功落實該理念的關鍵保障。

來源: 飛象網

關注同花順财經微信公衆号(ths518)，獲取更多财經資訊

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!