文｜觀察未來科技

大數據時代下，面對千變萬化、持續廣泛的網絡安全威脅，傳統安全架構以及安全分析已然陷入被動的局面里，并且暴露出易受攻擊、恢復彈性低、低移動性、高消耗等眾多問題。如何化被動防御為主動預防，對內容、基礎設施開展立體式的防護，重塑網絡安全成為人們需要面對的新的問題。

在這樣的背景下，針對高級攻擊的自適應安全架構受到了越來越多的關注。Gartner在2015年就提出過“自適應安全架構來應對高級定向攻擊”的概念，其中實現這套架構很重要的一個階段就是讓系統具備對攻擊的預測能力。從應對安全風險到預測安全風險，自適應安全架構正在為人們建立網絡安全的新的邊界。

從“應急響應”轉到“持續響應”

在自適應安全架構之前，我們可以先來看看傳統的網絡安全架構——傳統的網絡安全架構基于網絡邊界防護。企業構建網絡安全體系時，首先把網絡劃分為外網、內網和DMZ區等不同的安全區域，然后在網絡邊界上通過部署防火墻、WAF和IPS等網絡安全技術手段進行重重防護，構筑企業業務的數字護城河。

不過，這種網絡安全架構假設或默認了內網比外網更安全，在某種程度上預設了對內網中的人、設備、系統和應用的信任，從而忽視內網安全措施的加強。然而，美國Verizon公司的《2017年數據泄露調查報告》指出，造成企業數據泄露的原因主要有兩類：其一是外部攻擊，其二就是內部威脅。

不僅如此，當前，隨著網絡攻防技術的發展，新型的網絡攻擊手段層出不窮，攻擊者面對層層設防的網絡邊界，往往會放棄代價高昂的強攻手段，轉而針對企業內部網絡中的計算機，采用釣魚郵件、水坑攻擊等方法滲透到企業網絡內部，輕松繞過網絡邊界安全防護措施。由于人們普遍認為內網是可信任的，因此，攻擊者一旦突破傳統的網絡安全邊界進入內網，就有可能帶來極大的網絡安全問題。

在這樣的認識下，傳統的網絡邊界安全架構亟待重新評估和審視。實際上，近年來，相關企業、研究機構也逐漸認識到：傳統安全架構過度依賴阻截和防御機制，無法適應未來網絡架構的迅速變化以及隨之而來的攻擊。與之相對應的是，未來網絡安全應基于業務自內而外地構建安全體系，企業級網絡的核心功能應是對業務行為進行識別分析和持續監控。由此，自適應安全架構應運而生。

自適應安全架構最早由Gartner在2014年的ISC（Internet Security Conference）上針對高級攻擊提出，不過，這套架構在當時并未引起足夠的關注。盡管自適應安全架構在剛被提出的兩年里，認可度并未得到全面的提升，但到了2017年，在對于網絡安全的龐大需求下，順應著技術的發展，Gartner把自適應安全架構列入“2017年十大戰略技術趨勢”，認為它是現代數字業務的重要組成部分。

Gartner分析師認為，數字業務是融合了設備、軟件、流程和人的智能且復雜的系統，而數字業務的安全保障體系將成為一個復雜的安全世界，這就需要一種持續、連貫和協調的方法來保障其安全性。

不難看出，發展自適應安全架構是一種安全理念上的根本切換。首先，自適應安全架構強調從“應急響應”轉到“持續響應”，認為攻擊是不間斷的，黑客滲透系統和企圖獲取信息的努力是不可能被完全攔截的。系統應承認自己時刻處于被攻擊中，并持續檢測、完成修復。

其次，發展自適應安全架構在實現上不應再沉迷于阻斷，而更多關注檢測、響應和預測能力。來自不同供應商的網絡、終端和應用安全防護平臺應當通過對知識的集成以建立情境感知，提供預測、防御、檢測和響應等能力。

最后，對于發展自適應安全架構來說，安全監控和策略執行都直接運作在每個業務單元而不依賴于基礎設施或硬件，這賦予了企業級網絡更細粒度和更豐富的持續監控能力和行為分析能力，可以真正做到對多形態攻擊甚至高級攻擊的快速響應及恢復，同時對任何基礎設施和業務的變化具備自適應能力。

自適應安全架構能帶來什么？

對于信息社會來說，要知道，信息化和信息安全還是有著根本性的不同的。信息化的重點在于初期建設，就像建筑師蓋一座大樓；后期的維護工作相對簡單，就像是公寓的物業管理。而信息安全則不同，對于信息安全來說，初期建設只是一個開始。實際上，可以說，信息安全是一場戰爭，它是一個持續的過程，只要信息系統存在一天，戰爭就不會停止。

并且，就目前的網絡攻擊來說，如前所述，攻擊腳本和惡意程序的增長速度迅速，而如果沒有創新的技術，傳統的特征庫已經無法保證惡意代碼的檢出率。在這種情況下，新型攻擊難以被發現也是必然的結果。

越來越頻繁的攻擊和越來越多樣的攻擊技術，帶來的結果就是安全團隊的工作量越來越大，需要的專業化程度也越來越高。有的安全團隊會長期超負荷運轉，應付各種重復工作；也有的安全團隊采購先進設備，但由于使用太復雜，所難以發揮效果。

基于此，作為一個高價值的體系框架，自適應安全架構則集防御、檢測、響應、預測四項關鍵能力于一身，通過大數據安全分析來實現閉環防護控制，既繼承了傳統防御體系基于策略的攔截與阻擊，又能發現那些逃過防御的攻擊，高效調查和補救威脅事務，分析入侵來源，并生成預防手段。

可以看見，一方面，自適應安全架構為網絡空間安全保護提供了堅實的保證。比如，國家網絡空間安全保護系統（NCPS），又稱“愛因斯坦計劃”，由美國國家安全部負責設計和運行，旨在開發一套協助聯邦政府機構應對信息安全威脅的工具集。該系統為聯邦政府機構提供四種網絡相關服務的能力，包括入侵檢測、入侵防御、證析和信息共享。其中，證析是指通過對數據進行收集、預處理和分析后對得到的知識進行綜合；信息共享則指交換網絡威脅和事件信息的過程中所有情報知識在企業網絡中共享。

不難發現，這個系統與自適應安全架構提出的四大能力即檢測、防御、響應、預測幾乎是一致的。這個系統已在除美國國防部及其相關部門之外的其余23個機構中部署運行，當前部署的已是第三代愛因斯坦系統，兼顧入侵檢測和入侵防御功能，可自動識別和阻斷。

另一方面，自適應安全架構還打開了安全即服務的新模式，極大地拓展了傳統安全架構的體系和方法論，重塑了安全管理平臺，可以推動高級威脅檢測、欺詐檢測、網絡威脅情報分析與協作，催生其他各類安全產品。

比如，在業務模式上，催生了安全即服務（SECaaS）的發展。通過整合大數據安全分析與大數據業務分析，安全數據會成為與業務數據相互伴隨的成分，需要安全團隊與業務技術部門在交互與協作、開發、運維方面開展新的融合。此外，催生了更多安全管理咨詢產業，為企業機構量身分析定制新架構下的實施方案。

隨著數字經濟時代的到來，網絡信息技術已經從輔助性的配合角色，轉變為融合運營技術的關鍵基礎性支撐角色。相應地，網絡安全工作也就必須從解決措施“有沒有”問題的階段向注重效果“好不好”的持續提升模式轉變。可以預見，伴隨著數字化浪潮的進一步發展，自適應安全機構還將作為極佳安全保護方案，為數字時代的網絡安全提供更多保護。