安全方法论里，还缺一个实战安全架构

如果加星标，可以及时收到推送

锐安全第242篇原创文章，

本文2036字，阅读时长8分钟

“盾立方”理论体系里提出了一个网络安全对抗三大模式：自卫模式、护卫模式、迭代模式，但是只讲了它们的定义和特点，没有明确讲它们之间的关系。

我理解的三大模式的关系

这三个模式其实是三种类型的安全体系：护卫模式是前置安全体系、自卫模式是原生安全体系、迭代模式是安全运营体系。

图：三大模式的关系

护卫模式和自卫模式都是“特征驱动”的威胁缓解体系，它们会逐级降低威胁产生的危害，同时产生防御数据；迭代模式是“数据驱动”的数据分析体系，最终通过数据研判与策略调优，反向优化护卫模式和自卫模式，这种反向优化目前参与者是人，未来就有可能是“AI驱动”。

自卫模式覆盖的方法论

如果把自卫模式拆分一下，可以看到强耦合与弱耦合两种方式。沈院士的可信计算理论和邬院士的内生安全理论是强耦合方案，蚂蚁集团的安全平行切面理论是弱耦合方案。

护卫模式覆盖的方法论

用同样的方法把护卫模式拆分一下，可以看到方院士的盾立方理论是防御者视角的安全体系，很明显，还缺少一个攻击者视角的安全体系。

滑动标尺的遗憾

如果要评出网络安全领域最具影响力的三大安全架构，SANS研究所(SANS Institute)于2015年发布的网络安全滑动标尺模型（Sliding Scale of Cyber Security）必在其列。

图：NIST 网络安全滑动标尺模型（Sliding Scale of Cyber Security）

它把安全建设分成了：架构安全（Architecture）、被动防御（Passive Defense）、积极防御（Active Defense）、情报（Intelligence）、进攻/反制（Offense）五个阶段。

这里面有个遗憾，就是如果我们把目前的安全能力与这五个阶段进行映射的话，唯独“进攻/反制（Offense）”阶段谈的是利用法律手段和自发的反击行为，没有相对应的安全体系。

实战安全架构

图：NIST的网络安全框架（Cybersecurity Framework,CSF）2.0要素

NIST的网络安全框架（Cybersecurity Framework,CSF）同样是网络安全领域最具影响力的三大架构之一，2024年2月26日发布了最新的2.0版本。该版本最大的变化是增加了“治理”的核心要素和“风险”的概念，让我们看到了一个更大的安全视野。

所以，我想基于NIST CSF2.0,在“数字安全”的框架下，生成一个“实战安全架构（OSA, Offensive Security Architecture）”，用来填充攻击者视角的安全体系。

图：实战安全架构（OSA, Offensive Security Architecture）1.0

该架构分为四部分：治理环（Govern）、风险环（Risk）、CSF处置环和OSA支撑环。

治理环（Govern）是NIST于2024年2月26日发布的网络安全框架CSF2.0版本里新增的部分，其中包括企业风险管理战略制定、网络安全供应链风险管理、新兴技术风险管理、风险管理战略监督四部分动作。未来数字安全时代，安全不仅仅是一个管理概念和运维动作，而是要以企业业务为目标，从战略层面进行思考。

风险环（Risk）是NIST网络安全框架CSF2.0定义的网络空间安全风险（Cybersecurity risk）和私有风险（privacy risk），在这两种风险之间，是相互关联的风险事件。

图：网络安全风险与私有风险之间的关系

过去做安全建设，要么从组织外部出发，只关注“网络空间安全风险（Cybersecurity risk）”；要么从组织内部出发，只关注“私有风险（privacy risk）”。随着数字经济的快速发展，这种内外网络的边界越来越不明显，因此内外网的交叠就会产生一个相关度很高的中间风险层。比如身份与数据，往往就是内外网直接穿透的，因此它们会形成一个关联风险层，对这一层的处理就需要一些新的方式方法。

CSF处置环，就是NIST网络安全框架CSF1.0定义的识别（Identify）、保护（Protect）、检测（Detect）、响应（Respond）、恢复（Recover）等五个核心要素，俗称IPDRR的安全处置闭环。

从目前的安全产业状况来看，一些出现时间久、技术成熟度高的产品，一个产品就可以实现IPDRR这五部分能力的处置闭环，如终端安全类产品。而另外一些产品，则要由多个产品联动才能实现这样的安全能力处置闭环。

所以CSF处置环其实是从能力维度阐述的安全处置系统，即不管你是什么方向的产品，则都需要这五部分的能力，才能形成安全能力建设的闭环。

OSA支撑环，就是支撑CSF处置闭环的保障体系，是从技术维度来阐述的安全保障系统，目前定义了四大基础支撑技术：防御型安全（Defensive Security）技术、进攻型安全技术（Offensive Security）、情报（Intelligence）技术与人工智能（AI）技术。

防御型安全技术以“纵深防御为核心”，聚焦安全过程，追求安全建设的完备性。比如传统的防火墙、审计系统等。进攻型安全技术“以攻防实战为核心”，聚焦安全结果，追求安全建设的有效性，比如漏洞扫描、渗透测试、红队演练、社会工程测试、攻击面管理、攻击溯源、有效性验证等。

情报包括开源情报（OSINT）、威胁情报（TI）、特有情报等，从2015年的威胁情报开始，安全类情报已经发展了近十年。

人工智能是未来数字经济的新型生产力，无论是过去的传统机器学习技术，还是如今基于深度学习的大语言模型技术，都是未来安全需要考虑的核心技术。

我们可以用这个实战安全架构来反观自己的安全体系建设，可以问自己以下五个问题：我们是否有自己的企业风险战略？我们是否开始关注外部风险、内部风险以及相关联的风险？我们每一项安全能力建设是否形成了处置闭环？我们是否构建了核心安全技术体系？

如果我们是基于滑动标尺来展示自己的安全建设成果的话，那么有了这个架构，我们至少可以回答一个问题:就是在反制阶段，我们已经站在组织的高度、站在业务的角度思考了风险；我们不光守好了家门、还看守了院门；我们不光看到了过去，还着眼了未来！

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质！这里是锐安全，今天就到这里，咱们下周四再见！

点击文末【阅读原文】,看到一个完整的安全系统

end