企业安全架构

安全架构是指企业综合业务需求和对未来变化因素的考虑，针对各种安全威胁，设计的一个布局合理，提高安全系数、降低风险、节约成本的系统。

企业安全架构（Enterprise Security Architechture，ESA）在企业的层面定义了需要支持业务运行的IT安全能力和需要提供的功能，帮助企业在IT安全能力方面做出正确战略决策和运作决定，最终为辨别、选择、获取、设计、实施、部署及运营安全管控系统的决策提供依据.

企业安全架构着眼于在整个企业组织架构中贯彻信息安全基础架构，而非针对单独特定应用系统的具体功能性和非功能性组件，着眼于一套能平衡企业组织架构中多种应用、系统或业务流程的安全服务的战略设计。

企业安全架构的特点：

1、企业安全架构是一个长远的控制观点，而不是一个战术观点。

目前企业的信息安全建设面临着这样的问题∶大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施，而各种异构的解决方案的重复建设和低效率将成为安全架构需要着手解决的首要问题。

企业安全架构的总体趋势是为特定的执行情况而部署这些机制来作为战术上的解决方案，而为了提供一个统一的观点和基于成本的考虑，优秀的企业安全架构的设计是具有战略意义的。这意味着企业安全架构经规划蓝图、设计规范、拓扑图和配置等具有更长的生命周期。如果过于具体，反而将制约当前的情况;反之，如果过于空泛或一般，则无法提供决策和指导。在企业整体的技术环境下企业安全架构将为相关鉴别、选择、采集、设计、实施、部署和运维提供决策依据。

2、企业安全架构的目标是共同的。

一个企业的安全架构是应该支持多组织、多部门和多业务单元.描述安全控制及措施的长期技术趋势。它允许多种具体实现取决于现实的时刻，应小心避免安全体每户成为特定实施的蓝图。企业的安全架构应该为整个组织机构提供一个全面风险管理的指导。

3、企业安全架构提供了一个统一的公共安全机制的远景。

通过提供公共服务的模型，企业的安全架构着眼于从整体的角度来检查安全控制措施，识别出已有安全控制措施下的潜在风险，提供一个长远的改进计划。同时，这也是一个安全管理最佳实践中的基本组成。

4、企业安全架构提供了一个灵活的方式来处理当前和未来的威胁。

企业安全架构的所有基础组件的开发和部署只需要做一次，在基础结构已经确定的前提下，其他架构组件就更容易处理。如果基础架构引入新的举措，可能会引入新的弱点。如果外部新的弱点被引入，则安全架构就需要通过风险评估重新评估。

总之，企业的安全架构需要符合下述的论述。一个有效的安全规划是承认随着时间的推移，所有的信息资产的价值和风险是不相等或恒定不变的；一个有效的安全规划是承认随着时间的推移，所有的信息资产的价值和风险是不相等或恒定不变的；一个有效的安全方案运用最适合的技术来保护最关键的资产，并结合执行和质量保障计划把风险减少到可接受的水平。

高品质的安全规划，包括经常性的管理审查和技术评估以确保安全控制措施的有效性并提供相关的反馈，使技术和方法适应资产的价值和风险随着时间的变化。

企业安全架构：

为什么需要企业安全框架？

没有安全的架构 == 噩梦的开始

一方面，实现业务与技术之间的“沟通”，让相关的业务与安全方面的技术对应起来。另一方面，实现模块化管理，让负责某一模块的人员有相关的话题可以谈，同时对于应急响应也可以及时排查等。

安全架构结合业务需求和对未来变化因素的考量，针对各种安全威胁，设计一个布局合理，提高安全系数，降低风险，节约成本的系统。

目标

从高层角度来看：用户体验，成本控制，数据保密

从技术的角度来看：可用性，数据完整性，数据保密性，不可否认性

从安全与角度来看：硬件，网络层，操作系统层，应用系统层，数据

设备安全

自然灾害，人为破坏，机房环境（温度、湿度、电力），操作使用，档案管理，介质安全

其中设备安全又分为机房设备、办公设备。在当下云计算趋势下，企业一般不会有自己的线下机房，所以这一部分可以忽略。但重要业务该做异地灾备的还是得做。

网络层安全

威胁：中间人攻击、拒绝服务攻击、DNS欺骗、ARP欺骗等

安全措施：网络层防火墙，加密传输协议，访问控制，身份验证，日志记录，密码策略（复杂度、有效期），多因子认证

操作系统层安全

威胁：系统漏洞，配置错误，权限过大，开放不必要的端口

常见攻击：溢出、端口扫描、权限提升、木马/后门等

安全控制：访问控制，打补丁，系统服务优化，防病毒，主机注入检测，主机入侵防御等

应用层安全

由于应用系统层产品种类多样性、异构性（b/s，c/s，分布式），以及现在主流的多应用业务系统（微服务架构），业务复杂度变得越来越复杂，所以威胁也随之提升不少。

威胁：代码泄露，注入，配置不当，不安全的访问控制，拒绝服务，伪造篡改欺骗，XSS，SSRF，引用不安全的第三方组件/依赖包

安全控制：密码策略（密码强度验证），设计合理的权限（访问控制），实施监控，威胁建模，静态代码分析，黑盒测试，前后台分离等。

数据安全

威胁：内部人员泄露（有意、无意），外部业务系统漏洞

安全控制：办公终端数据防泄漏（DLP），数字水印，业务系统安全测试，代码审计，数据分类分级，脱敏/加密，数据完整性校验，数据异地备份等。

人员安全

签订保密协议，建全安全制度/流程，安全意识培训，岗位轮换，职权分离，背景调查等等。

企业安全架构模型

zachman、SABSA、TOGAF、ISO27001(ISMS)、ITIL、CMMI、zero trust、CARTA、ATT&CK

其中，ISO27001是比较主流的、通用的安全框架。

随着安全的快速发展，为应对和解决各种安全问题，各权威机构以及相关专家提出了很多安全架构，它们对安全发展都具有重大意义。但是，如果一定从中选出几个对当今安全发展影响最大的安全架构，一定是Gartner提出的Adaptive Security Architecture模型(CARTA属于自适应架构3.0)、Forrester提出的ZeroTrust模型及MITRE的ATT&CK框架。

Zero Trust和Adaptive Security Architecture是前几年一直火热的理论模型，ATT&CK则是最近一年国内信息安全圈最火热的一个新名词了。相信安全从业人员对于这几个概念或多或少都有了一定的了解。

先说下自适应安全3.0阶段的CARTA模型(持续自适应风险与信任评估)，这是自适应安全架构演进后形成的一个概念。CARTA所强调的对风险和信任的评估分析，与传统安全方案采用allow或deny的简单处置方式完全不同，CARTA是通过持续监控和审计来判断安全状况的，强调没有绝对的安全和100%的信任，寻求一种0和1之间的风险与信任的平衡。

这三个理论框架之间有什么关系呢? 要实现CARTA，第一步就是零信任，首先需要评估安全状况，包括验证用户、验证设备、限制访问和权限，最后是自适应的调整策略。然后，在整个安全过程中，安全状况会随时发生变化，其中最主要就是需要面临各种攻击，因此需要进行持续检测，这个时候ATT&CK框架就是一个很好的安全检测和响应模型。

零信任是实现CARTA第一步

为了更好地理解数字时代的信任，需要先了解“Trust”这个词本身的含义。所谓信任，是两个实体之间建立的一个彼此连接关系，这个关系要求彼此能够按照预期的方式做事。在这个过程中，需要监视在彼此交互期间双方是否在约定的预期范围内活动。如果发生风险性的偏差，就需要纠正此类偏差甚至是中断彼此的信任关系。在这里需要强调的是，信任并不是绝对的，而是一个相对的概念，并且是一个动态变化的关系。

在了解了Trust的概念之后，就比较容易了解网络安全概念中所谓的Zero Trust(零信任)了。零信任网络是指，所有初始安全状态的不同实体之间，不管是企业内部还是外部，都没有可信任的连接。只有对实体、系统和上下文的身份进行评估之后，才能动态扩展对网络功能的最低权限访问。

零信任网络默认使用Deny作为起点。在授予网络访问权限之前，要对实体和设备的身份和信任进行评估。当然，Gartner提出的CARTA模型，已经扩展到了网络之外，包括IT堆栈、风险合规治理流程等方面。在交互过程中不断监视和评估风险和信任级别，如果发现信任下降或风险增加到了阈值，需要进行响应，则应该相应地调整访问策略。

CARTA战略流程

此外，CARTA在战略方法中强调，在交互期间持续监视和评估实体及其行为。在自适应安全架构中，CARTA战略总共包括七个步骤，零信任可以作为其第一步，如下图所示。

CARTA战略的七个步骤

在CARTA的自适应攻击防护架构中，采用的正是零信任策略，如下图右上角红框内容所示。采用零信任架构是防护的第一步，可以很好地应对内部攻击。在建立一定程度的信任连接之前，会对系统进行加固和隔离，所有微隔离的Projects之间都是采用零信任网络连接。而CARTA进一步扩展了零信任的概念，并将攻击防护视为一个持续的风险和信任评估过程，如下图深蓝色部分所示。在图形的中心，CARTA还扩展了网络之外的功能。例如，CARTA在系统上运行时监视可执行代码，以发现恶意行为和风险的迹象，即使它通过了初始风险和信任评估。这就是被称为终端检测和响应的EDR技术。

采用零信任实现自适应攻击防护

同样，在CARTA自适应的访问防护架构中，初始安全状态都是默认deny状态，如下图右上角的红框所示。在对用户的凭据、设备和上下文进行评估之前，用户没有任何访问权限。因此，在建立足够的信任级别之前，不应该授予访问权限。CARTA进一步扩展了零信任的概念，并将访问保护视为一个持续的风险和信任评估问题，如下图的深绿色部分所示。在图形的中心，CARTA还扩展了网络访问之外的功能。例如，CARTA战略方法监视用户的风险行为，即使他们已经通过了初始风险和信任评估，并被授予了对应用程序的访问权。这就是被称为用户和实体行为分析的UEBA。

采用零信任实现自适应访问防护

ATT&CK是CARTA持续风险评估的保证

CARTA和ATT&CK一样，都非常关注检测和响应部分的实现。而ATT&CK作为入侵分析“钻石”级别的模型，能够增强企业的检测和响应能力。那么，如何根据ATT&CK框架来检查目前安全产品的整体覆盖度，进行全面的差距分析，以及如何将ATT&CK所涵盖的技术点融入到产品中去，这些都是值得大家思考的问题，这也是自适应安全架构最核心的检测和响应部分内容。(建议读者先阅读一下笔者先前的文章《一文看懂ATT&CK框架以及使用场景实例》和《细述MITRE ATT&CK框架的实施和使用方式》，对ATT&CK框架的概念、使用场景、以及实施和使用方式先有一个初步的了解，这更有利于理解文本的内容涵义。)

ATT&CK框架核心就是以矩阵形式展现的TTPs，即Tactics,Techniques and Procedures(战术、技术及步骤)，是指攻击者从踩点到获取数据以及这一过程中的每一步是“如何”完成任务的。因此，TTPs也是痛苦金字塔中对防御最有价值的一类IoC。当然这也意味着收集TTPs，并将其应用到网络防御中的难度系数是最高的。而ATT&CK则是有效分析攻击者行为(即TTPs)的威胁分析框架。

ATT&CK使用攻击者的视角，比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。对于检测，虽然很多防御模型会向防御者显示警报，但不提供引起警报事件的任何上下文，例如从防御者的视角自上而下地介绍安全目标的CIA模型、侧重于漏洞评级CVSS、主要考虑风险计算的DREAD模型等。这些模型只能形成一个浅层次的参考框架，并没有提供导致这些警报的原因以及与系统或网络上可能发生的其它事件的关系。

而ATT&CK框架提供了对抗行动和信息之间的关系和依存关系，防御者就可以追踪攻击者采取每项行动的动机，并了解这些行动和依存关系。拥有了这些信息之后，安全人员的工作从寻找发生了什么事情，转变为按照ATT&CK框架，将防御策略与攻击者的手册对比，预测会发生什么事情。这正是CARTA所倡导的“预防有助于布置检测和响应措施，检测和响应也有助于预测”。

使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源，企业需要对数据质量、数量内容等方面进行管理。可以使用MITRE ATT&CK导航工具，按下图所示方式将数据源映射到ATT&CK技术，进行可视化展示。

、

企业可以根据ATT&CK知识库中存在的威胁组织和恶意软件创建热力图。将威胁组织使用的技术与企业的检测或可见性水平进行比较，确定哪些方面可能存在差距，需要改进，从而增强检测和事件响应能力。基于ATT&CK中所有威胁组织数据的热力图，热力图中的颜色越深，则表示攻击组织使用该技术的频率就越高。

基于威胁组织的热力图

例如，某些ATT&CK技术与自身企业相关。那么，企业就可以将其与当前的检测状态进行直观比较，确定在ATT&CK技术方面可能存在的差距或改进之处。

将威胁主体攻击技术与企业的检测结果进行比较

最后，基于上述分析，以ATT&CK框架为基础实现检测方案的可视化，然后对检测方案进行评分(如下图所示)，管理检测和响应方案。

Zero Trust和ATT&CK架构都是从攻击者的视角出发看问题，颠覆了传统上的纯粹防御安全观念，与CARTA倡导的安全人员应该通过理解上下文和持续风险评估来灵活调整安全策略的理念有诸多异曲同工之处。

鉴于在安全领域，防御者始终处于一个敌暗我明的天生劣势，因此，安全人员应该采用零信任的态度，并主动提高安全检测能力，才是根本之策。CARTA蓝图可以帮助大家实现这一目标，而Zero Trust和ATT&CK框架则是成功落实该理念的关键保障。

原文始发于微信公众号（信息安全笔记）：企业安全架构