诸子笔会2022 | 刘志诚：红与蓝：安全控制有效性验证的现状与展望

资讯作者：安在 2022-08-04 21:18:52 阅读：215

自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

红与蓝：安全控制有效性验证的现状与展望

文 | 刘志诚

刘志诚

乐信集团信息安全中心总监

关注企业数字化过程中网络空间安全风险治理，对技术风险治理拥有丰富的理论和相关经验。

安全体系的建设是个亘古常新的话题，伴随业务需求、技术进步、组织模式不断推陈出新，往深入，细致领域发展。从NIST的IDPRR的构建框架，到安全滑尺从基础体系建设到主动防御的能力提升框架，再到GARTNER推出的IDPR基础上的持续自适应安全架构，都在安全保障能力如何实现纵深防御的铜墙铁壁上下足了功夫。不过，总会有质疑的声音出现：安全能力体系的建设，如何证明真正起到控制风险的作用，可以为业务保驾护航？回答这个问题，就需要从不同角度进行论证。

传统有效性验证模式

1、合规建设，满足安全合规的要求，是一种论证模式。

国家对网络安全的重视也经历了计算机时代、网络时代、信息化时代、数字化时代的沿袭变革。在我国网络安全历史上承担重要地位的等保测评机制，通过细化的安全基线检查列表，在信息化安全人才紧缺的时代，为建立企事业单位安全防线立下了汗马功劳，并在2.0的升级版本中涵盖了新兴技术和需求，弥久常新，奠定了网络信息安全基础能力体系建设的基调。当然，基于静态的基线核查模式的检查，缺少实时、动态、持续化、自动化的验证和监测能力，缺失了持续性安全检测的一环。

攻防演练，通过动态、实时的模拟真实攻防场景的验证和检测，在五年来发挥了积极的价值和作用，从第一届的边界保卫战，到第二届的0day大战，再到第三届的社会工程，可以看到安全行业和防守方企事业单位安全攻防能力的持续增长，其中安全产品爆出的漏洞被攻破，更是为整个安全行业自身安全能力建设敲响了警钟。当然，攻防演练过程中也不乏出现停网站、拔网线等令人啼笑皆非的事件。

无论等保检测还是攻防演练，都是国家网络安全主管单位从合规角度出发的整体安全控制有效性验证的手段，从企业的角度而言，仍是合规出发的安全验证。

2、内部审计，满足安全管理体系的要求，是另一种论证模式。

审计，作为公司治理有效性验证的重要手段，在财务领域一直有比较广泛的应用。随着信息化时代的发展，传统四大审计事务所的业务领域也深入到信息化审计中，网络信息安全一直有着三分技术七分管理的说法，因此，审计作为安全管理体系有效性的验证手段，一直是关键的安全有效性验证方案之一。安全管理体系遵循着自上而下的建设模式，先有关于安全战略的顶层设计和领导层支持，然后从组织架构的层面上建立责任清晰的安全分工协作机制，通过安全制度的贯彻，落实安全风险的评估和控制措施的建设，在这个环节中，安全技术只是整个安全体系的一部分。对于这个安全机制运作的是否良好，依赖审计的机制，审计对相关风险是否有制度的覆盖，有风险评估的记录，有制度执行的记录，有控制措施的执行记录，进行审核与检查。可以看出审计主要基于对文本的记录审查，部分涉及到系统的配置和基线检查的工具检查，属于形式审查的范畴。

从内部审查到外部第三方审计，随着数字化时代供应链安全风险的增加，第三方审计机构基于ISO27000系列国际标准的审计，也成为企事业单位向第三方证明网络信息安全控制措施有效性的必要措施和手段之一。

在面对数字化和新技术的需求下，业务过程的实时在线，安全风险超越了传统企业安全的边界，静态的、非连续的、形式上的安全审查对安全控制措施的有效性验证存在着严重不足，审计虽然具有重要的价值和意义，但是单纯地依赖传统审计的方法和手段，显然不能满足安全有效性验证的要求。

3、渗透测试，在研发安全难以覆盖的运营阶段作为安全控制有效性验证手段，是常见的验证模式之一。

在信息化时代，信息化系统作为管理系统和业务支撑系统一般采用标准化的商业套件满足办公需求。数字化和互联网时代，作为业务运作核心的作业系统成为公司的核心竞争力，信息系统往往通过企业自主研发的模式实现，为了快速满足业务发布的需求，获得竞争优势，敏捷开发成为主流，在云原生技术体系的背景下，微服务、容器化、DevOps、持续交付成为常态。传统信息化产品厂商，例如微软在产品开发的瀑布模型时代已经建立了SSDLC的软件开发生命周期的安全管理，在需求阶段做了威胁建模，设计阶段做了安全预防测试能力化的集成，开发阶段的白盒、灰盒、黑盒测试，保障产品开发阶段的安全。在面对云原生环境下，随着研发模式的变革，互联网企业也逐渐演变出了DevSecOps的信息化系统安全开发方案，通过开发安全工具的自动化集成实现产品的安全保障。遗憾的是，安全的专业性，以及从成本效益出发，使得从目前来看，要让互联网企业在研发安全过程管理中都具备开发安全团队，以及具备相应的检测和安全能力集成的能力，仍是一件比较奢侈的需求。

缺失信息化系统开发阶段的安全设计和预防能力集成，仅靠系统部署阶段的安全漏洞检测与扫描，显然会带来更多的风险，这也是业界一直提倡安全左移的由来。在系统运营过程中有效性的验证，主流的方式是通过第三方的渗透测试，以及自建或第三方SRC的白帽众测方式。寄希望通过模拟黑客攻击的方式，以攻击方的视角发现相关漏洞，规避风险。

渗透测试依赖于渗透测试方安全技术的能力和挖洞能力，最大的问题是如何保证渗透测试团队能力的稳定性，和能够覆盖所有的系统风险的问题。如果不能解决这两个问题，即使通过了第三方的渗透测试，也不代表系统是安全的，是没有风险的。毕竟，这种成果高度依赖于渗透测试人员能力带来的不确定性和覆盖率。另外，渗透测试作为阶段性的产物，同样存在不可持续性验证的风险，是渗透测试对安全控制有效性验证难以克服的缺陷。

图一、传统安全有效性验证模式

综上所述，目前的安全控制有效性验证手段，存在静态、非连续、单点、非交互、不透明、覆盖率不确定、手工等一系列问题，想要实现安全控制的有效性验证就需要做到动态、连续、关联、交互、透明、全覆盖、自动化的相关要素。

有效性验证的发展

有效性验证是个复杂命题，传统的验证模式并不是没有存在的价值，建立安全基线，对安全配置有效性的验证、检查，基于清单机制的验证、排查，做到静态的验证仍然是必须的。具备研发安全管理能力和相关自动化工具，对漏洞等脆弱性的检查和扫描仍是有效性验证不可或缺的一部分。对制度、流程、记录的形式审查仍是有效的功能验证的必要手段，渗透性测试和SRC下的白帽众测，同样会从不同角度和视野带来具有价值的有效性验证。只不过，我们会在此基础上，更加强调缺失的有效性验证部分，通过对相应能力的补充建设，实现全面的安全控制有效性验证。

1、红蓝对抗，组织级的可持续实战演练有效性验证。

攻防对抗作为安全有效性验证的手段之一，最容易引起关注，涉及到对脆弱性的直接利用，造成安全事件的影响，对于非安全的业务部门和主管单位而言，更加直观。渗透测试从攻击者视角的漏洞挖掘和验证，在业务无损的前提下，实现有限的安全验证一直是常用的攻防手段之一。在攻防演练的背景下，以漏洞的验证和利用，达到攻击和破坏的模拟效果，相对于渗透测试更进一步。相对于国家级和省市级的攻防演练，企业如果具备自己的传统意义上的攻击队——红队，那么可以有组织、持续化地攻防演练，对企业的安全控制有效性验证，势必效果明显。但是，如果红队仍是基于传统的挖洞思维模式，在实验环境进行模拟攻击，就会存在覆盖率的问题，如何验证红队的攻防演练是否覆盖到了应用系统可利用的漏洞，这是一个挑战。

MITRE发起的ATT&CK项目，从攻击者的角度，对攻击者战术、技术、流程进行细化，形成TTP的图谱，涵盖了已知攻击者视角的攻击路径分析和全量攻击图谱，其中的开放性为图谱的更新和完善的及时性奠定了基础，是企事业网络信息安全防御体系建设不可或缺的重要参照物，红队的作战路线图和计划，可以参照建设。攻击者在防守者安全防御和保障体系的建设中，也已经脱离了传统脚本小子和单兵作战的阶段，全面进入了有组织的体系化攻击时代。目前，各国安全公司和情报组织发现了近百家高级可持续威胁（APT）组织，而且各组织的攻击TTP（战术、技术、流程）具有鲜明的个性化特征，从漏洞的利用，武器的构建，攻击的模式上，具有明显的可识别性。这也促生了对APT组织的TTP映射到ATT&CK中，实现ATT&CK中ATP组织攻击向量的重建。

蓝军构建网络信息安全体系时，基于数据驱动的安全，实现对攻击的发现，预警一直是甲乙双方梦寐以求的理想。早年的SOC建设，后续基于日志与流量的SIEM建设，包括当下热点的XDR建设，无不希望在企业中发现攻击者的身影，实现预警、溯源甚至反制。但建立关联分析始终是一个难以逾越的门槛，无论是基于经验的规则，还是基于人工智能深度学习、机器学习的无监督算法，如何实现大海捞针真是个技术活，解决不了误报的问题，就会与早年IDS、IDP、下场类似，食之无味、丢之可惜。而基于ATT&CK对APT组织的攻击向量重建形成的威胁狩猎（TH）似乎是看到了一点曙光。

破坏与攻击模拟（BAS）技术，在2021年Gartner的网络安全运营技术炒作曲线中达到了技术炒作的顶峰，只不过距离成熟度仍有6-8年的周期。最新的2022年的技术曲线中，成熟度周期已经缩短，可见该领域的投入以及发展迅速。突破传统的单点漏洞利用和验证，在企业真实的信息化部署场景中，通过对资产漏洞的发现，实现多漏洞的组合利用，形成攻击的模拟，进而实现真实的突破和对安全控制的有效性验证，确实对企业安全体系建设来说具有重要意义。当然，需要突破的难点仍然非常多，存在巨大的挑战。

2、扩展的攻击面管理，实现自动化持续化红军，是全面验证控制有效性的未来。

本年度攻防演练的第一周，相对于以往的0day频出，明显呈现出不同的特征出来。首先，社会工程明显增多，这不得不让我们想起第一黑客麦克尼利，并不一定需要多高深的技术，有时候仅是利用人性的弱点。这也给我们上了生动的一课：安全意识教育不仅是标语、口号，而是实实在在的防线。而NG、Log4J这两个貌似顶级的0DAY漏洞在引爆之后，据安全企业的验证，可能是惑敌的烟幕弹，也是促使防守方自乱阵脚的秘密武器，攻防演练的舆论战，已经不知不觉地来到我们身边。

Gartner在2021年网络安全运营炒作技术曲线中提到了两个新的概念，一个是扩展的攻击面管理（EASM），一个是比较拗口的自主的可持续化的红队，我觉得firecompass基于此提出的产品理念自动化可持续红队（CART）更贴切和容易记忆，因此，本文就针对这两个方向稍微做下延伸和联想。

攻击面管理（ASM）已经是一个耳熟能详的概念，但显然更多的从业者关注的是企业的攻击面，甚至是企业边界的攻击面。美国针对企业的网络安全产品，一般是定义到办公网的范畴，关注的是员工、终端、办公内网的安全体系建设，甚至对IDC涉及有限。毕竟美国大部分企业的信息化体系建设成熟，近年的发展也逐渐迁移到公有云设施之上，所处的环境与中国企业有较大的差异。从互联网和数字化的角度而言，中国在弯道超车的同时，也暴露了信息化和数字化基础设施建设的短板，照抄美国的网络信息安全防御机制，会暴露出大问题。因为，中国的企业不能按照美国企业一样关注点仅放在办公网的安全。

中国企业需要关注自己的业务承载，甚至2C业务系统环境下整个企业的安全边界，也即生产网的安全。随着软件定义边界（SDP）等零信任概念的普及，中国企业已经逐渐意识到生产网和办公网之间的连通性，不存在所谓的内网和边界，在关注南北向的同时，需要把视角进一步延伸到东西向的内部。一个重要的信号是，企业对网络资产的发现、管理，不能仅停留在主机、设备、IP、中间件层面上，而需要关注到开源组件、软件工程、数据等新兴的资产上来。

即使在美国，Gartner提出的EASM8个用例中，同样对资产的丰富性，组织的丰富性，分支机构、收购以及企业生态的复杂性、供应链、合作伙伴纳入到扩展的攻击面管理中。相对于国外调研机构的数据泄漏事件主要出自内部的观点，据我们的实证研究，中国的数据泄漏主要源自于合作伙伴。相对于传统的信息化管理系统，业务系统的生态关联性更强，特别是平台型企业，链接生态环境中的复杂性，导致企业的风险来自于四面八方。因此，合作伙伴的扩展攻击面管理刻不容缓。

红队的建设从无到有是攻防演练不可淹没的功劳，但长久维持一个人工的红队进行持续性、自助的攻防演练，显然从成本的角度上不太可行。但基于攻击向量的红队持续化的模拟破坏攻击又是不可或缺的安全控制有效性验证手段，自动的、可持续性红队成为一个显而易见的答案，理念容易，实现需要突破现实中的障碍。

智能化、自动化是安全领域蓝军建设应急响应能力的手段之一，XDM扩展的响应与检测可以看做自动化编排（SOAR）与安全信息与事件管理（SIEM）的融合与升级实验，那么威胁狩猎（TH）与SOAR的整合，是不是可以看作是红队智能化和自动化的一种可能路径呢？拭目以待。

时代在变，企业从信息化走向数字化，同样，网络与信息安全的攻防体系建设不能墨守成规，既要为企业数字化建设服务，也要实现网络与信息安全体系的数字化，过程中的跨界整合与创新，需要安全同仁付出不懈的努力。相信，自动化红与蓝对安全控制有效性全面的验证就在不远的未来。