自適應安全框架（ASA）在網絡安全2.0新防御體系中的應用

隨着雲計算、大數據、移動互聯、物聯網等新技術的成熟，社交網絡、電子商務、智慧城市的發展，已經使人們的生活全面走進了由網絡所構建的虛擬世界。

隨着網絡承載的事務越來越豐富，其所面臨的安全威脅也越來越多，針對關鍵信息基礎設施的高級威脅持續增加，安全威脅變得更加具有針對性、技術含量也更高。

在這種嚴峻的網絡安全形勢下，傳統安全體系框架在面對新的威脅和攻擊顯得已經落伍，在此背景下，自適應安全架構（Adaptive SecurityArchitecture）應運而出。

一、自適應安全框架（ASA）基礎介紹

自適應安全框架（ASA）是Gartner於2014年提出的面向下一代的安全體系框架，以應對雲大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防御、檢測、響應四個維度，強調安全防護是一個持續處理的、循環的過程，細粒度、多角度、持續化的對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，並不斷優化自身的安全防御機制。

1.防御：是指一系列策略集、產品和服務可以用於防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，並在受影響前攔截攻擊動作。

2.檢測：用於發現那些逃過防御網絡的攻擊，該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵，因為企業應該假設自己已處在被攻擊狀態中。

3.響應：用於高效調查和補救被檢測分析功能(或外部服務)查出的事務，以提供入侵認證和攻擊來源分析，並產生新的預防手段來避免未來事故。

4.預測：通過防御、檢測、響應結果不斷優化基線系統，逐漸精准預測未知的、新型的攻擊。主動鎖定對現有系統和信息具有威脅的新型攻擊，並對漏洞划定優先級和定位。該情報將反饋到預防和檢測功能，從而構成整個處理流程的閉環。

二、自適應安全框架（ASA）深入理解

在網絡安全發展早期，美國國際互聯網安全系統公司所提出的PDR模型，一直作為安全技術體系建設的參考框架，應用於各個機構的網絡安全建設。PDR模型包含PDR模型包括防護（Protection）、檢測（detection）和響應（Response）三個部分，並引入時間參數構成動態的具有時間特性的安全系統，即通過基本防護來延長惡意攻擊時間，並利用有限時間內的檢測和響應，來確保系統的安全性。

自適應安全框架（ASA）與PDR模型很像，但是卻有明顯的本質不同。下面以PDR模型作為基礎，通過兩者的對比來對自適應安全框架（ASA）進行一個解讀：

1、增加了安全威脅“預測”的環節

相比PDR模型，自適應安全框架（ASA）增加了預測這一重要環節，其目的在於通過主動學習並識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網絡安全2.0時代新防御體系的核心內容之一。

2、從事件響應升級到安全防御響應

在PDR模型中，“檢測”和“響應”是以事件處理為線索的兩個獨立的階段，而在自適應安全框架（ASA）中雖然也有這兩個環節，但卻從原來的基於事件的響應，升級到了安全防御規則的響應。

對事件的處置環節，在自適應安全框架（ASA）中已經合並到了“檢測”環節，而“響應”環節則偏重對事件進行調查取證，並根據取證分析來設計處理類似事件的方法並及措施，並通過實施新安全措施以避免未來事件發生。

3、持續地進行基於異常的深度檢測

PDR模型也具有“檢測”環節，其檢測更多強調基於已知、規則的“異常”檢測，自適應安全框架（ASA）中的“檢測”則在此基礎之上，更多地融入了新興的機器學習的思想，讓系統自己基於大量的數據進行無監督的特征行為學習，從而對繞過防御機制而潛入網絡或系統內部的未知的“異常”行為進行深度檢測。

4、強調協調一致的動態安全防御體系

自適應安全框架（ASA）中對安全事件的處理，不僅僅是從制定安全規則到發現安全事件，最后完成安全事件的響應，還需要將響應結果反饋給預測環節，從而不斷修改和完善基線系統，最終實現提升系統主動評估風險並預測新型攻擊能力的最終目標。

PDR模型“應急響應”式的安全防護框架，已經不再適用於充斥着高級持續性攻擊的環境，而自適應安全框架（ASA）則強調動態地監測、分析、反饋、預測，形成一個可持續自我完善的閉環體系，讓安全防御體系自動進行安全防護能力提升，並逐漸適應各種不同環境，以實現安全防御“自適應”。

三、自適應安全框架（ASA）應用實踐

自適應安全框架（ASA）框架作為網絡安全2.0時代先進的參考模型，已經在新防御體系建設中得到了廣泛的應用。

越來越多的網絡安全產品廠商和解決方案提供商，使用自適應安全框架（ASA）框架各象限內容進行對標，以使自身的產品或解決方案能夠覆蓋多個領域或專注在某個垂直領域。舉例說明如下：

1、安全防御層面

下一代IPS除了具有傳統IPS的功能外，還需要具有自適應安全能力的安全引擎，才能夠實現周而復始不間斷地發現辨識網絡信息、學習並關聯信息、自動調整行動策略的自動防御能力。

2、安全檢測層面

在網絡、主機、應用等層面，在傳統基於特征的安全檢測基礎上，融入基於異常的持續性安全檢測，能夠快速、即時地發現各種潛在的安全威脅，為APT、業務欺詐等行為的判定提供充分的依據。

3、安全預測層面

通過對網絡流量、系統日志、用戶行為、文件內容等方面的深度檢測，利用安全分析模型對多種安全威脅數據進行自動化挖掘和網絡威脅情報關聯分析，最終實現網絡安全態勢感知和安全威脅的精准預測。

四、總結

在當前的網絡安全環境下，所有機構都應該認識到自己的業務網絡，處在並且長期處在持續的安全風險的環境中。

同時，所有機構都應不再盲目信任“防御”措施能夠100%有效，在面對不可避免的潛在侵害行為時，應在防御的基礎上重點建設“檢測”和“預測”能力。

總而言之，深入理解並合理應用自適應安全框架（ASA）框架，才能更有效地構建網絡安全2.0時代新防御體系，提升網絡安全主動防御能力，最終達到安全的可管、可控、可視、可調度、可持續。