動態自適應演進安全架構研究

黨引弟，宋寧寧

(華北計算機系統工程研究所，北京 100083)

0 引言

云計算與大數據的迅猛發展極大地推動了社會各個領域在服務模式上的顛覆式變革。云計算虛擬整合硬件計算資源，通過網絡為用戶動態配置計算服務[1-2]。作為創新性的IT基礎設施，云計算技術與產業深度融合，賦能行業轉型升級。伴隨承載事務的不斷豐富，云計算平臺面臨的安全風險隨之凸顯[3]。自2017年以來，“WannaCry”、“Petya”、“BadRabbit”、“Locky”等勒索病毒頻繁沖擊全球網絡安全防線，多個國家的政府機構、銀行、企業等均受到大規模攻擊，造成了巨大的經濟損失。除此之外，APT攻擊、DNS劫持以及針對軟件供應鏈的攻擊同樣對企業帶來了極其嚴重的威脅。尤其針對云計算基礎設施漏洞發起的高級網絡攻擊，無疑給云計算安全帶來更多未知的挑戰。

面臨著日益嚴峻的網絡安全威脅，傳統的基于防火墻、IDS、WAF等安全設備的安全體系已經不能匹配云計算平臺的安全需求。高級定向攻擊可輕易繞過傳統防火墻與基于黑白名單的防御手段，進而攻擊云平臺的核心數據。依托被動的縱深防御方式無法真正解決云安全威脅，在此背景下，可實現主動防御與持續響應的自適應安全架構應運而生。

2013年，美國總統奧巴馬簽署行政命令EO13636《提升關鍵基礎設施的網絡安全》[4]。美國國家標準與技術研究院(National Institute of Standards and Technology，NIST)隨即開發了一系列安全架構，旨在降低關鍵基礎設施面臨的安全風險，并于2014年公開發布了1.0版本的整體安全架構，主要包括三個安全模塊：核心層、實施層、實例化層[5]。

2014年，Gartner首次提出了針對高級定向攻擊的自適應安全架構[6]。與傳統的依托縱深防御策略重視防御和邊界不同的是，該架構不再被動地進行防御與應急響應，而是另辟蹊徑重點強調實時監測與動態響應，通過持續性地監控與分析，具備對未知的網絡攻擊的預測能力，構成了防御、監測、響應以及預測的安全防控流程閉環。

2016年，該安全架構得到了全球網絡安全廠商的認可，比如終端安全廠商Cabon Black，以及網絡安全提供商Illumio均結合自己的產品打造了自適應的安全平臺。國內云安全服務商青藤云也致力于自適應安全架構的產品體系。2016年由Gartner發布的十大戰略科技趨勢中，自適應安全架構名列其中[7]。從自適應安全架構的提出到初步受到廣泛關注，2016年可以定義為“自適應安全架構1.0時代”。自適應安全架構1.0示意圖如圖1所示。

圖1 自適應安全架構1.0

2017年，“自適應的安全架構2.0”進一步發展，添加了一部分內容從而完善了防御、監控、響應與預測四部分的循環體系[8]，如圖2所示。首先，在持續監測加入了對用戶和實體進行行為分析模塊(User & Entity Behavior Analytics,UEBA)。UEBA通過機器學習與大數據分析，能夠對用戶、終端以及應用層、網絡層等網絡設備進行行為實時分析模擬，搜集相關安全缺陷，輔助終端安全廠商與網絡安全廠商發現更深層次的安全問題。其次，防御、監控、響應與預測間的大的循環體系不變的同時，在各自模塊內引入小的循環體系，形成了動態持續的主動防御能力。最后，在防御、監控、響應與預測間的大的循環中加入了策略與合規性要求，并闡明了該循環的目的與意義。策略與合規性問題的引入進一步提升了自適應安全架構的普適性，而非僅僅針對最初的高級攻擊防御架構。

圖2 自適應安全架構2.0

2017年6月，來自Gartner的三位著名分析師Ahlm，Krikken與NeilMcDonald在第23屆Gartner安全與風險管理峰會開幕式上發布了名為“持續自適應風險與信任評估”(Continuous Adaptive Risk and Trust Assessment，CARTA)的安全體系，可連續不間斷地針對風險與信任進行自適應評估，進而形成一個動態可信任的云服務環境。該安全體系被普遍認為是“自適應安全架構3.0”，并被列入了2018年十大戰略科技趨勢中[9]。與“自適應安全架構2.0”相比，在新提出CARTA體系中引入了云訪問安全代理(Symantec CloudSOC Cloud Access Security Broker，CASB)，形成了自適應安全架構與CASB內外雙環的循環保護結構，無論是自適應的認證鑒權體系還是安全防御體系均形成了監測、防御、響應與預測的閉環。自適應安全架構3.0示意圖如圖3所示。

圖3 自適應安全3.0構架

自適應安全架構核心愿景是構建一個具備自適應、威脅情境感知、動態調整的智能防御體系，面對不可避免的安全風險時，具備主動防御與彈性部署的防控能力，為企業創造一個可信任的網絡環境。上述自適應安全架構均面向企業領域，目前針對網絡空間安全保密場景制定適用的自適應安全框架的研究較為薄弱。深入理解并合理利用自適應安全架構，構建在網絡空間安全保密場景下可管、可控、可視、可持續、自適應的安全防御體系，突破智能化防御態勢分析與攻擊行為預測，可極大提升信息系統的安全事件快速響應能力，實現網絡安全主動防御能力的躍升。

1 自適應安全架構詳解

自適應安全架構是面向云計算、大數據、物聯網、人工智能領域[10-13]的下一代安全防護體系框架，包含防御、監測、響應、預測四個外環模塊以及云訪問安全代理內環，通過持續處理與循環形成了安全防控雙層閉環，可通過細粒度、全方位、實時不間斷的安全威脅分析處理，自適應地適配多種網絡威脅環境，動態調整安全防護策略，優化自身安全防護機制，形成智能集成聯動的安全防御體系。

(1)防御：是指通過部署安全防護產品，制定安全防御策略與機制，降低信息系統的攻擊面，形成動態主動防御能力，在形成有效攻擊之前完成攔截。防御模塊主要分為三個層面：加固與隔離、轉移攻擊、攻擊事件防御。在加固與隔離系統中，基于滲透測試和模糊測試可識別系統自身漏洞與惡意代碼，進而對信息系統進行加固。此外加固與隔離系統結合端點隔離與沙箱技術，限制攻擊者通過系統接口觸及系統核心的能力。轉移攻擊則構建了一個基于網絡主動跳變快速遷移的動態系統環境，隨機更改網絡節點屬性，攻擊者無法有效識別鎖定信息系統核心。攻擊事件防御則采用已有的安全防護手段確保信息系統運行安全，包括防火墻、入侵檢測、動態防御、漏洞掃描設備等。

(2)監測：是指針對繞過安全防御機制的攻擊行為進行監測，并在盡量短的時間內隔離已被感染的數據與系統，降低攻擊帶來的損失。監測模塊分為四個層面：攻擊檢測、行為分析、風險評估與事件隔離。由于網絡攻擊與防御的不對稱性，任何信息系統都無法避免地存在被攻破的可能性，一旦攻擊者繞過已部署的防御措施，通過持續監控系統態勢，檢測攻擊行為特征形成的異常，快速判定入侵攻擊情況。檢測到入侵攻擊后，針對事故風險進行態勢評估，明確攻擊行為特征，將被感染的數據與資產進行劃分，形成可視化的圖形界面，迅速隔離被感染的系統和賬戶，形成有效的阻斷機制，封鎖該攻擊路徑，防止其他正常系統被進一步入侵。

(3)響應：是指針對監測的入侵攻擊行為，通過智能化的分析獲取此類攻擊特征、來源、路徑、方式以及最終目標，相應地更改安全防護措施，制定有效的預防機制防止類似攻擊。響應模塊包含攻擊分析、更新策略與系統修復三個層面。通過回溯分析整個攻擊事件，利用事件中所有監測到的態勢數據，對其進行特征分類，挖掘出導致此次攻擊的最根本的原因。更新已制定的安全防護策略，對部分導致此次攻擊入侵的漏洞進行加固，關閉攻擊路徑中涉及的無用端口，升級信息加密措施，形成具備子模塊聯動的響應機制，修復原有信息系統存在的安全問題。

(4)預測：是指上述三個模塊積累的攻擊模型持續智能優化基線系統，能夠實現對于未知攻擊威脅的預測，對信息系統可能存在的漏洞風險進行預判，并將預知的結果不斷反饋至防御、監測、響應模塊，形成整個自適應安全防御體系的閉環。動態基線系統、攻擊預測、風險探索是預測模塊的三個子模塊，其中動態基線系統可適應性地針對信息系統的變動進行變化。攻擊預測可分析知曉攻擊者的意圖，調整安全防護機制，提升主動防御的能力。風險探索則針對已有情報信息進行處理，對信息系統威脅風險進行預測評估等。

(5)云訪問安全代理部署于自適應安全架構與信息系統核心數據中間，能夠實現集中的可嵌入式的安全策略，包括：單點登錄、認證鑒權、用戶授權、安全審計、數據加密、集中管控、威脅告警以及異常偵測/阻斷等，可解決業界公認的云安全難題Shadow IT。云訪問安全代理可進行可視化管理，讓云安全態勢能夠清晰明了地展示，監測和防護企業與用戶對云端數據的連接訪問。此外，云訪問安全代理保證云數據的合規性，數據擁有者可對云服務提供商進行安全審計與信任管理。除此之外，數據安全與威脅防護保證了云基礎設施與云端數據的健壯性。

2 動態自適應演進安全架構

現有Gartner提出的自適應安全架構，是從企業安全防護的角度出發，具有一定的局限性，無法直接使用于網絡空間安全保密防護場景，此外現有的架構只給出了概念性的解釋，缺乏關于安全架構中功能邏輯、數據流向、依賴關系等重要內容的闡述。本文基于現有自適應安全架構思路，設計一種動態自適應演進安全架構，該架構能夠實時監測網絡空間威脅風險，并根據智慧決策生成自適應策略，通過動態執行功能實施動態防御和風險處理，融合全息態勢評估執行效能，實現內部驅動智慧決策的自適應生成，同時該架構引入先驗決策和新型威脅，同構外部驅動實現智慧決策的動態演進。動態自適應演進安全架構如圖4所示。

圖4 動態自適應演進安全架構圖

動態自適應演進安全架構包括智慧決策、自適應策略、動態執行、全息態勢、外部驅動五種模型元素，可以分為監測預警、動態防御、態勢感知、效能評估、演進決策五種功能元素。模型元素和功能元素從不同的視角實現對層次和功能的劃分，各元素之間包括生成流、控制流、數據流、邏輯流四種流向。生成流標識決策動態地生成自適應功能決策；控制流表示功能元素之間的管控關系；數據流標識功能元素之間的數據流向管理；邏輯流突出功能元素之間的邏輯順序。

2.1 模型元素

(1)智慧決策

智慧決策基于大數據分析、深度學習、生成對抗網絡等人工智能技術，能夠對知識進行理解和聯想，完成知識歸納與分析，實現決策的判斷和評估。

(2)自適應策略

面向監測預警、風險防御、態勢感知和效能評估的動態自適應需求，智慧決策根據其功能需求和動態反饋，生成自適應策略，指導控制其功能執行。

(3)動態執行

在自適應策略的指導控制下，各功能元素按照自適應策略的部署方案、執行流程進行動態執行，執行過程可以根據自適應策略進行動態的調整。

(4)全息態勢

在功能元素動態執行過程中，實時獲取風險威脅等監測態勢、安全和保密等防御態勢、信息系統的綜合態勢，融合形成整個網絡空間的全息態勢。

2.2 功能元素

(1)監測預警

監測預警通過決策生成的監測策略實時動態控制探針部署、監測執行和風險分析。首先將探針部署到信息系統中，在監測執行過程中，通過探針實時收集整個網絡空間的網絡、計算、存儲、終端、用戶、應用等運行狀態信息；基于人工智能技術執行風險分析，發現網絡空間已知或未知的安全威脅、風險漏洞；根據監測策略對安全威脅和風險漏洞進行監測預警，將預警信息反饋至演進決策功能元素，實現內部驅動演進；同時通過邏輯流將信息傳送給防御執行功能元素。

(2)動態防御

動態防御通過決策生成的防御策略實時動態控制防御執行與風險處理。首先根據防御策略，在信息系統中部署加密、認證、可信、防火墻、漏洞掃描、入侵檢測、防病毒等安全保密功能設備和密碼管理、安全管理、安全審計等安全保密管理設備，包括部署位置、層次、數量、安全域劃分、隔離交換等部署屬性，并根據監測預警情況，對可能發生安全威脅和風險漏洞進行有針對性增強防護；對已經發生的入侵和漏洞進行風險處理，防御阻斷入侵攻擊，修復安全漏洞，清理病毒木馬，保證網絡空間的安全可控。

(3)態勢感知

態勢感知通過決策生成的感知策略實時動態控制態勢融合與態勢感知。安全態勢包括監測預警執行過程中直接監測和通過風險分析、監測預警間接處理得到的網絡空間安全威脅和風險漏洞的實時狀態和發展趨勢；防御態勢包括防御執行和風險處理過程中的安全保密相關裝備部署和運行狀態，抵御入侵和防病毒的防御狀態，入侵和漏洞等風險處理的處理狀態，以及防御狀態的發展趨勢；綜合態勢包括信息系統中的網絡運行狀態、終端運行狀態、計算和存儲資源使用狀態，以及各狀態的發展趨勢；態勢融合通過數據清理、數據標注、數據特征工程等實現對各種態勢數據的融合；態勢感知通過態勢數據可視化呈現和態勢預測判斷為演進決策提供數據支撐和輔助分析。

(4)演進決策

演進決策是動態自適應演進安全架構的核心，能夠實現監測策略、防御策略、評估策略和感知策略的生成。首先，演進決策能夠對網絡空間態勢、監測預警情況、執行評估結果進行總體視角的研究判斷；根據判斷結果，能夠制定生成執行策略、細分執行任務、統籌執行計劃、突出執行重點和難點；能夠根據網絡空間的狀態和發展趨勢，動態地調整各類執行策略；能夠導入外部先驗決策實現網絡空間的初始防護，能夠根據各類功能執行后的結果實現內部驅動的決策演進，能夠根據外部導入的新型威脅風險實現外部驅動的決策演進。

2.3 架構特點

(1)動態自適應

安全架構整體具有動態自適應的特點，能夠持續地對網絡空間威脅風險進行監測，并動態自適應地調整監測策略、防御策略、評估策略和感知策略，應對持續多變、已知未知的安全威脅。

(2)執行流程閉環

安全架構包括監測、防御、評估、感知、決策等功能，形成了網絡空間安全保密防護的流程閉環，是一個有機的融合整體，能夠對網絡空間安全進行一個全面、完整的安全防護，并不斷迭代更新。

(3)內外雙驅動演進

安全架構能夠根據系統應對內部實時威脅風險實現內部驅動的防御演進，同時能夠導入外部新型威脅風險，實現外部驅動的防御預先演進，具有較高的威脅風險應對能力和預防能力。

3 結論

自適應的安全架構能夠以智能集成聯動的方式應對高級攻擊威脅，具備防御、監測、響應與預測四種安全防控能力，并與云訪問安全代理構成了內外雙環的循環保護結構，為企業搭建了可信任的安全防護體系。針對網絡空間安全保密防護場景，自適應的安全架構存在一定的局限性。本文基于原有自適應安全體系設計了一種可動態演進安全架構，綜合運用智慧決策、態勢感知與動態防御等技術手段，實現了網絡空間威脅的實時感知、內部驅動智慧決策的自適應生成與演進、未知安全威脅的精準預測。