安全研究 >> 安全研究详情

科普:持续自适应风险与信任评估

作者: 美创科技安全实验室发布日期: 07月03日
在2017年6月份举办的第23届Gartner安全与风险管理峰会开幕式上,来自Gartner的三位VP级别的分析师(Ahlm,Krikken and Neil McDonald)分享一个题为《Manage Risk ,BuildTrust,and EmbraceChanges by Becoming Adaptive 》的大会主题演讲。在这个会议上,Gartner创造性地提出了一个全新的战略方法——持续自适应风险与信任评估。


那么究竟什么是持续自适应风险与信任评估,这个全新的战略方法又包含了哪些东西。本期美创安全实验室将给大家一一揭开他的神秘面纱。

01
“洪水猛兽”之风险


可能有人能会有疑问,为什么不先介绍CARTA而是要将“风险”放在第一位来讲。请各位看官先不要着急,古往今来所有的讨论与辩论都是双方在某个概念上达成了共识才能顺利进行的,所以我们在正式开始前,也必须要对某个概念达成一定公识才能继续。
 
说回“风险”,目前市场上对“风险”这一个词感受犹如遇见了“洪水猛兽”一样。为什么这么说呢,因为全球网络威胁格局的快速变化和复杂性让越来越多的人感到不安,尤其是在在数字化转型中,因为攻击所造成的影响将会越来越严重、越来越难以控制。很多企业不惜倾尽资源去寻求那只存在于传说中的“0风险”的境界。但目前无一例外都失败了。
 
其实任何事物都有两面性,“风险“虽然有破坏性,但同时也带了一定价值。类比火灾,虽然会带来灾难但同时也会带来新的生机与活力。而且很多时候“风险”是无法避免的。因此我们不仅不能因为有危险就束手束脚反而应该更加积极的拥抱数字时代,促进数字化转型,去创造新的生产力。
 
综上所述我们可以认定一个事实:0风险代表0回报。我们真正应该做的应该是寻求0与1之间的一个平衡,而不是非白即黑。当然这也并不代表我们可以允许风险随意扩散,而是要控制风险到一个可接受的水平,也就是说我们要控制风险而不是消灭他。


02
CARTA简介


说了这么多,总算是到了我们的主角了,“持续自适应风险与信任评估”英文名称为CARTA,是Continuous Adaptive Risk and Trust Assessment的缩写。CARTA是Gartner在2018年十大安全技术趋势中首次提出,在2019年再次被列入十大安全项目,也是Gartner主推的一种应对当前及未来安全趋势先进战略方法。对于这样一种思维超前的创新技术,往往最初不会被大众接受。但是,从以往Gartner成熟度曲线推荐技术和项目的结果来看,准确度和方向预测还是比较符合市场走向的。
 
我们再来看一下CARTA的名字:“持续性自适应风险与信任评估”,从这个名字上我们也可以看出一些端倪,CARTA的核心思想就是对“风险”与“信任”两个要素进行持续地、自适应地评估。其中“风险”与“信任”这两个概念,我们在《零信任》系列文章中已经做了详细的阐述,这里不多做赘述。我们主要对“自适应”这个概念做一下解释。


“自适应”是一个能力,是一个能够针对环境的改变,从而自动变更策略的能力。
 
我们可以收集尽可能多的“线索”,例如:访问上下文、时空上下文、行为信息等等,进行综合研判,对网络进行细致的监测与响应、动态赋权、动态变更权限等。我们一旦获得了“自适应”的能力后,就摆脱了以往传统的根据预先知道的规则/签名才能进行阻断/放行的访问控制方式。众所周知,这种方式存在很严重的问题,而且不够智能,已经不能满足于现在的安全现状。但我们可以依托AI与机器学习创造出CARTA引擎并赋予其“自适应”的能力。
 
理想状态下,CARTA引擎能够利用各种情境数据,对一个访问行为,一个业务应用调用,一个网络活动进行持续地评估,动态地决定是阻断这次会话,还是允许这次会话(抑或更多是采取介乎黑和白中间的行动(进一步判定、允许但只读、允许但审计,等等)。
 
这种引擎是基于动态的、自动化的、自适应的安全网络能够适应技术发展的趋势,对于当前比较头痛的0day攻击、APT攻击、DDoS攻击效果明显,再配合欺骗防御式蜜网,可以让黑客无从下手,真正起到主动式防御效果,同时节省大量人力和时间,不用再去查看各类日志,对于安全事件启动应急响应预案等工作,这是传统安全无法提供的能力。


03
CARTA理论的实践


就像前文所讲的,我们所关注的是“控制风险“而不是消灭他。所以我们的目标应该放在如何在数字化时代中构建一个信任和风险并存的弹性环境,能够让企业顺利地、积极地参与到数字经济建设中去。
 
那么我们如何控制风险呢,首先肯定是要明确什么是风险,哪些事件会导致风险。毕竟如果你连风险的成因都不清楚,更不用谈如何“自适应“了。那么问题又来了,怎么明确风险呢。这里我们简单讲解一下思路,风险的成因有很多种,但绝大多数都是由不当行为产生的,但行为本身并没有好坏之分,造成其危险的原因还是因为错误的人拥有了错误的权限执行了错误的事。所以我们必须明确两个概念:身份与资产。
 
身份的组成要素有很多,但真正能完全梳理出来的却很少。这并不是说这些身份要素很难获取,真正困难的地方在于我们如何把身份的要素定义出来。能直接追溯到人的信息一定是,人产生的信息也一定是,但间接信息呢,隐晦信息呢。资产的划分也同样。不同的人理解程度不同,对身份信息的掌控也不相同,所以尽可能挖掘身份信息是实施CARTA的第一步。
 

Gartner在落地方面给出了七点建议:



采用CARTA战略方法将需要对人员、流程和安全基础设施进行重大更改。安全和风险管理者可以使用CARTA战略方法作为他们的地图–面向信息安全的未来。这是也实施CARTA战略的一个难点所在。

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1