一、前言
CARTA是Gartner在2018年十大安全技术趋势中首次提出,在2019年再次被列入十大安全项目,也是Gartner主推的一种应对当前及未来安全趋势先进战略方法。实际上CARTA全称为:Continuous Adaptive Risk and Trust Assessment(持续自适应风险与信任评估)。该战略方法则是强调对风险和信任的评估分析。
笔者为什么在这个时候又谈回到很早的技术理念呢?因为在去年大疫情的背景下对该理念又有了一些深入思考。去年疫情引发了线上办公趋势,因此安全风险不断提高,安全保障同样引人深思。大家可以看看笔者收集到一些数据情况:
1、在2020年上半年,数据泄露事件导致360亿条记录在网上曝光。(RiskBased)
2、在2020年勒索软件的平均赎金额比2019年增长了33%,达到111,605美元。(金融科技新闻)
3、在2020年,CNNVD平台公布的漏洞数量为17,417个,NVD公布的漏洞数量为18,912个。
4、截至2020年,数据泄露的平均成本为386万美元。(IBM)
5、2020年,发现数据泄露的平均时间为207天。(IBM)
……
当然还有许许多多其他网络安全相关的事宜没有一一列举出来。但是从上面的数据来看,信息化的发展也导致网络安全问题变得越来越严重。如何解决自身所面临的网络安全问题,也是每个企业需要好好思考的问题。回归到今天所谈到的这个话题,笔者再次研究CARTA理念时,发现该战略方法在思路方面有很多可以借鉴,在这里也抛砖引玉,希望能引发各位读者一些思考,当然里面不涉及具体的技术路线内容。
二、谈谈风险
风险的话题,笔者相信各位读者也看得比较多。风险涉及的范围很广,包括资产、威胁、脆弱性、安全风险、安全措施、残余风险等各种要素,而风险的评估和判断也是确定安全需求的重要途经。如果能对安全风险进行准确的判断和评估,那么安全的问题其实就已经解决了一大半。就如同行军打仗一样,需要知道自身不足之处,才可以进行后面的战术配置。
其实在CARTA理念里风险评估也是其中最重要的因素之一。其持续自适应风险评估则是该理念的特点。笔者认为虽然网络安全技术在不断发展中,产品及框架也不断提升,但是并不存在完美的防御,正如同漏洞一般,无法避免,也无法杜绝。在这里,不涉及到具体的CARTA理念技术框架分析,更多的是从理论框架出发,给各位读者提供一个思路。
在CARTA理念里提出的持续自适应风险评估,则是采用持续自适应的理念识别攻击、威胁、风险、漏洞等问题。如何通过已有的安全能力形成持续的风险检测和风险评估能力、以及如何调整匹配不同的安全场景,也是各位读者在未来安全架构的设计中可以借鉴和参考的方面。在CARTA理念中所提到的持续自适应风险评估的能力框架,对资产识别与评价、威胁和弱点评估、控制措施评估、风险认定进行一系列的风险评估动作,从而降低本身所存在的安全风险和问题,并且最好能与业务进行结合,在制定安全决策时,应不断地根据业务情况对其评估,以确保风险在业务所认为不合适的风险级别中得到平衡。
三、谈谈“信任”
聊到信任,可能各位读者会觉得难以落地和实践。因为要真正信任某个方面,相对而言难以做到。实际上,CARTA理念中所提到的信任并不是完全信任,而是根据不同情况进行不同的信任,这也契合该理念所提到的持续自适应信任评估特点。
读者可能这一两年也能看到“零信任”理念快速深入到安全领域中。其实“零信任”的部分理念也可以说是从CARTA理念而来。在CARTA理念中信任是指判定身份,进行访问控制,从访问控制的角度看问题,力图识别出好人(授权、认证、访问)。当我们遭受到不同的风险,信任的等级也会随之变化,即,根据对实际情况进行细致风险评估,从而启用不用的信任等级,而不是像传统IT安全方案一样,一味进行阻止或者放行。同理,在对身份进行认证和判断的时候,也不能依靠简单的凭据,需要根据访问行为和实际动作进行判断,实现不同级别的赋能和变化。因此,信任往往不是静态,而是动态。如何对信任进行分级分类的构建,如何对信任进行有效的判定,也是各位读者需要思考的问题。
如果能放弃追求完美的安全,不要求100%信任,而是寻求一种0和1之间的风险与信任的平衡,安全信任建设也会更加容易。比如说利用各种情境数据,对一个访问行为,一个业务应用调用,一个网络活动进行持续自适应的判断与信任,那么安全建设往往也没有那么困难。
四、启示
上述主要简单提及CARTA理念最重要的风险和信任两个因素,其实CARTA理念还有很多内容可以分析。因为CARTA战略本身是一个巨大的体系,涉及的技术也涵盖了大数据、AI、行为分析、自动化、风险评估、威胁检测、安全防护、安全检测等多个方面。
可能大家会觉得该战略本身难以落地。实际上,换个角度思考,战略本身所能提供的更多是一种思路,借用这种思路并结合实际环境,说不定对我们也有些帮助。笔者想起当时看到一篇文章里所提及的CARTA核心理念的示例,也放到最后,希望能给大家带来一定思考:
对于网络访问的主体(人、账户、设备或IP等),从进入网络开始便会被赋予两个数值,风险值=0.5,信任值=0.5(一下简称R/T值)。如果该主体仅是访问一些公开信息,做一些常规操作,那么他的R/T值保持不变;如果他尝试越权访问某信息,被告知没有权限不能访问,他的R/T值不变,但若是多次反复尝试越权访问,这时R/T值可能会变化(R=0.65,T=0.35),这时该主体将被系统列为需要优先监控的主体,对其部分权限进行限制,待一定事件后或者此后没有出现其他危险操作后,R/T值会恢复初始状态(R=0.5,T=0.5)。对于主体突然进行大范围端口扫描或尝试输入注入类预计,那么瞬间其R/T值将变为R=0.9,T=0.1,同时剥夺该主体所有权限,并重点监控。
如果大家对这块内容还想进行深度探讨,也可以联系安全狗进行详细的交流。安全狗本身也一直在进行研究和发掘,在这个方面也已经有了一些可以落地的技术成果及思路,欢迎叨扰。
参考来源:
1. https://www.varonis.com/blog/cybersecurity-statistics/
131项安全数据统计
2. 2020年网络安全大事记 数世咨询
3. https://www.freebuf.com/articles/es/208206.html宇宸de研究室
如若转载,请注明原文地址