CARTA:Gartner的持续自适应风险与信任评估战略方法简介

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CARTA:Gartner的持续自适应风险与信任评估战略方法简介相关的知识,希望对你有一定的参考价值。


20176月份举办的第23Gartner安全与风险管理峰会开幕式上,来自Gartner的三位VP级别的分析师(Ahlm, Krikken and Neil McDonald)分享一个题为《Manage Risk ,Build Trust, and Embrace Changes by Becoming Adaptive 》的大会主题演讲。在这个会议上,Gartner创造性地提出了一个全新的战略方法——持续自适应风险与信任评估(CARTAContinuous Adaptive Risk and Trust Assessment),并对CARTA进行了详细的阐述,几乎将Gartner所有的研究领域,或者说当今安全的所有细分领域都涵盖其中。CARTA也展现出了Gartner作为北向安全顶尖高手的水平,现如今能够高屋建瓴给信息安全带大帽子的人真的很少啦,Neil McDonald是其中一位。

注意,我下面提到的CARTA演讲内容只有亲临现场才能看到,Gartner没有对外提供这套胶片。而我水平有限,也没能完全听明白其中奥义。所以,以下内容主要是本人自己的体会,如果与Gartner本意相抵,敬请见谅。以下图片来自现场拍照,如有模糊,也请谅解。

开场:零风险零回报、拥抱风险

演讲开始之前,主会场先播放了一段关于火灾的视频。画面显示展示美国荒野/森林大火的破坏性场景,然后又看到了火后次生林繁茂生长的画面。解说词主旨大意:火灾是风险,是破坏,但也是机遇,是生机。(美国)森林大火很多是自然(雷电等)引发的,有时是不可避免的。我们不能把所有的资源都投入到预防火灾中去,还需要投入资源到快速灭火中去。甚至有时候,我们要故意让放纵(森林)大火蔓延,因为这是自然的规律,火后会有新的生机。

这段视频是一个隐喻。其实是说,在当前数字经济时代,尽管面临比以往更加险峻的安全形势,但是我们依然要更加积极地去拥抱数字时代,去创造新的生产力。我们不能因为有危险就畏首畏脚。反过来看,畏首畏脚也于事无补,因为无论如何进行防守,敌人终究会攻进来。因此,与其畏首畏脚,不如积极拥抱风险,从风险中获取价值。有句话说的好:“没有风险就没有回报”。但是,我们也不能任由风险扩散,而是要控制风险到一个可接受的水平。所以,主旨是:我们要控制风险,而不要去消灭风险。

CARTA持续自适应风险与信任战略方法

那么,如何控制风险?这就首先要知道好和坏,什么是攻击?什么是正常的业务访问?谁可以进来?谁不能进来?

如何判断好坏,这是个问题。以前,我们通过预先知道的规则/签名/ACL/……来判定好坏,但是随着高级威胁的日益频繁,依赖先验性的知识无法判定好与坏了。同理,我们现在也很难直接地去判定某个业务的安全风险,很难判定对内部员工、外部合作伙伴的信任度。

因此,Gartner推出了一个称作CARTA的战略方法,强调要持续地和自适应地对风险和信任两个要素进行评估。

风险,是指判定网络中安全风险,包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题,力图识别出坏人(攻击、漏洞、威胁等)。说到风险,我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据,譬如以威胁为核心、数据驱动,等等,以风险为核心感觉过时了一样。其实,安全还真是要时时以风险为核心!数据、威胁、攻击、漏洞,资产、都是风险的要素和支撑。我们检测攻击,包括高级攻击,最终还是为了评估风险。

信任,是指判定身份,进行访问控制。持续自适应信任评估是从访问控制的角度看问题,力图识别出好人(授权、认证、访问)。

自适应,就是指我们在判定风险(包括攻击)的时候,不能仅仅依靠阻止措施,我们还要对网络进行细致地监测与响应,这其实就是ASA自适应安全架构的范畴。另一方面,在我们进行身份与访问控制的时候,也不能仅仅依靠简单的凭据,还需要根据访问的上下文和访问行为进行综合研判,动态赋权、动态变更权限。

持续,就是指这个风险和信任的研判过程是持续不断,反复多次进行的。

技术分享

CARTA强调对风险和信任的评估分析,这个分析的过程就是一个权衡的过程。图中的天枰很形象地阐释了“权衡”(Balance)一词。

权衡的时候,切忌完美(Perfect),不能要求零风险,不能追求100%信任,否则业务就没法开展了。好的做法是不断地在01之间调整。

技术分享

与此同时,这个权衡的过程就是CARTA引擎工作的过程。

技术分享

CARTA引擎能够利用各种情境数据(如图蓝色漏斗中的各种数据),对一个访问行为,一个业务应用调用,一个网络活动进行持续地评估,动态地决定是阻断这次会话(图中下方红色部分),还是允许这次会话(图中下方绿色部分),抑或更多是采取介乎红色和绿色中间的行动(进一步判定、允许但只读、允许但审计,等等)。

从三个维度对数字化业务系统运用CARTA战略方法

接来下,Garnter从运行、构建和规划三个维度(反着讲)来分别讲解客户的业务系统如何运用CARTA战略方法。这里最厉害之处是Gartner将几乎所有他们以往定义的技术细分领域都囊括其中,而且十分自洽。

技术分享

运行:自适应访问和自适应保护

访问,就是从信任的角度去进行访问控制;保护,就是从风险的角度去进行防御。

技术分享

自适应保护其实就对应了Gartner的自适应安全架构。

在谈及保护的时候,Gartner提到了一个响亮的观点:利用纵深分析(Analytics in-depth)和自动化来进行保护

1)  纵深分析:这是一个从纵深防御演进而来的术语,强调了随着安全问题逐渐变成大数据问题,而大数据问题正在转变成大分析问题,进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判,动态地去进行风险与信任评估,同时还要将不同纵深的数据进行融合分析。而所有这些分析,都是为了更好的检测,而检测是属于防护的一环(跟阻断、响应一起)。

技术分享

2)  自动化:在安全保护中,自动化的本质是为了为快速的响应。

构建:开发与合作

开发安全的核心架构是DevSecOps。而合作就是构建生态系统。

技术分享

技术分享

技术分享

规划:治理与评价

技术分享

数字安全与风险管理的愿景

最后,讲演以构建数字时代业务安全与风险管理的愿景来结尾。

技术分享

上图十分高大上。大意如下:

安全与风险战略的核心愿景是构建一个信任的和弹性的IT环境,使得企业能够顺利地、充分地参与到数字经济中去。

在数字时代的业务安全目标,除了传统的CIA,还包括PSR(隐私、安全safty、可靠),这也是因为大物移云的影响造成的,体现了现实与虚拟的融合。

要达成上述愿景与目标,需要构建以下四种能力:程序、原则、情境、智能。同时,还要构建一个自适应的、情境感知的安全架构(包括技术、流程和服务),以及一套行之有效的治理结构和流程


以上是关于CARTA:Gartner的持续自适应风险与信任评估战略方法简介的主要内容,如果未能解决你的问题,请参考以下文章

Gartner:用自适应安全架构来应对高级定向攻击

Gartner发布2022-2023年八大网络安全趋势预测,零信任是起点,法规覆盖更广

自己签发的证书与根内置的第三方机构(如天威诚信)颁发的证书有啥不同?存在啥风险?

什么是自签名SSL证书?

Gartner:2021全球安全和风险支出将超1500亿美元

自签名SSL证书是啥?有用吗