數(shù)字時(shí)代下，0day 攻擊、APT 攻擊、勒索軟件等威脅愈發(fā)嚴(yán)重，安全對(duì)抗的水平在不斷提高。安全最終是要以實(shí)戰(zhàn)攻防效果來衡量的，面對(duì)接踵而來的新威脅、大挑戰(zhàn)，發(fā)展實(shí)戰(zhàn)化的安全能力成為大安全時(shí)代的剛需。

然而傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)過程中，頂層設(shè)計(jì)與落地執(zhí)行之間存在斷層，無法很好的應(yīng)對(duì)實(shí)戰(zhàn)攻防，這一系列問題，給業(yè)界提出了挑戰(zhàn)。8月9日-12日，在ISC 2021云峰會(huì)上，360政企安全集團(tuán)重磅發(fā)布了“實(shí)戰(zhàn)驅(qū)動(dòng)的網(wǎng)絡(luò)安全方法論”，提出將實(shí)戰(zhàn)攻防元素與傳統(tǒng)網(wǎng)絡(luò)安全模型、框架驅(qū)動(dòng)的方法相結(jié)合，提供實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全規(guī)劃與度量方法。

在ISC 2021云峰會(huì)上，三六零（股票代碼：601360，以下簡(jiǎn)稱360）集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎以軍隊(duì)打仗為行動(dòng)思路，提出了“體系化作戰(zhàn)”，不能再把網(wǎng)絡(luò)安全當(dāng)作數(shù)字化的附庸，試圖堆砌碎片化產(chǎn)品解決不斷變化的安全問題，而是應(yīng)該直面安全挑戰(zhàn)，以“作戰(zhàn)、對(duì)抗、攻防思維”為指導(dǎo)，進(jìn)行實(shí)戰(zhàn)化的安全能力建設(shè)。此次發(fā)布的方法論，即是從實(shí)戰(zhàn)化的角度去規(guī)劃與度量網(wǎng)絡(luò)安全能力建設(shè)的具象。 

[[417493]]

360集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎 

以方法論持續(xù)提升網(wǎng)絡(luò)安全能力

在本次ISC大會(huì)中發(fā)布的方法論是360政企安全集團(tuán)自上而下的一次戰(zhàn)略規(guī)劃。由360集團(tuán)首席運(yùn)營(yíng)官、360政企安全集團(tuán)首席執(zhí)行官葉健闡述了方法論的核心思想與構(gòu)成，并將其作為360政企安全集團(tuán)的核心能力之一對(duì)外提供服務(wù)；360政企安全集團(tuán)高級(jí)副總裁高翰昭闡述了方法論全景以及如何指導(dǎo)網(wǎng)絡(luò)安全體系建設(shè)；360政企安全集團(tuán)產(chǎn)品戰(zhàn)略規(guī)劃專家何帆闡述了如何將攻擊框架、防御框架、成熟度模型三大基礎(chǔ)元素相關(guān)聯(lián)，從而將實(shí)戰(zhàn)攻防元素與傳統(tǒng)網(wǎng)絡(luò)安全模型、框架相結(jié)合來驅(qū)動(dòng)網(wǎng)絡(luò)安全規(guī)劃與度量；360集團(tuán)戰(zhàn)略創(chuàng)新研究院副院長(zhǎng)吳露渟闡述了如何利用360網(wǎng)絡(luò)安全成熟度模型來度量網(wǎng)絡(luò)安全能力及其特點(diǎn)。

其中，360集團(tuán)首席運(yùn)營(yíng)官、360政企安全集團(tuán)首席執(zhí)行官葉健在題為“新形勢(shì)、新戰(zhàn)法、新使命、新生態(tài)”的演講中提出了360網(wǎng)絡(luò)安全新戰(zhàn)法的三大能力，其中重點(diǎn)之一是安全實(shí)戰(zhàn)方法論，他分別從如未知攻、豈能知防；縱深防御、體系運(yùn)營(yíng)；檢驗(yàn)機(jī)制、不斷提升的維度闡述了網(wǎng)絡(luò)安全建設(shè)需要了解安全攻擊全景、構(gòu)建安全防御體系、并且持續(xù)進(jìn)行安全成熟度評(píng)估的安全實(shí)戰(zhàn)方法論來提升網(wǎng)絡(luò)安全能力。

[[417494]]

360集團(tuán)首席運(yùn)營(yíng)官、360政企安全集團(tuán)首席執(zhí)行官葉健

如何利用安全實(shí)戰(zhàn)方法論來進(jìn)行網(wǎng)絡(luò)安全體系建設(shè)？360政企安全集團(tuán)高級(jí)副總裁高翰昭在題為“面向?qū)崙?zhàn)的安全體系建設(shè)方法論”的演講中進(jìn)行了闡述，他提到了在過去很多年中，網(wǎng)絡(luò)安全的頂層設(shè)計(jì)與網(wǎng)絡(luò)安全的落地執(zhí)行路徑在很大程度上出現(xiàn)了斷層，原因是提供頂層設(shè)計(jì)的第三方咨詢公司或者提供安全產(chǎn)品與解決方案的安全廠商都沒有很強(qiáng)的實(shí)戰(zhàn)攻防經(jīng)驗(yàn)，然而360則是最擅長(zhǎng)實(shí)戰(zhàn)攻防的網(wǎng)絡(luò)安全公司，因此也更責(zé)無旁貸地幫助各級(jí)機(jī)構(gòu)從實(shí)戰(zhàn)攻防的角度去度量與提高網(wǎng)絡(luò)安全能力。

演講中，高翰昭提出了安全體系建設(shè)需要定量、客觀的以安全能力提升為目標(biāo)的方法論。網(wǎng)絡(luò)安全體系設(shè)計(jì)需要與企業(yè)業(yè)務(wù)的發(fā)展保持一致，以滿足各類合規(guī)要求、充分了解自身業(yè)務(wù)和信息系統(tǒng)的安全風(fēng)險(xiǎn)、新型安全攻擊趨勢(shì)等因素作為輸入；以大數(shù)據(jù)的手段驅(qū)動(dòng)安全建設(shè)，打造能夠沉淀安全能力的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，攻防與管控內(nèi)外兼修，培育安全人才、構(gòu)建持續(xù)的安全運(yùn)營(yíng)能力等基本原則作為指導(dǎo)思想;從網(wǎng)絡(luò)安全頂層設(shè)計(jì)、能力建設(shè)、實(shí)戰(zhàn)評(píng)估、改進(jìn)計(jì)劃的閉環(huán)輸出以資源、管理、技術(shù)、執(zhí)行等四大元素所構(gòu)成的網(wǎng)絡(luò)安全能力。

其中最為關(guān)鍵的部分就是如何通過實(shí)戰(zhàn)衡量和檢驗(yàn)每一步建設(shè)的成果，主要由三個(gè)關(guān)鍵元素來提供支撐，分別是：網(wǎng)絡(luò)攻擊知識(shí)圖譜、網(wǎng)絡(luò)安全防御效能和網(wǎng)絡(luò)安全成熟度模型。 

[[417495]]

360政企安全集團(tuán)高級(jí)副總裁高翰昭

三大基礎(chǔ)關(guān)聯(lián)驅(qū)動(dòng)實(shí)戰(zhàn)規(guī)劃與度量

方法論最關(guān)鍵的部分，也是最大的創(chuàng)新是將網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防元素與傳統(tǒng)的網(wǎng)絡(luò)安全咨詢規(guī)劃建設(shè)方法相結(jié)合，通過實(shí)戰(zhàn)度量與改進(jìn)網(wǎng)絡(luò)安全能力。具體來說，如何提供實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全能力度量與規(guī)劃？

360政企安全集團(tuán)產(chǎn)品戰(zhàn)略規(guī)劃專家何帆在“ATT&CK安全能力衡量論壇”上，發(fā)表了題為“網(wǎng)絡(luò)安全能力度量與規(guī)劃”的演講，提出其核心是將網(wǎng)絡(luò)安全攻擊框架、防御框架、成熟度模型三者之間產(chǎn)生關(guān)聯(lián)，并分別利用三者進(jìn)行入侵模擬、防御評(píng)估與成熟度評(píng)估，并且使三者間前者的評(píng)估結(jié)果能夠?yàn)楹笳咛峁┹斎?，從而使?shí)戰(zhàn)攻防元素與傳統(tǒng)的咨詢規(guī)劃方法想結(jié)合，形成了實(shí)戰(zhàn)化的評(píng)估與度量方法，最終結(jié)合差距分析的結(jié)果進(jìn)行建設(shè)規(guī)劃。

與此同時(shí)，何帆在演講還分享了360在方法論中的實(shí)踐，構(gòu)建了360攻防全景知識(shí)圖譜、網(wǎng)絡(luò)防御框架、網(wǎng)絡(luò)安全能力成熟度模型，并使其產(chǎn)生關(guān)聯(lián)，并且將其工程化、自動(dòng)化，落地本地安全大腦在攻、防、度量的視角中協(xié)助各級(jí)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全能力的提升。 

360政企安全集團(tuán)產(chǎn)品戰(zhàn)略規(guī)劃專家何帆

在網(wǎng)絡(luò)安全能力度量過程中，更大的挑戰(zhàn)是如何能體系化定義面向業(yè)務(wù)實(shí)戰(zhàn)的網(wǎng)絡(luò)安全能力成熟度模型，在當(dāng)下十四五開年各大部委行業(yè)安全負(fù)責(zé)人思考未來五年網(wǎng)絡(luò)安全整體規(guī)劃之際，這一點(diǎn)顯得更加重要。在云峰會(huì)的“國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)研討峰會(huì)”上，360集團(tuán)戰(zhàn)略創(chuàng)新研究院副院長(zhǎng)吳露渟帶來了題為“關(guān)鍵信息基礎(chǔ)設(shè)施安全能力體系建設(shè)”的演講，他指出，關(guān)鍵信息基礎(chǔ)設(shè)施的安全應(yīng)建立網(wǎng)絡(luò)安全綜合防御體系。360構(gòu)建了一套安全能力的成熟度模型。這套模型具有很多特點(diǎn)：第一是量化，安全狀態(tài)可量化，引入百分制的機(jī)制，通過機(jī)制對(duì)政企現(xiàn)有的安全狀態(tài)進(jìn)行評(píng)價(jià)；第二是能力成熟度建設(shè)，這個(gè)是360安全能力公式落地的基礎(chǔ)工程；第三是持續(xù)校驗(yàn)；第四是特色網(wǎng)絡(luò)安全能力度量標(biāo)準(zhǔn)。 

[[417496]]

360集團(tuán)戰(zhàn)略創(chuàng)新研究院副院長(zhǎng)吳露渟

目前，360這套方法論是基于自身服務(wù)國家、城市、行業(yè)、企事業(yè)用戶過程中的總結(jié)和提煉。從全球經(jīng)驗(yàn)來看，不同行業(yè)都有自身獨(dú)特的業(yè)務(wù)戰(zhàn)略和安全需求。未來，360政企安全集團(tuán)希望與各行業(yè)、各領(lǐng)域?qū)＜夜餐剿髋c落地具備行業(yè)特色的安全能力建設(shè)方法，真正構(gòu)建起面向未來的新一代安全能力框架。