网络安全成熟度模型之网络安全对抗能力评估方法

当前国内外无论是国家层面还是行业监管层面，均缺乏网络安全对抗防御能力体系框架及其配套评估体系框架，以及缺乏相关度量评价方法。网络安全对抗能力建设缺乏指导性文件，导致以关键信息基础设施为代表的重点行业/领域运营者，对于应具备或建设什么级别的反制或对抗防御能力应对不同等级的威胁行为体攻击缺乏依据，更无法有效评估安全对抗防御能力的有效性和网络安全建设投入重点。

网络空间攻防对抗中，新型网络攻击不断出现，未知的攻击面不断被发现或人为植入，以NIST制定的CSF（网络安全框架）和Gartner提出的ASA（自适应安全框架）为代表的以安全能力视角的网络安全防御框架，无法从战略、战术、技术和过程等层面与MITRE ATT&CK、ODNI CTF和NSA/CSS TCTF为代表的网络安全威胁框架，形成体系化对抗；在网络安全防御能力评估方面，美国能源部（DOE）和国土安全部(DHS)发布的《网络安全能力成熟度模型》（C2M2）、美国国防部（DOD）发起网络安全成熟度模型认证（CMMC）计划及LogRhythm开发的《安全运营能力成熟度模型》(SOMM)等，侧重于网络安全能力本体的量化评估，通过定义、量化安全防御措施或安全防御能力指标，从而改进提升网络安全威胁的应对能力，缺乏安全防御能力对攻击者产生的实际影响程度、威胁行为体攻击能力等级、时间范围、权限维持、身份隐藏和数据影响度等因素的综合评估和验证方法，无法体系化验证评估安全防御能力在实际对抗或反制攻击行为的过程中达到了能够防御什么等级的攻击威胁行为体，以及实际的防御效果。本文通过基于分层分级的网络安全防御模型，划分为网络安全威胁防御能力（以下简称“安全防御能力”）和网络安全威胁对抗防御能力（以下简称“安全对抗能力”），提出了网络安全对抗防御能力体系框架及其评估体系框架和度量方法，更加侧重于安全防御能力在对抗攻击行为过程中，对攻击者产生的实际防御效果进行评估量化，为实战化攻防对抗能力体系评估提供度量依据。

本文度量方法采用网络杀伤链、痛苦程度和对抗能力三个维度为评价主线，X轴以网络杀伤链度量、Y轴以痛苦程度度量、Z轴以对抗能力度量；X轴，根据网络杀伤链定义为侦察跟踪、武器构建、载荷投递、突防利用、安装植入、命令与控制和目标达成七个步骤，并归纳划分为初始化访问、执行和后渗透三个典型的网络攻击阶段；Y轴，根据TTP演进的STPI模型定义为哈希值、IP地址、域名、网络主机工件、STP(战略、战术、过程)5个痛苦程度等级；Z轴，根据安全对抗能力评估体系框架划分为战略对抗、战术对抗、能力对抗和运营对抗能力4个维度。分别建立对抗能力与网络杀伤链、对抗能力与痛苦程度的映射能力对抗面，实现立体化全方位关联。重点强调的是通过建立Z轴（对抗能力）与X轴（网络杀伤链）映射关系对抗面，能够基于网络杀伤力链的各个阶段全面的推导、梳理、识别出应具备的安全对抗能力，作为安全对抗能力三级指标细分的依据。网络安全对抗能力与网络杀伤链映射，如下图所示。

图 1安全对抗能力与网络杀伤链映射

结合以上对抗能力与网络杀伤链的映射对抗因素，构建度量方法三维映射矩阵。建立Z轴（对抗能力）与Y轴（痛苦程度）映射关系对抗面，根据不同的痛苦程度梳理出的安全对抗能力等级，对抗能力等级划分为4个等级，由低到高分别为：“1级”、“2级”、“3级”和“4级”；对抗能力等级越高对攻击者造成的痛苦影响程度就越高，攻击者针对特定攻击目标再次或持续发起攻击所付出的代价就越大；而通过X轴（网络杀伤链）与Y轴（痛苦程度）映射，可以划分为高分值区间、中分值区间和低分值区间三个安全对抗能力成熟度的评价区域；其中，高分值区间是指对黑客造成的痛苦度最高，且能在入侵初期，未发生实质性攻击行为前，发现攻击行为并进行对抗打击；中分值区间是指对黑客造成的痛苦度较高，在入侵攻击行为实施前发现攻击行为并进行对抗打击；低分值区间是指无法对黑客造成痛苦微乎其微，在入侵攻击行为实施中或完成阶段，或在造成损害时才发现攻击行为，被动应急式的采取抑制或恢复措施。度量方法三维矩阵，如下图所示。

图 2网络安全对抗能力三维映射