安全模型中的4个P

 引言:在安全模型中,经常会碰到PDR,PPDR,IPDRR,CARTA-PPDR等模型,其中的P,是predict?是prevent?还是protect?还是policy呢?

一、4P字典意思解释

1、predict:动词,预测的意思,to say that something will happen in the future;

2、prevent:动词,预防、阻止的意思,to stop somebody from doing something; to stop something from happening

3、protect:动词,保护的意思,to make sure that somebody/something is not harmed, injured, damaged, etc。protection,名词,更多时候解释为防护。

4、policy:名词,策略的意思。a plan of action agreed or chosen by a political party, a business, etc.

predict预测和policy策略,比较好理解,但prevent 和protect没那么好理解,Quora上关于prevention 和protection的区别讨论,总结来说,

prevention偏向对动作的预防,即事件还没发生;

protection偏向对发生中的动作带来危害的保护。

二、模型简述

2.1 PDR

        PDR,即Protection-Detection-Response模型,被业界认为是基于时间计算的安全保护模型,其架构如下如所示:

        通常认为,只要保护时间大于检测与响应的时间之和,即:Pt>Dt+Rt,系统就是安全的。这种用数学公式就体现出了安全是攻防对抗中的时间差,简单明了,与当前安全建设都在追求降低MTTD和MTTR的思想是一致的。

参考:PDR模型_北京安软天地

2.2 PPDR(P2DR)

        PPDR(P2DR),及 Policy-Protection-Detection-Response,是PDR模型的升级,在PDR模型的基础上,增加了policy(策略),其架构通常如下所示:

        P2DR在PDR的基础上增加的policy,开始将焦点放到策略制定与调整上,使得整个模型趋向动态防护,且在防御维度上更加具有立体感,网上关于二者的区别做了阐述。

参考:pdr和ppdr模型学习 - 修心而结网 - 博客园

2.3 IPDRR

        IPDRR,即Identify- Protect-Detect- Respond- Recover,是NIST Cybersecurity Framework的5要素,其基本框架如下所示:

NIST官网最近公布了新的草案,适用范围由原来的关键基础设施扩大世界所有组织,且在原来框架的基础上,增加了治理层GOVERN。

参考:NIST 网络安全框架导读_nist cybersecurity framework_云上笛暮的博客-CSDN博客

2.4 CARTA

        CARTA,即Continuous Adaptive Risk and Trust Assessment(持续的适应性风险和信任评估),为什么将CARTA加入此次对比?因为CARTA其实是Gartner提出的ASA架构的3.0版本,而ASA架构是基于PPDR(Predict-Prevent-Detect-Respond)设计的。乍看起来也是“PPDR”,但显然与2.2节中的PPDR不是同一个事情。

 自适应安全架构描述了一种方法,该方法使用综合策略的组合来帮助企业领先于网络犯罪分子,采取灵活的安全措施以尽可能敏捷的方式保护数据和系统,而不是依赖过时的外围防御策略。

自适应安全架构是企业安全免疫系统。自适应安全架构 (ASA) 基于使用自适应和动态操作方式来维护数据、系统及其生存能力的完整性的解决方案。为了扩展生物生态系统和企业 IT 基础设施之间的并行性,ASA 遵循达尔文“适应或死亡”的概念。成功的 IT 基础设施必须适应,否则最终将遭受掠夺者攻击、病毒感染或无法适应环境变化。ASA 的行为类似于生物体抵御局部疾病爆发甚至大流行的方式。ASA 采用自适应方法,是一种自主系统,可以有效模仿有机免疫系统和大规模自然生态系统。

参考:Adaptive Security Architecture (ASA) - CIO Wiki

        ASA 自适应安全架构经历了1.0到3.0 的阶段。

        早在2014年,Gartner分析师就提出了ASAAdaptive Security Architecture )自适应安全架构,随后Gartner在2016年的十大科技技术趋势中列入了ASA,在2014到2016期间,可以认为是ASA的1.0时代.2017年,ASA进入2.0时代,2.0在1.0的基础上增加了持续可视化评估、UEBA,以及每个象限的小循环。 2018年,ASA进入3.0时代,在2.0的基础上增加了接入保护,是的ASA架构从“鉴黑”和“鉴白”两个层面对目标进行保护。

        在CARTA的自适应攻击防护架构中,我们看下“PPDR"各个象限的具体内容,

CARTA中PPDR各象限内容及扩展解释:

predict:预测

do risk-prioritized exposure assessment:进行风险优先暴露评估
anticipate threats/attack: 预测威胁/攻击
baseline systems and security posture:基线系统和安全态势

自适应安全模型的预测组件涉及评估风险、预测潜在威胁以及评估组织当前的安全状态,以确定其是否能够抵御您正在准备应对的威胁。 它回顾当前的安全趋势并分析它们可能如何影响您的组织。此阶段提供预测未来威胁和准备响应所需的情报。

prevent:预防

harden systems:强化系统

isolate systems:隔离系统

prevent attacks:防御攻击

预防需要预防能力,使企业能够创建网络安全防御产品和设备,例如防火墙(物理或虚拟)、入侵防御设备和 SASE。

安全策略、流程和访问控制也在此阶段定义。预防元素将这些基于风险的安全措施集成到组织的数字框架中。

detect:检测

detect incidents:检测事件

confirm and priorize risk :确认风险并确定优先级

contain incidents:遏制事件

自适应安全模型的检测支柱可识别可能漏过预防协议的攻击。及早发现可以缩短阻止潜在风险转变为运营风险所需的时间。

该检测组件采用连续监控技术来检测威胁事件以及系统内发生的任何异常行为。IT 安全团队可以部署各种动态工具来完成此任务,例如人工智能 (AI) 算法。

respond:响应

remediate:补救

design/model policy change:设计/模型政策变更

investigate incidents/do retrospective analysis 调查事件/进行回顾性分析

通过响应组件,您可以构建流程和工具,以最好地响应预测的风险和威胁,从而减少未来类似的安全事件。在此阶段,您的自适应安全系统会评估其他层未捕获的风险。

三、思考与总结

首先对文中的组合做对比呈现:

PDR--------------------Protection-Detection-Response,防护-检测-响应;

PPDR------ -----------Policy-Protection-Detection-Response,策略-防护-检测-响应;

IPDRR-----------------Identify- Protect-Detect- Respond- Recover,识别-保护-检测-响应-恢复;

CARTA-PPDR-------Predict-Prevent-Detect-Respond,预测-预防-检测-响应;

        关于PDR很好理解,基于时间计算的安全模型,PPDR在此基础之上增加了policy,使得整个安全模型更加立体,能更加全面的应对黑客攻击。这两个模型笔者认为是在IT环境相对简单,攻击手段还未大幅度提高的环境下提炼出来的,模型很”朴素”但基本能展示出安全防护的本质和执行手段。

        到了ASA和IPDRR,可以看出,模型考虑的维度更加丰富,同时更加关注动态从用词也可以发现,PDR和P2DR用的都是名词,IPDRR和CARTA-PPDR用的都是动词),ASA和IPDRR可以看作交错发展,ASA1.0→IPDRR1.0→ASA2.0→ASA3.0→IPDRR2.0。二者都看重预测在防护中的价值,虽然IPDRR中没有提predict,但是其Identify中包含了比重较大的风险评估,且在IPDRR2.0的讨论稿中增加了govern中包含了制定和监控组织的网络安全风险管理战略、期望和政策,这其实比CARTA中predict象限内容更加丰富。

        在CARTA-PPDR架构中,可以看到没有pretect,其中的2个P都代表predict和prevent,笔者认为这代表了安全模型在强调防御的左移和主动,因为protect其实相对prevent已经靠后了,结合CARTA的自适应和可视化,可以不断降低组织的MTTD和MTTR。

        从PDR到CARTA和IPDRR2.0,也体现了IT环境的逐步复杂、攻击手段的快速提升以及组织对数字资产面临风险的预知式“拿捏”追求。

------------------------------------------------完------------------------------------------------------------

题外思考:

防御:防守抵御。这强调的是在问题已经出现或即将出现时进行的行动,是一种被动的应对。英文defense。抵御英文:resist

防预:这个词是错误的,没有这个词。应该叫预防。

预防:提前防护,预先做好事物发展过程中可能出现偏离主观预期轨道或客观普遍规律的应对措施。

防护:偏向对外,比如防护霜,强调对紫外线的防。

保护:偏向对内,比如保护地球,强调主动对地球的保护,省略了主语。

An intrusion detection system (IDS)is a passive monitoring solution for detecting cybersecurity threats to an organization. If a potential intrusion is detected, the IDS generates an alert that notifies security personnel to investigate the incident and take remediative action.

An intrusion prevention system (IPS) is an active protection system. Like the IDS, it attempts to identify potential threats based upon monitoring features of a protected host or network and can use signature, anomaly, or hybrid detection methods. Unlike an IDS, an IPS takes action to block or remediate an identified threat. While an IPS may raise an alert, it also helps to prevent the intrusion from occurring.

扩展阅读:

1、吕毅:从攻击视角构建弹性信息安全防御体系 - FreeBuf网络安全行业门户

2、Getting Started | NIST

3、Adaptive Security Architecture - Explained | Securus Communications Ltd

4、最具影响力的三大安全架构:零信任、ATT&CK、自适应安全

5、网络安全框架知多少?_云上笛暮的博客-CSDN博客

6、 Adaptive Security Architecture - Explained | Securus Communications Ltd 

7、自适应安全架构的历史和演进 - 安全内参 | 决策者的网络安全知识库 

 封面图片来源:https://www.behance.net/gallery/168788035/AIGCBeautiful-girls-all-over-the-world?locale=en_US 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/103795.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安全运营中心(SOC)技术框架

2018年曾经画过一个安全运营体系框架,基本思路是在基础单点技术防护体系基础上,围绕着动态防御、深度分析、实时检测,建立安全运营大数据分析平台,可以算作是解决方案产品的思路。 依据这个体系框架,当时写了《基于主动…

【人月神话】深入了解软件工程和项目管理

文章目录 👨‍⚖️《人月神话》的主要观点👨‍🏫《人月神话》的主要内容👨‍💻作者介绍 🌸🌸🌸🌷🌷🌷💐💐💐&a…

Mybatis的关联关系映射以及自定义resultMap三种映射关系

目录 经典面试题: 一,关联关系映射 二,具体步骤: 总结 前言: 今天我们来学习Mybatis的关联关系映射以及自定义resultMap三种映射关系,希望这篇博客可以帮助大家的学习工作!!&…

Jdk1.7之ConcurrentHashMap源码总结

文章目录 一、常见属性1. 初始化容量2. 加载因子3. 并发级别 二、重要方法1. 构造方法2. ConcurrentHashMap#put方法2.1 ConcurrentHashMap#put#ensureSegment2.2 ConcurrentHashMap#Segment#put2.2.1 Segment#put#scanAndLockForPut2.2.2 Segment#put#rehash 3. ConcurrentHas…

机器学习前沿:改进自身缺陷,满足新战略

前机械师( 来源) 一、说明 机器学习在人工智能历史上扮演重要角色,然而,存在问题也不少。为了适应新时代和新任务,不做出重大改进是不可能的,本篇就一些突出问题和改进做出讨论。以便读者掌握未来的思路和方向。 二、机…

Spring5查缺补漏

Spring5-基础知识 笔记简介: 1、Spring概念 2、IOC 3、AOP 4、JDBCTemplate 5、事务管理 6、Spring5里边的新特性 概述: 1、Spring框架是一个轻量级 开源的javaEE框架。 轻量级:引入依赖的jar包数量少,体积小。不再需要…

【力扣每日一题】2023.9.9 课程表

目录 题目: 示例: 分析: 代码: 题目: 示例: 分析: 题目给我们一些课程的先修关系,也就是有些课我们需要先去学其他的课程才能学习,问我们是否可以学习完所有的课程。…

Qt 5.15集成Crypto++ 8.8.0(MSVC 2019)笔记

一、背景 笔者已介绍过在Qt 5.15.x中使用MinGW(8.10版本)编译并集成Crypto 8.8.0。 但是该编译出来的库(.a和.dll)不适用MSVC(2019版本)构建环境,需要重新编译(.lib或和.dll&#xf…

pytorch(b站小土堆学习笔记P1-P15)

P3. Python学习中的两大法宝函数(当然也可以用在PyTorch) import torch#查看pytorch有哪些指令 print(dir(torch)) print(dir(torch.cuda)) #查看每条指令怎么用 help(torch.cuda.is_available) P4. PyCharm及Jupyter使用及对比 P5 dataset和dataloade…

MySQL 连接查询和存储过程

一、连接查询 mysql的连接查询,通常都是将来自两个或多个表的记录行结合起来,基于这些表之间的共同字段,进行数据的拼接 首先,要确定一个主表作为结果集,然后将其它表的行有选择性的连接到选定的主表结果上&#xff…

C动态分配

动态分布与静态发布: 静态分配 1、 在程序编译或运行过程中,按事先规定大小分配内存空间的分配方式。int a [10] 2、 必须事先知道所需空间的大小。 3、 分配在栈区或全局变量区,一般以数组的形式。 4、 按计划分配。 动态分配 1、在程序运…

企业架构LNMP学习笔记7

PHP介绍: HTML:超文本标记语言 http: 超文本传输协议 端口80 浏览器将html代码解析成web页面。 PHP:超文本预处理器。后端语言开发,页面上需要动态改变修改的,需要连接数据库查询数据,转为html。 主要…