中国煤炭地质总局 王金辉

在网络与信息技术飞速发展的今天，在产业互联网和数字经济发展浪潮下，云（计算）、大（数据）、物（联网）、移（动互联）、智（慧城市）等新技术不断发展和完善，打破了传统的思维，对企业发展模式带来重大的变革，企业业务变化迅速，数字资产成为了企业的核心资产。受利益驱动，网络攻击技术也在不断发展，有组织的持续性攻击屡见不鲜。诸如IPS、WAF等传统基于特征对比判断的安全产品，在这些高级攻击手段面前，已力不从心，大量的高级持续攻击已经突破企业传统的安全壁垒，对企业信息安全造成了难以估量的损失。如何敏捷高效的维护IT安全的问题，摆在企业决策者面前。反思的结果催生了自适应安全理念的诞生，重在解决当前开放性网络环境下企业核心资产的安全。

自适应安全（APA Adaptive Protection Architecture）是由全球最具权威的IT研究与顾问咨询公司Gartner在2014年首先提出的下一代的安全理念。APA激发了一种全新的面向主机的的安全防御技术的诞生，该技术通过驻留在系统内部的探针，利用机器学习和智能分析技术，识别出攻击者的行为，并在最终危害行为发生之前予以阻断或终止。

1 自适应安全技术

1.1 自适应安全架构体系（见图1）

Gartnert将自适应安全划分为四个阶段：预测、防御、监控、响应，核心是持续监控。通过提高攻击者的成本，无时不在的检测和分析，对攻击行为及时进行锁定和处置，来降低网络攻击所带来的安全风险，甚至防患于未然。

实际上，为了应对各种攻击，有效的防御、检测、响应和预测不是封闭固定的功能，而是以智能集成联动的方式工作，提供持续完善保护。

图1 自适应安全四象限

自适应防护架构的关键能力表现在以下四点：

（1）防御能力

防御能力是指可以用于防御攻击的一系列策略集、产品和服务。通过减少被攻击面来提升攻击门槛，并在攻击行为造成损害前拦截攻击动作。

（2）检测能力

检测能力用于发现那些逃过防御网络的攻击，旨在降低威胁造成的“宕机”以及其他潜在的数据泄露等损失。

（3）回溯能力（响应能力）

回溯能力用于高效调查和补救被检测分析功能查出的安全事件，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免未来安全事件的发生。

（4）预测能力

预测能力使安全系统可以从外部监控下的黑客行动中学习，以主动锁定对现有系统和信息具有威胁的新型攻击，并对漏洞划定优先级和定位。该情报反馈到预防和检测功能，从而构成整个流程的闭环。

不难看出，四项能力中检测能力是关键。只有能够检测到攻击行为的发生，才能响应和处理，否则一切皆枉然。

1.2 态势感知体系

态势感知是自适应安全的基础，其核心理念由两部分组成，即本质行为和关系模型。这里的本质行为是指攻击者为获取利益所采取的异于合法用户的非正常行为。

首先是针对黑客本质行为的持续检测。要实现安全必须了解守护的对象，即对企业的业务资产不断进行梳理，弄清楚哪些数据是重要的，哪些算法是机密的，哪些业务流程是不可复制的，实时感知资产变化情况，围绕这些核心对象来建立保护体系，进行持续监控。不管攻击者如何小心隐秘，非常的目的必有非常的行为，只要一露出不轨意图，行为稍有不端，就能被迅速发现。

其次是关系模型，企业业务系统里各个角色的构成关系、之间的联系，有着一定的稳定型。攻击者不管利用了什么样的漏洞，想窃取哪部分的数据，其行为一定会违背正常的业务关系，露出蛛丝马迹。这种情况下不需要去匹配漏洞或者是规则，通过发现这种异常的联系就能揪出黑客的动向。

泛滥一时的Apache Struts 2漏洞，在还没有正式披露时，部署在企业主机的自适应安全agent就已经感知到了利用这个漏洞的攻击。

2 自适应安全策略

网络安全攻防是一个动态持久的过程，最为合理的解决方案要求企业对自身的安全要做到持续地监控。要动态掌握网络内部资产状况；做好可以预料到的，诸如Webshell、非法上传、SQL注入、弱口令等的攻击防护；建立有效的补偿机制，即一旦系统被入侵，能及时、有效发现攻击者的攻击行为，并在损害发生之前予以阻断，从而将风险降至最低。

自适应安全产品具备以下功能：

（1）风险分析，使风险清晰可衡量

自动清点业务资产，理清可能的风险点；通过自定义安全基线和合规性检查，深入发现暴露和潜在的风险点。

清点内容包括：主机和设备、网络结构、操作系统、软件应用、进程和端口、系统账号、web站点、web应用、web接口等。如表1所示。

表1 资产清点列表

系统安全风险主要包括两个方面：一是人为因素造成的风险，如：弱口令、错误配置、暴露端口、不当管理等；二是系统自身安全漏洞。自适应安全产品可以精准发现这些风险，并且针对不同的风险做出精确的分析，提供精确到命令行的修复建议，降低了漏洞分析的难度和修复工作的复杂性。具体风险分析包括：软件漏洞、web漏洞、风险文件、弱口令、基线检查、操作审计、异常登录、web攻击检测、暴力破解等。如表2所示。

（2）入侵监控，第一时间发现入侵并迅速处理

通过设立特征锚点、分析行为模式、建立关系模型等手段，在第一时间发现入侵，并及时作出响应处理。如表3所示。

（3）管理加固，构建安全防御体系

帮助企业理清业务角色，根据不同的业务角色灵活配置不同的安全防御功能组件，根据业务需要，制定合理的安全策略来构建安全防御体系。

表2 风险分析列表

表3 入侵诊断列表

（4）高效运维，清算管理大量服务器安全

支持公有云、私有云部署方式，有效管理上万台主机安全，解决大规模基础平台的运维问题。

不同于传统安全产品，自适应安全架构，将视角转移到防火墙之后的业务系统内部，强调基于业务自内而外构建安全体系。同时，将安全从传统的安全事件防护转变为一项持续的安全响应和处理过程，从而从多维度持续保护企业安全。

结语：随着IT技术的不断进步，企业内部IT环境变化加快，黑客攻击手段和技术层出不穷，网络安全威胁日益严峻，企业面临安全基础体系不完善，同时又极度缺乏专业安全人才的囧境，自适应安全从外到内关注企业IT安全，随着其技术和产品的不断发展成熟，无疑将成为解决企业安全难题的金钥匙，开启企业信息安全解决之道。