1.4　网络安全滑动标尺模型

如何对网络安全行动措施和资源投入进行分类？SANS在2017年发布了网络安全滑动标尺模型，它对网络安全活动做了分类标识处理。该模型包含5个类别，分别为架构安全、被动防御、主动防御、威胁情报和溯源反制。这5个类别之间不是孤立的，而是具有连续性，相互之间不易界定。这一连续性关系可帮助模型使用者意识到各个类别并非静态。

了解与网络安全密切相关的各个类别之间的关联，有助于个人和组织逐步提升防护观念，从而更好地理解资源投入的目的与影响，建立安全项目的成熟度模型以及拆解、分析网络攻击行为来进行根源分析。

了解该模型的各个阶段，有助于个人和组织意识到位于标尺左侧的类别可为其他类别建立必要的基础支撑，使它们变得更易实现、更有用且占用资源更少。组织应该从标尺左侧的类别开始投入资源并解决相关问题，从而确保在将大量资源分配给其他类别之前，已经得到适当的投资回报。

网络安全滑动标尺模型如图1-7所示。

图1-7　网络安全滑动标尺模型

网络安全滑动标尺模型为个人和组织探讨资源类型和技术投入提供了参考。综合运用架构安全、被动防御、主动防御、威胁情报和溯源反制这5个类别，有助于提高网络安全。这5个类别不是静态的，对它们重要性的判断也不能一刀切。网络安全滑动标尺模型中各个类别的措施与相邻类别的措施之间是相互关联的。

例如，修复软件漏洞属于架构安全类别，但是修复漏洞位于标尺上该类别区域偏右的位置，更靠近被动防御类别。然而，在架构安全类别中没有任何一种措施能够被合理地界定为主动防御、威胁情报或溯源反制行为。威胁情报行为亦是如此。在攻击者的网络中收集情报更接近溯源反制行为，相比收集和分析开源信息，收集情报能更快地转化为溯源反制行为。以威胁情报的方式从事件响应数据中收集、分析和生产情报的行为，在标尺上更接近于主动防御，这是因为负责主动防御的分析师将消费情报以支持防御工作。

每个类别在网络安全中发挥的能效也不同，尤其是架构安全和溯源反制两个类别的比重相差甚大。在工程化设计和实现系统时考虑安全防护因素，将大大增强系统的防御姿态。这类措施得到的投资回报率显著高于出于相同安全防护目的而采取的反制措施。防御性能再好的架构安全体系，面对经验丰富和“意志坚定”的攻击者都可能被绕过。因此，不能将资源投入的重点全部放在架构安全上。

网络安全滑动标尺模型中的所有类别都很重要，但企业应该根据对投资回报的期望，确定如何实施安全防御，以及何时将重点转移到其他类别。如果在架构安全和被动防御方面采取的措施欠佳，将很难通过主动防御措施取得成效，更无法在整改基础问题之前尝试威胁情报和溯源反制措施。