中文版《通过自动化和协调推进零信任成熟度》美国国家安全局最新报告

执行总结

政府和行业信息与服务的安全取决于对网络安全威胁的及时响应。与人工方法相比，自动化和协调能够以更快的速度应对威胁，而人工方法可能还不够快，无法防止入侵或破坏。

自动化和协调支柱是一套零信任功能，可根据整个企业的定义流程和安全策略自动执行安全行动和反应，并注重速度和规模。自动化是使用软件来控制重复性任务，而协调则是协调 IT 流程和工作流，以确保任务得到妥善管理。通过实施自动化和协调功能并使之日趋成熟，企业就能更好地抵御日益增多和日益复杂的网络入侵企图，甚至是部分成功的入侵企图。

这一支柱强调整个企业的动态安全响应，使用策略协调来执行策略决策；关键流程自动化来提高效率；人工智能/机器学习（如适用）来进一步提高自动化；安全协调、自动化和响应（SOAR）来编织响应行动；数据交换标准化来实现能力之间的互操作性；以及安全操作和事件响应协调、计划和能力。本网络安全信息表（CSI）介绍了这些自动化和协调支柱能力，以及达到更高的成熟度水平的建议。

引言

零信任（ZT）是 “一套不断发展的网络安全范式，它将防御从静态的、基于网络的边界转移到关注用户、资产和资源上”。 与传统的基于边界的网络安全模式不同，ZT 方法主要是通过在企业资产和主体（终端用户、应用程序和其他从资源中请求信息的非人类实体）之间执行动态信任策略，重点保护数据和服务。为了促进 ZT 框架和安全模型的开发、部署和运行，美国国防部（DoD）指南将 ZT 的功能分为七大支柱，共同提供全面有效的安全模型。这些支柱包括用户、设备、网络和环境、数据、应用程序和工作负载、可见性和分析以及自动化和协调。自动化和协调是指自动实施和整合其他支柱，以实现动态、快速和可扩展的效果。

自动化旨在减轻网络防御者的负担，但并非没有风险。此外，随着人工智能（AI）的使用，敌对策略也越来越多地实现自动化，从而导致入侵的速度、频率和复杂性不断增加。要以必要的速度应对这些威胁，自动化系统是必不可少的，但在设计时也必须考虑到安全性，否则系统仍会像自动化之前一样容易受到攻击。虽然自动化可以创建可重复的流程，使注入的人为错误可以被检测到，但如果不对基础模型进行精心设计和持续测试，自动化也有可能只是将人为错误自动化。

网络安全事件呈上升趋势，部分原因是常见技术的自动化，如网络钓鱼，截至 2020 年，90% 以上的报告漏洞都是由网络钓鱼造成的。 ZT 模式通过将访问权限限制在需要的范围内，并假定漏洞不可避免或已经发生，从而缓解了这一问题。

本网络安全信息表（CSI）中提供的建议侧重于提高组织检测网络威胁的能力，缩短对常见威胁的响应时间。这些建议还侧重于日常任务的自动化，以便集中资源调查与先进战术、技术和程序 (TTP) 相关的异常情况。通过自动化和协调流程，可根据检测和有效应对情况制定操作手册，协调和组合各种安全能力，确保数据和资源的安全。

ZT 的操作手册是一套结构化的预定操作，设计用于在自动化工作流程中执行，并根据需要激活，以处理和缓解事件。此外，操作手册还能使安全工作流程自动化，以便分析人员将更多时间用于分析和调查。ZT 采用了以下网络安全实践，通过支持和启用游戏本，协助安全操作中心 (SOC) 实现自动化，从而快速有效地应对高级和新兴威胁： 人工智能和机器学习（ML）、安全信息和事件管理（SIEM）以及用户和实体行为分析（UEBA）。此外，安全协调、自动化和响应（SOAR）将这些工具结合起来，形成一个安全层，通过提供持续监控、对入侵的实时反应和预期行为基线，对意外行为发出警报，从而抵御网络安全威胁。

本 ZT CSI 为成熟 ZT 自动化和协调支柱的功能提供了指南和最佳实践。采用 ZT 是《国家网络安全战略》的一部分，旨在建立一个可防御、有弹性的数字生态系统。

受众

本 CSI 主要为美国国家安全系统 (NSS)、国防部和国防工业基地 (DIB) 网络提供指导，但对保护其关键信息和系统免遭复杂恶意行为者攻击的其他所有者和操作者也可能有用。美国国家标准与技术研究院 (NIST) 和网络安全与基础设施安全局 (CISA) 也为其他系统所有者和操作者提供了指导。本指南与国防部的工作和指南保持一致，包括国防部网络安全参考架构 (CSRA) 5.0 版、国防部零信任参考架构 (ZT RA) [8] 和国防部 ZT 战略。

背景

关于提高国家网络安全的总统行政命令（EO 14028）[10] 和国家安全备忘录 8（NSM-8）指示联邦文职行政部门（FCEB）机构和国家安全系统所有者和运营商制定并实施 ZT 网络安全框架。

在 “拥抱零信任安全模型 CSI ”中，ZT 的概念与七大支柱的支撑原则一起被定义和具体化。这些支柱由各种能力组成，使 ZT 综合框架逐步走向成熟。 本 CSI 中描述的能力旨在使网络安全保护、响应和操作随着时间的推移不断成熟。七大支柱中每一支柱的能力进步都应被视为基于威胁评估和监控的持续改进周期。

本 CSI 按照美国防部 ZT RA 成熟度标准（准备、基准、中级和高级）提供指导。它也是对 ZT 项目管理办公室（PfMO）实现 “目标 ”和 “高级 ”水平指导的补充。

图 1：零信任七大支柱说明

图 1 显示了 ZT 七大支柱，包括自动化和协调支柱。ZT 成熟度模型这一支柱的能力和里程碑将在本文档中详细介绍。ZT 七大支柱并不是独立的，因为每个支柱都依赖于其他支柱的能力或与其他支柱的能力保持一致。

自动化和协调支柱

ZT 框架中的自动化和协调支柱旨在促进人工安全和其他适用流程的自动化，以便在整个企业内快速、大规模地采取基于策略的行动。该支柱详细介绍了如何使用 SOAR 来提高安全性并缩短响应时间，以及如何使用 SIEM 和其他自动化安全工具来协助管理不同的安全系统。必须在 ZT 企业的所有环境中定义流程，并保持安全策略执行的一致性，这样自动化安全才能提供前瞻性的指挥和控制。

自动化和协调支柱由以下关键功能组成：

• 利用策略决策点进行策略协调
• 关键流程自动化
• 人工智能
• 机器学习
• 安全协调、自动化和响应
• 数据交换标准化
• 安全操作协调和事件响应

图 2：零信任自动化和协调支柱成熟度

利用策略决策点进行策略协调

安全策略描述了保护数据和服务的访问决策方式。策略和策略所依赖的上下文数据存储在策略信息点（PIP）中，策略和上下文数据由策略决策点（PDP）解释，以决定是否批准特定的访问请求，这些访问决定由策略执行点（PEP）执行。这些由各种安全设备和功能在整个网络架构中实例化，通常最好通过描述数据流和所有实施数据保护的安全工具的网络图来理解。

在传统网络环境中，许多安全设备同时执行这三种功能，而在现代 ZT 环境中，这些功能通常是解耦的，从而实现了更多功能的安全策略、执行和响应行动。例如，在传统网络环境中，防火墙可能具有指定允许哪些端口和协议的配置（即策略），并具有进入其网络接口之一的网络流量的协议元数据（即策略相关信息），可以确定不允许流量（即策略决策），然后可以阻止流量穿越设备（即策略执行）。

而在一个现代 ZT 环境示例中，支持 ZT 的网络接入能力将接收请求接入的网络流量，并将接入请求与网络元数据一起发送到接入控制引擎（即 PDP），以确定是否应该允许接入。然后，接入控制引擎将从中央策略存储库（即 PIP）请求相关的接入策略（有时称为 “有条件接入策略”），从其他存储库（即 PIP）请求其他相关属性和元数据（如身份信息、验证确认和环境可信度），评估接入策略（有时称为 “有条件接入策略”）、 PIP），利用上下文信息评估访问策略以做出访问决定（如不允许与网络流量相关的用户访问所请求的资源），然后将该决定反馈给网络访问能力以执行（即作为 PEP 阻止流量）。

采用机器可读和可执行格式的策略可使策略由 PDP 解释，并由 PEP 正确执行。此外，它还能根据不断变化的情况自动更改策略，使动态策略适应当前的风险环境。利用策略即代码（PaC）技术有助于实施动态策略。

表 1：利用策略决策点进行策略协调成熟度

关键流程自动化

ZT 框架内的关键流程自动化（CPA）涉及将组织的关键流程自动化，同时遵守一项核心原则，即任何实体，无论是在网络内部还是外部，都不应默认受到信任。这种方法旨在持续验证和确认访问资源的所有用户和设备的信任度。

机器人流程自动化（RPA）通过自动执行重复性任务和工作流程，使组织能够简化流程并减少人为错误，从而在 CPA 中发挥作用。RPA 机器人可以执行用户供应、访问请求审批和安全策略执行等任务，提高 ZT 环境内的运营效率。此外，集成人工智能和其他高级分析功能还能提供持续风险评估、行为分析、预测性威胁检测和自动响应，从而增强企业的 ZT 态势。

实施 CPA 和高级分析可带来显著效益，但也并非没有风险。组织可能会过度依赖自动化，从而导致自满情绪和人为监督的减少。其他风险可能包括误报或漏报以及训练数据偏差。

为避免人工智能的一些风险，企业应采用一些最佳做法。从小处着手，从低风险、重复性任务的自动化开始，逐步建立信心，了解人工智能流程将如何随着时间的推移而发展。在流程中保持人工监督和参与，以做出最终决策并在必要时进行干预。最后，企业应持续监控和评估自动化流程，以确保持续的准确性和有效性。

表 2：关键流程自动化成熟度

人工智能

人工智能（AI）关注的是构建计算机和机器，“使其能够以通常需要人类智能的方式进行推理、学习和行动，或涉及规模超过人类所能分析的数据”。人工智能是计算机科学、数据分析和统计、硬件和软件工程、语言学、神经科学等多个领域的综合产物。人工智能是一套基于机器学习、深度学习、机器人技术、专家系统和算法的技术。作为一个更宽泛的概念，人工智能是指制造能像人类一样感知和推理的机器。

人工智能可以为 ZT 架构带来多种好处。人工智能能够分析海量数据并更快地识别潜在的安全威胁，从而能够更早地发现威胁并做出响应，从而减少漏洞的负面影响并控制损失。人工智能驱动的系统可以持续监控用户和设备行为，以建立基线并检测偏差。此外，还可以自动做出响应，加快事件响应时间。

在实施人工智能驱动的服务时要考虑风险。持续的人工参与和审核非常重要，可确保模型的行为长期符合预期，从而减少错误并避免自满情绪。定期培训很重要，针对员工的宣传计划也很重要，让他们了解 ZT 架构内人工智能的能力和局限性。

表 3：人工智能成熟度

机器学习

机器学习（ML）是人工智能领域中发展迅速的一个分支，其重点是利用训练数据开发统计模型，使计算机能够对以前未见过的新数据输入做出可靠的预测、决策和分类。

模型可以通过有监督和无监督学习方法进行训练，以处理大型数据集，并以比人工分析快得多的速度得出有意义的结论。有监督方法使用标记数据帮助 ML 工具学习输入和输出，并识别已知的关系和模式。无监督方法通过让 ML 工具探索无标记数据集来发现隐藏模式或对模式进行分类。在 ZT 中，每种方法都可用于实现不同的安全目标，或在半监督学习模型中结合使用，以充分利用每种方法的优势。

ZT 环境会根据敏感性和允许的访问权限大力使用数据标记。访问日志、网络流量、用户行为、设备属性、安全事件等都会产生大量数据。这些大量数据有可能通过用户和系统组件的活动基线来训练 ML 模型。数据收集是为统计分析所使用的分析信息库提供种子，从而生成预测和见解的基础步骤。

如果训练有素并实施得当，ML 解决方案可用于建立基线，并检测以前看到的和可能无法预见的异常活动。除其他外，ML 模型还可为 UEBA 解决方案提供信息，帮助其确定异常用户行为，使用大型语言模型 (LLM) 执行根本原因分析以加快调查进程，并集成到网络访问控制和端点保护平台 (EPP) 解决方案中，以减轻已知和可能无法预见的威胁。

利用 ML 建模收集数据是一种强大的能力，但应定期进行测试和人工审核，以提高模型的准确性并验证建议的操作。人工智能和 ML 功能还应认真遵守任何适用的法律、法规、隐私或其他要求。

表 4：机器学习成熟度

安全协调、自动化和响应

安全协调、自动化和响应（SOAR）是指使企业能够收集安全运营团队监控的输入并做出反应的技术。SOAR 可以收集和丰富数据，提供决策逻辑，并通过行动和任务支持安全策略。AI/ML 增强技术可推进自主适应网络防御。这使企业能够更快、更大规模地应对网络安全破坏企图，并观察、了解和预防未来的事件，从而改善企业的安全态势。

全面的 SOAR 产品设计为在三个主要软件功能下运行：威胁和漏洞管理、安全 IR 和安全操作自动化。在 ZT 框架内，SOAR 功能通过摄取警报数据和触发用于自动响应和修复的播放簿来促进自动化和协调。SOAR 可以收集数据、实施决策逻辑，并通过支持安全策略的行动和任务来执行。SOAR 可使企业专注于事件检测和响应、安全团队协作，并以速度和规模缓解安全威胁，从而加强网络安全防御。

表 5：安全协调、自动化和响应成熟度

数据交换标准化

数据格式、协议和应用编程接口（API）的标准化可使服务和应用程序以相同的方式进行通信，从而进一步实现协调并增强互操作性。企业所依赖的服务和应用程序由多个元素组成，而这些元素之间通常是紧密集成的。交换数据和触发功能的标准化方法有助于开发人员规范信息交换模式，避免开发不兼容的应用程序。同样，从安全到网络基础设施，人们越来越依赖云服务，这使人们更加关注制定标准以实现互操作性的必要性。

然而，在实践中实现标准化和互操作性可能具有挑战性。各组织应努力使产品以相同的方式使用相同的标准和应用程序接口，以协调跨能力和跨产品的任务。采购要求可能会有所帮助，但某些标准和应用程序接口的实施方式可能会影响实际的互操作性。

表 6： 数据交换标准化成熟度

安全行动协调和事件响应

安全运营协调和事件响应对组织的安全运营至关重要。它们的功能是检测、响应和减轻安全风险、威胁和入侵。安全运营中心（SOC）为状态和战术实施提供安全管理可见性。安全运营中心内的工作流程可利用服务提供商和技术联合提供的自动化工具和丰富功能实现自动化。

SOC 可通过快速分析、自动收集日志、PCAP 和数据以及自动响应以减轻检测到的威胁来缩短响应时间。接入 SOC 的数据量往往远远超过人工分析人员的处理能力，因此需要 SOAR 来提高响应时间和覆盖率。

SOC 还应为事件响应活动做好准备，制定事件响应计划，通过桌面演练和对潜在情景的实际模拟进行测试，并定期更新计划。制定并遵循健全的事件响应计划可减少入侵可能造成的损害，并确保任务的连续性。

表 7：安全运作协调和事件响应成熟度

指导概要

对于 ZT 自动化和协调，有三个关键领域横跨本支柱中的各种能力。组织应根据系统安全工程原则，采用自动化方法来处理关键功能的重复性、劳动密集型和可预测任务，如数据浓缩、安全控制和 IR 工作流。这些任务应在可互操作的能力之间进行协调，以提高效率并减轻防御者的人工负担。

其次，它们还应采用先进的算法和分析方法，特别是人工智能/人工智能，来执行（和加强执行）关键功能，如风险和访问确定、环境分析、IR、异常检测、用户基准和数据标记。

第三，组织通过 SOC 协调安全操作和事件响应的能力对其安全性至关重要，应借助 AI/ML 和其他自动化手段，更快、更有效地检测、响应和缓解威胁。

进一步指导

美国国家安全局正在协助正在试点 ZT 功能的 NSS 所有者，与 NIST、CISA、国家管理者和国防部协调 ZT 活动，并制定更多 ZT 指导，以支持系统开发人员应对将 ZT 集成到 NSS、国防部和 DIB 环境中的挑战。即将发布的补充指南将有助于组织、指导和简化将 ZT 原则和设计纳入企业网络的工作。