从工作机制上看，这四个部分是一个顺次发生的过程。首先采取各种措施对需要保护的对象进行安全防护，然后利用相应的检测手段对安全保护对象进行安全跟踪和检测，以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变，安全风险上升到不可接受状态，则马上采取应急措施对其进行响应处理，直至风险降低到可接受程度。

4.4 模型内容

4.4.1 Protection（防护）

主要包含功能：

主要内容有加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。

目标：

采用可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。

4.4.2 Detection（检测）

主要包含功能：

主要内容有入侵检测、系统脆弱性检测、数据完整性检测、攻击性检测等。

目标：

提供工具检查系统可能存在的黑客攻击、白领犯罪和病毒泛滥等脆弱性。

4.4.3 Recovery（恢复）

主要包含功能：

主要内容有数据备份、数据恢复、系统恢复等。

目标：

对危及安全的事件、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常的服务。

4.4.4 Reaction（响应）

主要包含功能：

主要内容有应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。

目标：

一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

五、ASA模型

5.1 ASA模型提出者

自适应安全架构(Adaptive Security Architecture, ASA)模型是Gartner在2014年提出的面向下一代的安全体系框架，类似PDCA的戴明环理念，强调以持续监控和分析为核心。

5.2 ASA模型图（1.0）

5.3 ASA模型内容（1.0）

ASA主要从预测、检测、响应、防御四个维度对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。它强调安全防护是一个持续处理的循环过程，主要用于应对云计算与物联网等新领域快速发展所带来的新挑战。

5.3.1 预测

针对现有系统和信息中具有威胁的新型攻击以及漏洞设定优先级和定位，通过防御、检测、响应结果不断优化安全策略与规则，自适应地精准预测未知的、新型的攻击，然后形成情报反馈到预防和检测功能，从而构成整个处理流程的闭环。

5.3.2 检测

主要假设自己已处在被攻击状态中，检测、发现那些规避网络防御的攻击行为，降低威胁造成的“停摆时间”以及其他潜在的损失。

5.3.3 响应

用于高效调查和应急响应被检测分析功能查出的安全事件，以提供入侵认证和攻击来源分析，并产生新的预防手段来避免再次发生类似安全事件。

5.3.4 防御

用于防御攻击的一系列策略集、产品和服务。它主要通过减少被攻击面来提升攻击门槛，并在受影响前阻断攻击行为。

5.4 ASA模型图（2.0）

5.5 ASA模型内容（2.0）

2016年自适应安全架构的原作者，Gartner两位王牌分析师Neil MacDonald和Peter Firstbrook对此架构进行了勘误和改版，变动并不大，但是同年自适应安全架构在全球范围内得到了广泛的认可。在2017年进入了自适应安全架构的2.0时期，在1.0的基础上进行了相关的理论丰富。

在自适应架构2.0的时候加入了一些额外的元素，主要是三点变化。

第一、在持续的监控分析中改变成持续的可视化和评估，同时加入了UEBA相关的内容；
第二、引入了每个象限的小循环体系，不仅仅是四个象限大循环；
第三、在大循环中加入了策略和合规的要求，同时对大循环的每个步骤说明了循环的目的，到保护象限是实施动作，到检测象限是监测动作，到响应和预测象限都是调整动作。

5.5.1 UEBA介绍

其实在2016年的十大科技趋势之自适应架构报告中也能看到端倪，在后面详细介绍了UEBA的相关内容。UEBA是User& Entity behavior analytics的缩写，意义是用户和实体的行为分析，这里的实体主要指终端、应用、网络等IT资产实体。美国有很多专注于做此种类型的厂商，主要的思路是收集这些IT资产实体的数据进行大数据分析和机器学习，来找出一些安全问题。重点的功能是在分析侧，很多终端安全厂商或者网络安全厂商会跟UEBA的厂商进行配合使用，前者发现既有的一些安全问题，后者帮助发现更深层次的问题，尤其还有人的因素在里面。

UEBA的结构图如下所示：

自适应架构2.0将策略和合规的问题囊括进来，就将自应安全架构的外延扩大了，在此架构提出的时候主要是针对于高级攻击的防御架构，相当于此架构的普适性增强了。

5.6 SAS模型图（3.0）

5.7 SAS模型内容（3.0）

在2018年十大安全趋势中，正式确认了“持续自适应风险与信任”（CARTA）的安全趋势，也即是自适应安全架构3.0的强调。这次架构的添加的内容较多，同时名字都进行了修改。

比之前最大的变化即是多了关于访问的保护内环，把之前的自适应安全架构作为攻击的保护外环。作为增加了内环重点的关注认证，也有其内在原因：

第一、之前的自适应安全架构没有考虑认证的问题，导致架构的完整性有缺失。如果黑客获取了有效的认证内容，比如用户名密码，自适应架构对于此类事件是“可信”的，威胁就无法感知。
第二、在云时代下CASB这种产品就是解决了部分认证的问题，Gartner同时使用自适应安全架构的方法论来对CASB的能力架构进行过全面分析，可以说是将对CASB自适应的架构作为原型挪到了这个总体架构中，在这个架构中的核心点在于认证，包括了云服务的发现、访问、监控和管理。
第三、如果认证体系只是一次性认证并没有持续的监控和审计，必须要有被窃取认证信息的心理预期，所以要持续的进行监控和分析以及响应，所以要形成闭环。

5.7.1 CASB介绍

CASB自适应安全威胁保护如下图：

5.7.2 总结

从这些变化可以看出一些重点，对于认证领域（IAM）的重视，并将攻击保护侧和访问保护侧分别定位为将“坏”的驱赶出来和让“好”的进入。如果把内外环换个顺序感觉会更直观一些，一般来说先是接触访问然后再接触内部系统。这个架构的适用场景变得更为广泛，包括了安全响应、数据保护、安全运营中心、双模IT、开发安全运维、物联网、供应链安全、业务持续和灾难恢复等领域。很明显在未来的一两年内，可能会一直是十大科技趋势之一。

5.8 总结

展望一下自适应安全架构的未来，两个方向是一直在提的，后面估计会加入到自适应架构中。一个就是开发安全运维（DevSecOps），另一个是欺骗系统（Deception System）。开发安全运维提到了很多年，对于解决安全的问题的本质很有意义，同时在目前开发运维慢慢成为主流，安全要吻合这种趋势来解决这种方式的安全问题。同时欺骗系统的重要性也被提及出来，但是作为边缘产品，是否能得到甲方的全面认可，还要看市场的反响。

自适应安全架构发展4年，不断的扩展它的内涵和外延，表现出了极大的生命力。无论作为安全甲方还是安全乙方，都有很大的参考价值。安全建设方，可以按照此架构对整个组织的安全状况进行梳理，构建整个安全建设方案，尽量选择覆盖自适应能力更全的厂商来改善整体的安全态势；同时安全厂商可以根据此架构来规划功能和能力，不断增强和加深自适应的各项安全要求。

好了，本次内容就分享到这，欢迎大家关注《云计算安全》专栏，后续会继续输出相关内容文章。如果有帮助到大家，欢迎大家点赞+关注+收藏，有疑问也欢迎大家评论留言！

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/凡人多烦事01/article/detail/287920