在2017年6月份舉辦的第23屆Gartner安全與風險管理峰會開幕式上，來自Gartner的三位VP級別的分析師（Ahlm, Krikken and Neil McDonald）分享一個題為《Manage Risk ,Build Trust, and Embrace Changes by Becoming Adaptive 》的大會主題演講。在這個會議上，Gartner創造性地提出了一個全新的戰略方法——持續自適應風險與信任評估（CARTA，Continuous Adaptive Risk and Trust Assessment），并對CARTA進行了詳細的闡述，幾乎將Gartner所有的研究領域，或者說當今安全的所有細分領域都涵蓋其中。CARTA也展現出了Gartner作為北向安全頂尖高手的水平，現如今能夠高屋建瓴給信息安全帶大帽子的人真的很少啦，Neil McDonald是其中一位。

注意，我下面提到的CARTA演講內容只有親臨現場才能看到，Gartner沒有對外提供這套膠片。而我水平有限，也沒能完全聽明白其中奧義。所以，以下內容主要是本人自己的體會，如果與Gartner本意相抵，敬請見諒。以下圖片來自現場拍照，如有模糊，也請諒解。

開場：零風險零回報、擁抱風險

演講開始之前，主會場先播放了一段關于火災的視頻。畫面顯示展示美國荒野/森林大火的破壞性場景，然后又看到了火后次生林繁茂生長的畫面。解說詞主旨大意：火災是風險，是破壞，但也是機遇，是生機。（美國）森林大火很多是自然（雷電等）引發的，有時是不可避免的。我們不能把所有的資源都投入到預防火災中去，還需要投入資源到快速滅火中去。甚至有時候，我們要故意讓放縱（森林）大火蔓延，因為這是自然的規律，火后會有新的生機。

這段視頻是一個隱喻。其實是說，在當前數字經濟時代，盡管面臨比以往更加險峻的安全形勢，但是我們依然要更加積極地去擁抱數字時代，去創造新的生產力。我們不能因為有危險就畏首畏腳。反過來看，畏首畏腳也于事無補，因為無論如何進行防守，敵人終究會攻進來。因此，與其畏首畏腳，不如積極擁抱風險，從風險中獲取價值。有句話說的好：“沒有風險就沒有回報”。但是，我們也不能任由風險擴散，而是要控制風險到一個可接受的水平。所以，主旨是：我們要控制風險，而不要去消滅風險。

CARTA：持續自適應風險與信任戰略方法

那么，如何控制風險？這就首先要知道好和壞，什么是***？什么是正常的業務訪問？誰可以進來？誰不能進來？

如何判斷好壞，這是個問題。以前，我們通過預先知道的規則/簽名/ACL/……來判定好壞，但是隨著高級威脅的日益頻繁，依賴先驗性的知識無法判定好與壞了。同理，我們現在也很難直接地去判定某個業務的安全風險，很難判定對內部員工、外部合作伙伴的信任度。

因此，Gartner推出了一個稱作CARTA的戰略方法，強調要持續地和自適應地對風險和信任兩個要素進行評估。

風險，是指判定網絡中安全風險，包括判定***、漏洞、違規、異常等等。持續自適應風險評估是從防護的角度看問題，力圖識別出壞人（***、漏洞、威脅等）。說到風險，我認為是信息安全中一個很關鍵的詞。現在我們更多聽到的是威脅、數據，譬如以威脅為核心、數據驅動，等等，以風險為核心感覺過時了一樣。其實，安全還真是要時時以風險為核心！數據、威脅、***、漏洞，資產、都是風險的要素和支撐。我們檢測***，包括高級***，最終還是為了評估風險。

信任，是指判定身份，進行訪問控制。持續自適應信任評估是從訪問控制的角度看問題，力圖識別出好人（授權、認證、訪問）。

自適應，就是指我們在判定風險（包括***）的時候，不能僅僅依靠阻止措施，我們還要對網絡進行細致地監測與響應，這其實就是ASA自適應安全架構的范疇。另一方面，在我們進行身份與訪問控制的時候，也不能僅僅依靠簡單的憑據，還需要根據訪問的上下文和訪問行為進行綜合研判，動態賦權、動態變更權限。

持續，就是指這個風險和信任的研判過程是持續不斷，反復多次進行的。

CARTA強調對風險和信任的評估分析，這個分析的過程就是一個權衡的過程。圖中的天枰很形象地闡釋了“權衡”（Balance）一詞。

權衡的時候，切忌完美（Perfect），不能要求零風險，不能追求100%信任，否則業務就沒法開展了。好的做法是不斷地在0和1之間調整。

與此同時，這個權衡的過程就是CARTA引擎工作的過程。

CARTA引擎能夠利用各種情境數據（如圖藍色漏斗中的各種數據），對一個訪問行為，一個業務應用調用，一個網絡活動進行持續地評估，動態地決定是阻斷這次會話（圖中下方紅色部分），還是允許這次會話（圖中下方綠色部分），抑或更多是采取介乎紅色和綠色中間的行動（進一步判定、允許但只讀、允許但審計，等等）。

從三個維度對數字化業務系統運用CARTA戰略方法

接來下，Garnter從運行、構建和規劃三個維度（反著講）來分別講解客戶的業務系統如何運用CARTA戰略方法。這里最厲害之處是Gartner將幾乎所有他們以往定義的技術細分領域都囊括其中，而且十分自洽。

運行：自適應訪問和自適應保護

訪問，就是從信任的角度去進行訪問控制；保護，就是從風險的角度去進行防御。

自適應保護其實就對應了Gartner的自適應安全架構。

在談及保護的時候，Gartner提到了一個響亮的觀點：利用縱深分析（Analytics in-depth）和自動化來進行保護。

1）? 縱深分析：這是一個從縱深防御演進而來的術語，強調了隨著安全問題逐漸變成大數據問題，而大數據問題正在轉變成大分析問題，進而縱深防御也逐漸變成了縱深分析。縱深分析就是要對每個縱深所產生的大量數據進行分析研判，動態地去進行風險與信任評估，同時還要將不同縱深的數據進行融合分析。而所有這些分析，都是為了更好的檢測，而檢測是屬于防護的一環（跟阻斷、響應一起）。

2）? 自動化：在安全保護中，自動化的本質是為了為快速的響應。

構建：開發與合作

開發安全的核心架構是DevSecOps。而合作就是構建生態系統。

規劃：治理與評價

數字安全與風險管理的愿景

最后，講演以構建數字時代業務安全與風險管理的愿景來結尾。

上圖十分高大上。大意如下：

安全與風險戰略的核心愿景是構建一個信任的和彈性的IT環境，使得企業能夠順利地、充分地參與到數字經濟中去。

在數字時代的業務安全目標，除了傳統的CIA，還包括PSR（隱私、安全safty、可靠），這也是因為大物移云的影響造成的，體現了現實與虛擬的融合。

要達成上述愿景與目標，需要構建以下四種能力：程序、原則、情境、智能。同時，還要構建一個自適應的、情境感知的安全架構（包括技術、流程和服務），以及一套行之有效的治理結構和流程。

總結

以上是生活随笔為你收集整理的CARTA：Gartner的持续自适应风险与信任评估战略方法简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。