引言

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）的深入實(shí)施，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度［1］(以下簡(jiǎn)稱“等保2.0”)已成為我國(guó)網(wǎng)絡(luò)空間安全體系的核心制度框架。等保2.0不僅對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了法定合規(guī)義務(wù)，更要求通過(guò)技術(shù)驗(yàn)證手段證明安全措施的有效性。在這一背景下，滲透測(cè)試［2］作為主動(dòng)安全評(píng)估的核心技術(shù)手段，在等保測(cè)評(píng)中扮演著關(guān)鍵角色。然而，當(dāng)前在等保2.0實(shí)施過(guò)程中，滲透測(cè)試仍存在測(cè)試場(chǎng)景碎片化、攻擊鏈覆蓋不完整、驗(yàn)證標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題，難以滿足對(duì)抗高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)的需求［3］。

除此之外，隨著云原生技術(shù)的普及，等保2.0在云環(huán)境擴(kuò)展要求(如虛擬化隔離、容器安全)面臨新的滲透測(cè)試挑戰(zhàn)(如動(dòng)態(tài)拓?fù)?、短暫生命周?。同時(shí)，ATT&CK框架［4］的持續(xù)演進(jìn)要求測(cè)試方法動(dòng)態(tài)適配新興攻擊技術(shù)。

與此同時(shí)，MITRE ATT&CK框架作為描述攻擊行為的標(biāo)準(zhǔn)化知識(shí)庫(kù)，為理解攻擊者戰(zhàn)術(shù)、技術(shù)和過(guò)程(TTPs)提供了系統(tǒng)性參考。將ATT&CK矩陣融入等保2.0滲透測(cè)試實(shí)踐，可實(shí)現(xiàn)從“合規(guī)檢查”到“能力驗(yàn)證”的轉(zhuǎn)變，這正是本研究要解決的核心問(wèn)題。

本文從等保2.0的技術(shù)驗(yàn)證要求出發(fā)，結(jié)合ATT&CK攻擊矩陣構(gòu)建融合式滲透測(cè)試框架。研究?jī)?nèi)容包含：等保2.0技術(shù)驗(yàn)證要求與滲透測(cè)試的映射關(guān)系；基于ATT&CK的滲透測(cè)試場(chǎng)景設(shè)計(jì)；融合框架在典型行業(yè)的應(yīng)用實(shí)踐等。研究成果將為網(wǎng)絡(luò)運(yùn)營(yíng)者提供可操作的滲透測(cè)試方法論，推動(dòng)網(wǎng)絡(luò)安全防護(hù)從合規(guī)基線向?qū)崙?zhàn)能力升級(jí)，從而進(jìn)一步提升網(wǎng)絡(luò)安全新質(zhì)戰(zhàn)斗力［5］。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://www.jysgc.com/resource/share/2000006702

作者信息：

顏星晨1,2，張?chǎng)?,2，周志洪1,2，陳愷凡1,2

(1.上海交通大學(xué)計(jì)算機(jī)學(xué)院，上海200240;

2.上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室，上海201203)