安全模型中的4个P

引言：在安全模型中，经常会碰到PDR,PPDR，IPDRR，CARTA-PPDR等模型，其中的P，是predict？是prevent？还是protect？还是policy呢？

一、4P字典意思解释

1、predict：动词，预测的意思，to say that something will happen in the future；

2、prevent：动词，预防、阻止的意思，to stop somebody from doing something; to stop something from happening

3、protect：动词，保护的意思，to make sure that somebody/something is not harmed, injured, damaged, etc。protection,名词，更多时候解释为防护。

4、policy：名词，策略的意思。a plan of action agreed or chosen by a political party, a business, etc.

predict预测和policy策略，比较好理解，但prevent 和protect没那么好理解，Quora上关于prevention 和protection的区别讨论，总结来说，

prevention偏向对动作的预防，即事件还没发生；

protection偏向对发生中的动作带来危害的保护。

二、模型简述

2.1 PDR

PDR，即Protection-Detection-Response模型，被业界认为是基于时间计算的安全保护模型，其架构如下如所示：

通常认为，只要保护时间大于检测与响应的时间之和，即：Pt>Dt+Rt，系统就是安全的。这种用数学公式就体现出了安全是攻防对抗中的时间差，简单明了，与当前安全建设都在追求降低MTTD和MTTR的思想是一致的。

参考：PDR模型_北京安软天地

2.2 PPDR(P2DR)

PPDR（P2DR），及 Policy-Protection-Detection-Response，是PDR模型的升级，在PDR模型的基础上，增加了policy（策略）,其架构通常如下所示：

P2DR在PDR的基础上增加的policy，开始将焦点放到策略制定与调整上，使得整个模型趋向动态防护，且在防御维度上更加具有立体感，网上关于二者的区别做了阐述。

参考：pdr和ppdr模型学习 - 修心而结网 - 博客园

2.3 IPDRR

IPDRR，即Identify- Protect-Detect- Respond- Recover，是NIST Cybersecurity Framework的5要素，其基本框架如下所示：

NIST官网最近公布了新的草案，适用范围由原来的关键基础设施扩大世界所有组织，且在原来框架的基础上，增加了治理层GOVERN。

参考：NIST 网络安全框架导读_nist cybersecurity framework_云上笛暮的博客-CSDN博客

2.4 CARTA

CARTA，即Continuous Adaptive Risk and Trust Assessment（持续的适应性风险和信任评估），为什么将CARTA加入此次对比？因为CARTA其实是Gartner提出的ASA架构的3.0版本，而ASA架构是基于PPDR(Predict-Prevent-Detect-Respond)设计的。乍看起来也是“PPDR”,但显然与2.2节中的PPDR不是同一个事情。

自适应安全架构描述了一种方法，该方法使用综合策略的组合来帮助企业领先于网络犯罪分子，采取灵活的安全措施以尽可能敏捷的方式保护数据和系统，而不是依赖过时的外围防御策略。

自适应安全架构是企业安全免疫系统。自适应安全架构 (ASA) 基于使用自适应和动态操作方式来维护数据、系统及其生存能力的完整性的解决方案。为了扩展生物生态系统和企业 IT 基础设施之间的并行性，ASA 遵循达尔文“适应或死亡”的概念。成功的 IT 基础设施必须适应，否则最终将遭受掠夺者攻击、病毒感染或无法适应环境变化。ASA 的行为类似于生物体抵御局部疾病爆发甚至大流行的方式。ASA 采用自适应方法，是一种自主系统，可以有效模仿有机免疫系统和大规模自然生态系统。

参考：Adaptive Security Architecture (ASA) - CIO Wiki

ASA 自适应安全架构经历了1.0到3.0 的阶段。

早在2014年，Gartner分析师就提出了ASA（Adaptive Security Architecture ）自适应安全架构，随后Gartner在2016年的十大科技技术趋势中列入了ASA，在2014到2016期间，可以认为是ASA的1.0时代.2017年，ASA进入2.0时代，2.0在1.0的基础上增加了持续可视化评估、UEBA，以及每个象限的小循环。 2018年，ASA进入3.0时代，在2.0的基础上增加了接入保护，是的ASA架构从“鉴黑”和“鉴白”两个层面对目标进行保护。

在CARTA的自适应攻击防护架构中，我们看下“PPDR"各个象限的具体内容，

CARTA中PPDR各象限内容及扩展解释：

predict:预测	do risk-prioritized exposure assessment：进行风险优先暴露评估 anticipate threats/attack：预测威胁/攻击 baseline systems and security posture：基线系统和安全态势	自适应安全模型的预测组件涉及评估风险、预测潜在威胁以及评估组织当前的安全状态，以确定其是否能够抵御您正在准备应对的威胁。它回顾当前的安全趋势并分析它们可能如何影响您的组织。此阶段提供预测未来威胁和准备响应所需的情报。
prevent：预防	harden systems:强化系统 isolate systems:隔离系统 prevent attacks:防御攻击	预防需要预防能力，使企业能够创建网络安全防御产品和设备，例如防火墙（物理或虚拟）、入侵防御设备和 SASE。安全策略、流程和访问控制也在此阶段定义。预防元素将这些基于风险的安全措施集成到组织的数字框架中。
detect:检测	detect incidents：检测事件 confirm and priorize risk ：确认风险并确定优先级 contain incidents:遏制事件	自适应安全模型的检测支柱可识别可能漏过预防协议的攻击。及早发现可以缩短阻止潜在风险转变为运营风险所需的时间。该检测组件采用连续监控技术来检测威胁事件以及系统内发生的任何异常行为。IT 安全团队可以部署各种动态工具来完成此任务，例如人工智能 (AI) 算法。
respond:响应	remediate:补救 design/model policy change：设计/模型政策变更 investigate incidents/do retrospective analysis 调查事件/进行回顾性分析	通过响应组件，您可以构建流程和工具，以最好地响应预测的风险和威胁，从而减少未来类似的安全事件。在此阶段，您的自适应安全系统会评估其他层未捕获的风险。

三、思考与总结

首先对文中的组合做对比呈现：

PDR--------------------Protection-Detection-Response，防护-检测-响应；

PPDR------ -----------Policy-Protection-Detection-Response，策略-防护-检测-响应；

IPDRR-----------------Identify- Protect-Detect- Respond- Recover，识别-保护-检测-响应-恢复；

CARTA-PPDR-------Predict-Prevent-Detect-Respond，预测-预防-检测-响应；

关于PDR很好理解，基于时间计算的安全模型，PPDR在此基础之上增加了policy，使得整个安全模型更加立体，能更加全面的应对黑客攻击。这两个模型笔者认为是在IT环境相对简单，攻击手段还未大幅度提高的环境下提炼出来的，模型很”朴素”但基本能展示出安全防护的本质和执行手段。

到了ASA和IPDRR，可以看出，模型考虑的维度更加丰富，同时更加关注动态（从用词也可以发现，PDR和P2DR用的都是名词，IPDRR和CARTA-PPDR用的都是动词），ASA和IPDRR可以看作交错发展，ASA1.0→IPDRR1.0→ASA2.0→ASA3.0→IPDRR2.0。二者都看重预测在防护中的价值，虽然IPDRR中没有提predict,但是其Identify中包含了比重较大的风险评估，且在IPDRR2.0的讨论稿中增加了govern中包含了制定和监控组织的网络安全风险管理战略、期望和政策，这其实比CARTA中predict象限内容更加丰富。

在CARTA-PPDR架构中，可以看到没有pretect,其中的2个P都代表predict和prevent，笔者认为这代表了安全模型在强调防御的左移和主动，因为protect其实相对prevent已经靠后了，结合CARTA的自适应和可视化，可以不断降低组织的MTTD和MTTR。

从PDR到CARTA和IPDRR2.0，也体现了IT环境的逐步复杂、攻击手段的快速提升以及组织对数字资产面临风险的预知式“拿捏”追求。

------------------------------------------------完------------------------------------------------------------

题外思考：

防御：防守抵御。这强调的是在问题已经出现或即将出现时进行的行动，是一种被动的应对。英文defense。抵御英文：resist

防预：这个词是错误的，没有这个词。应该叫预防。

预防：提前防护，预先做好事物发展过程中可能出现偏离主观预期轨道或客观普遍规律的应对措施。

防护：偏向对外，比如防护霜，强调对紫外线的防。

保护：偏向对内，比如保护地球，强调主动对地球的保护，省略了主语。

An intrusion detection system (IDS)is a passive monitoring solution for detecting cybersecurity threats to an organization. If a potential intrusion is detected, the IDS generates an alert that notifies security personnel to investigate the incident and take remediative action.

An intrusion prevention system (IPS) is an active protection system. Like the IDS, it attempts to identify potential threats based upon monitoring features of a protected host or network and can use signature, anomaly, or hybrid detection methods. Unlike an IDS, an IPS takes action to block or remediate an identified threat. While an IPS may raise an alert, it also helps to prevent the intrusion from occurring.