2.6 IACD

IACD由美国国土安全部（DHS）、NSA和约翰·霍普金斯大学应用物理实验室（JHU/APL）联合发起，是集成式自适应网络防御（Integrated Adaptive Cyber Defense）的缩写。它是一个可扩展、自适应、基于现成的商业化方案的框架，可用于网络安全运营。IACD利用自动化的优势来提高防护人员的效率，让他们跳出传统的安全响应循环，更多地在“网络安全防御循环”中担当响应规划和决策的角色，以此增强网络防御的速度和范围。

IACD基线参考架构主要由下图中的几部分构成：传感器/传感源（Sensors/Sensing Sources）、执行器/执行点（Actuators/Action Points）、传感器/执行器接口（Sensor/Actuator Interface）、感知构建分析框架（Sense-making Analytic Framework）、决策引擎（Decision Making Engine）、响应行动控制器（Response Action Controller）、编排管理（Orchestration Manager）。

ICAD的基本思想是利用现有各公司安全产品通过安全编排与自动化响应（Security Orchestration&Automation and Response，SOAR）来实现集成式的自适应安全架构。基于该框架的产品如下：SOAR方面有Demisto和被Splunk公司收购的Phantom等，大数据分析方面有Splunk和ELK等，威胁情报方面有FireEye和RiskIQ等。ICAD虽然给出了编排和信息共享的规则，以及剧本（Playbook）的相关厂商和一些参考样例，但是要做好SOAR还必须具备较强的大数据建模和AI分析能力，如果自动化响应没有准确的决策能力，那么企业有时会面临一些灾难。