今日頭條
官方微信
官方抖音
資訊頻道一、傳統(tǒng)網(wǎng)絡(luò)安全
在上一篇《傳統(tǒng)網(wǎng)絡(luò)(邊界)安全為什么會(huì)失效》發(fā)出,后續(xù)的交流中,有同事很嚴(yán)肅的提出了什么是傳統(tǒng)邊界安全這個(gè)問(wèn)題。確實(shí),這似乎是個(gè)問(wèn)題,似乎也沒(méi)有什么明確的說(shuō)法,所以有了這篇文章。我們都知道傳統(tǒng)網(wǎng)絡(luò)安全是以防火墻、殺毒軟件和入侵檢測(cè)老三樣為代表的網(wǎng)絡(luò)安全家族,但沒(méi)有辦法舉例子說(shuō)明,只會(huì)讓人越來(lái)越迷糊。究竟什么是傳統(tǒng)邊界安全呢?我總結(jié)了以下10個(gè)特征,和大家商榷,觀點(diǎn)未必正確或者全面,供大家思辨。
1、作用在邊界上,特別是物理邊界上
傳統(tǒng)邊界安全最明顯的特征就是為大家守好一道門,作用在真實(shí)存在的物理邊界上。防火墻、殺毒軟件、IDS、IPS、DLP、WAF、EPP等邊界設(shè)備都作用在邊界上,根據(jù)在邊界上的行為進(jìn)行防護(hù)和監(jiān)視。
2、通用的保護(hù)目標(biāo)等于沒(méi)有目標(biāo)
傳統(tǒng)邊界安全保護(hù)的目標(biāo)是沒(méi)有具體所指的,是一個(gè)通用無(wú)差別目標(biāo),比如網(wǎng)絡(luò),主機(jī)等。正是因?yàn)榘踩繕?biāo)的無(wú)差異性,使其無(wú)法在安全目標(biāo)上獲得支撐,只能面向邊界外部和行為。事實(shí)上這也是傳統(tǒng)網(wǎng)絡(luò)安全最大的問(wèn)題所在,關(guān)鍵基礎(chǔ)設(shè)施之所以稱為關(guān)鍵基礎(chǔ)設(shè)施,不是因?yàn)槠渚W(wǎng)絡(luò)和主機(jī)多高級(jí),多神秘,而是因?yàn)檫\(yùn)行在這些服務(wù)器和網(wǎng)絡(luò)上的業(yè)務(wù)和數(shù)據(jù)具有關(guān)鍵性。而傳統(tǒng)網(wǎng)絡(luò)安全恰恰不關(guān)心關(guān)鍵基礎(chǔ)設(shè)施的真正靈魂所在。
3、默認(rèn)邊界內(nèi)部都是安全的
傳統(tǒng)邊界安全的眼睛始終是守在門外看門外,邊界內(nèi)部默認(rèn)是安全的。當(dāng)然我們都知道,這種假設(shè)存在著很大的缺陷,最為安全的機(jī)要局都存在著間諜。
4、默認(rèn)賬戶是安全的
傳統(tǒng)邊界安全默認(rèn)賬戶都是安全的,只要通過(guò)了賬戶驗(yàn)證就認(rèn)為所有行為都是可靠的。事實(shí)上我們都知道賬戶盜用和劫持始終是安全最大的問(wèn)題之一。
5、邊界安全設(shè)備的處理能力天生不足
邊界安全設(shè)備作用在邊界上,性能承受力天生不足。邊界設(shè)備一般來(lái)說(shuō)其處理能力都比較有限,特別在嚴(yán)苛的業(yè)務(wù)約束條件下,其可做的事情并不多,已知威脅往往是其處理的主要內(nèi)容。
6、以入侵行為特征為中心
前面說(shuō)了傳統(tǒng)邊界安全不認(rèn)識(shí)安全目標(biāo)和保護(hù)主體,事實(shí)上傳統(tǒng)邊界安全也不關(guān)心或者無(wú)法做到確定是誰(shuí)來(lái)訪問(wèn),只能實(shí)現(xiàn)以貌取人。無(wú)法感知身份,事實(shí)上和不關(guān)心保護(hù)目標(biāo)是一脈相承的,當(dāng)你無(wú)法感知保護(hù)目標(biāo)的時(shí)候,自然也就無(wú)法認(rèn)知訪問(wèn)目標(biāo)的身份。當(dāng)保護(hù)目標(biāo)和訪問(wèn)身份都無(wú)法準(zhǔn)確感知的時(shí)候,行為就成為了傳統(tǒng)邊界安全的核心研究和防御目標(biāo)。五花八門的海量特征庫(kù),成為了傳統(tǒng)邊界安全最為明顯的特征。
7、假設(shè)邊界安全是可以容忍安全事件發(fā)生的
傳統(tǒng)邊界安全存在一個(gè)天然假設(shè),保護(hù)的安全目標(biāo)是可以被損傷的,是不會(huì)被入侵擊垮的。從這個(gè)假設(shè)出發(fā),傳統(tǒng)邊界安全認(rèn)可網(wǎng)絡(luò)安全的目標(biāo)是降低被攻擊的概率或者是通過(guò)避免被已知危險(xiǎn)攻擊來(lái)降低被攻擊概率。你可以認(rèn)為傳統(tǒng)邊界安全的目標(biāo)就是做一個(gè)好保安,一個(gè)負(fù)責(zé)任的保安,但是業(yè)主財(cái)富的安全并不僅僅依賴于保安。
8、強(qiáng)大的已知漏洞檢測(cè)和孱弱的未知威脅感知
傳統(tǒng)邊界安全往往對(duì)于已知漏洞具有較好的防御效果,但對(duì)于未知威脅則知之甚少。未知威脅和0day漏洞是傳統(tǒng)網(wǎng)絡(luò)安全的最大殺手,而所謂的0day漏洞等又基本掌控在入侵者手中。當(dāng)入侵者采用組合攻擊或者0day攻擊的時(shí)候,傳統(tǒng)邊界安全往往無(wú)能為力。
二、新安全
傳統(tǒng)邊界安全具有很多不足,為了滿足業(yè)務(wù)訴求,近幾年新安全思想層出不窮。新安全是為了解決傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題而出生的,每家新安全公司都絞盡腦汁尋找新思路新方法,大家主要在以下幾個(gè)方面進(jìn)行努力,希望對(duì)于未知威脅可以進(jìn)行更好的防御:
1、對(duì)原有邊界安全產(chǎn)品做增強(qiáng)
因?yàn)檫吔缣幚碓O(shè)備能力不足,可做事情不多,特別是對(duì)于安全密切相關(guān)的關(guān)聯(lián)分析和上下文分析能力基本無(wú)能為力。通過(guò)邊云(中心)架構(gòu),在邊上進(jìn)行常規(guī)檢測(cè),在云(中心)進(jìn)行增強(qiáng)檢測(cè)和分析,彌補(bǔ)傳統(tǒng)邊界產(chǎn)品的不足。比如EDR、 SIEM、態(tài)勢(shì)感知、威脅情報(bào)等都屬于這方面的增強(qiáng)。
2、加強(qiáng)人機(jī)接口,增強(qiáng)人的干預(yù)能力
安全本質(zhì)上是人與人的對(duì)抗,只有人才能夠更好對(duì)抗人的入侵。人要做出反應(yīng),首先要可見,其次要可編排和可響應(yīng)。為了支持更好的人機(jī)接口,安全可視化成為安全發(fā)展的一大方向。提供看見的能力,只有看得見,人才能做出明智的分析和響應(yīng)。比如SOC,態(tài)勢(shì)感知,威脅狩獵,SOAR等等。
3、邊界消失之后重構(gòu)邊界
傳統(tǒng)邊界安全的最大困境在于邊界的消失,并不是邊界安全變得不再重要,而是其生存基礎(chǔ)不再存在。只要我們可以重構(gòu)邊界,邊界安全思想就可以重新煥發(fā)其生命力。SDP就在這里做出努力,軟件定義邊界。SDP是一種零信任架構(gòu)實(shí)踐,可以廣泛的作用在身份主體和資產(chǎn)客體之上。
4、眼睛朝內(nèi),面向資產(chǎn)
關(guān)鍵基礎(chǔ)設(shè)施之所以成為關(guān)鍵基礎(chǔ)設(shè)施不在于設(shè)備,而在于運(yùn)行在基礎(chǔ)設(shè)施上的業(yè)務(wù)和數(shù)據(jù)。當(dāng)認(rèn)清楚這點(diǎn)之后,安全自然就向資產(chǎn)邁進(jìn)了一大步:資產(chǎn)保護(hù)才是安全的終極目標(biāo)。有了這個(gè)認(rèn)知,自然也就不會(huì)在乎網(wǎng)絡(luò)內(nèi)部是否有壞人,而是著眼于確保資產(chǎn)安全。零信任架構(gòu)自然而然就成為面向資產(chǎn)的安全保護(hù)的必然選擇甚至是唯一選擇。資產(chǎn),身份,行為,三個(gè)基本安全要素之中,資產(chǎn)具有極為穩(wěn)定的確定性,從而使其防御也具有很高的確定性。資產(chǎn)的不可見性,特別是數(shù)據(jù)的不可見性給面向資產(chǎn)的保護(hù)造成巨大挑戰(zhàn),所以在面向資產(chǎn)的零信任架構(gòu)中,治理會(huì)成為其核心內(nèi)容和出發(fā)點(diǎn),治理的目標(biāo)是讓資產(chǎn)可見可視,讓風(fēng)險(xiǎn)可見可視。
5、眼睛看遠(yuǎn),認(rèn)清身份
在零信任架構(gòu)中,身份成為不可缺少的核心要素。即使離開零信任,安全身份也可以成為安全增強(qiáng)的利器。在資產(chǎn),身份,行為,三個(gè)基本安全要素之中,身份具有辨別的困難性和相對(duì)確定性,具有很好的安全增強(qiáng)能力。無(wú)論是下一代防火墻還是UEBA都著眼于身份這個(gè)因素的增強(qiáng)識(shí)別和分析之上。身份管理系統(tǒng)從安全誕生就開始了,并不是配置了ldap等身份管理就可以眼睛看遠(yuǎn)。要眼睛看遠(yuǎn),認(rèn)清身份的核心在于讓身份貫穿始終,不會(huì)因?yàn)閳?chǎng)景變更和上下文切換等干擾就能換個(gè)馬甲或者丟失身份信息。
6、沙盒和誘餌
無(wú)論是沙盒還是誘餌,都是聚焦在最為傳統(tǒng)的行為之上,提供了觀察行為確定性的一個(gè)媒介。沙盒提供了一個(gè)目標(biāo)無(wú)傷害的行為觀測(cè)環(huán)境,通過(guò)真實(shí)觀測(cè)發(fā)生的傷害行為來(lái)確定行為是否安全。特別是由于運(yùn)行在沙盒中,可以附加更多的感知措施來(lái)輔助判斷行為的前后相關(guān)性。著名的fireeye就是在這個(gè)領(lǐng)域的佼佼者。
誘餌一般來(lái)說(shuō)有兩個(gè)基本目的:確定安全事件的發(fā)生,遲滯攻擊進(jìn)程以爭(zhēng)取響應(yīng)時(shí)間。誘餌和沙盒一樣,可以附加更多的感知措施,獲得更多的入侵者活動(dòng)信息。更多的入侵相關(guān)信息和更多的響應(yīng)時(shí)間,自然可以幫助防御方獲得更好的響應(yīng)方案。客觀來(lái)說(shuō),誘餌應(yīng)該成為任何安全解決方案的必要組成部分。
7、云安全和非信任環(huán)境
云重構(gòu)了整個(gè)IT基礎(chǔ)架構(gòu),依賴于基礎(chǔ)架構(gòu)的安全措施自然需要為云做整體變化。云天生沒(méi)有邊界,鄰居的好壞都無(wú)法選擇,用戶甚至連自己的業(yè)務(wù)和數(shù)據(jù)在哪里也不知道,也不知道是誰(shuí)在管。對(duì)于用戶來(lái)說(shuō),這是一個(gè)完全的非信任環(huán)境,對(duì)于黑客來(lái)說(shuō),這是一個(gè)打開門的“金礦”。云安全是新安全的一個(gè)大品類,幾乎涵蓋安全的方方面面,從安全理論到技術(shù)實(shí)現(xiàn)相比傳統(tǒng)安全都發(fā)生很大的變化。
8、流動(dòng)過(guò)程中的安全
指令和數(shù)據(jù)一直在不斷的流動(dòng),這從以前到現(xiàn)在都沒(méi)有發(fā)生變化,只是流動(dòng)的更多了更加頻繁了。不同于傳統(tǒng)IT環(huán)境的內(nèi)部流動(dòng),現(xiàn)在的指令和數(shù)據(jù)流動(dòng)發(fā)生在各個(gè)層面。流動(dòng)的本質(zhì)在于總是從安全受控環(huán)境流動(dòng)到非安全環(huán)境甚至于失控環(huán)境,可以認(rèn)為任何流動(dòng)最終都會(huì)走向失控。失控總是會(huì)成為一個(gè)巨大的安全問(wèn)題,這不是傳統(tǒng)網(wǎng)絡(luò)安全的作用領(lǐng)域。內(nèi)置安全、部署更多的觀測(cè)點(diǎn)、流動(dòng)追蹤和可視化是對(duì)抗流動(dòng)過(guò)程安全的基本方法。
9、應(yīng)用安全和業(yè)務(wù)邏輯安全
任何應(yīng)用程序總是會(huì)存在漏洞,必須承認(rèn)這個(gè)是客觀存在的。我們也必須承認(rèn)黑客總是會(huì)先于廠家發(fā)現(xiàn)漏洞并利用漏洞。如何保證應(yīng)用程序和業(yè)務(wù)邏輯在存在漏洞的情況下安全的被使用,如何快速的通過(guò)虛擬補(bǔ)丁修復(fù)漏洞,這個(gè)對(duì)于安全來(lái)說(shuō)意義非凡。大量的安全公司在這里耕耘,比如更智能的WAF。
10、人是安全的最大挑戰(zhàn)
有一句話:安全的本質(zhì)是人的安全。所有學(xué)問(wèn)一旦涉及到人就會(huì)變得非常復(fù)雜,安全至今為止難成為一門真正的科學(xué)也是這個(gè)原因。人是理性和非理性的綜合體,很難琢磨。人幾乎是所有安全事件的發(fā)起者和操控者,如果無(wú)法在一定程度上解決人的安全,就很難說(shuō)安全有所進(jìn)展。
來(lái)源:中國(guó)信息安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)