今日頭條
官方微信
官方抖音
資訊頻道一、傳統(tǒng)網(wǎng)絡(luò)安全
在上一篇《傳統(tǒng)網(wǎng)絡(luò)(邊界)安全為什么會失效》發(fā)出,后續(xù)的交流中,有同事很嚴(yán)肅的提出了什么是傳統(tǒng)邊界安全這個問題。確實,這似乎是個問題,似乎也沒有什么明確的說法,所以有了這篇文章。我們都知道傳統(tǒng)網(wǎng)絡(luò)安全是以防火墻、殺毒軟件和入侵檢測老三樣為代表的網(wǎng)絡(luò)安全家族,但沒有辦法舉例子說明,只會讓人越來越迷糊。究竟什么是傳統(tǒng)邊界安全呢?我總結(jié)了以下10個特征,和大家商榷,觀點未必正確或者全面,供大家思辨。
1、作用在邊界上,特別是物理邊界上
傳統(tǒng)邊界安全最明顯的特征就是為大家守好一道門,作用在真實存在的物理邊界上。防火墻、殺毒軟件、IDS、IPS、DLP、WAF、EPP等邊界設(shè)備都作用在邊界上,根據(jù)在邊界上的行為進(jìn)行防護(hù)和監(jiān)視。
2、通用的保護(hù)目標(biāo)等于沒有目標(biāo)
傳統(tǒng)邊界安全保護(hù)的目標(biāo)是沒有具體所指的,是一個通用無差別目標(biāo),比如網(wǎng)絡(luò),主機(jī)等。正是因為安全目標(biāo)的無差異性,使其無法在安全目標(biāo)上獲得支撐,只能面向邊界外部和行為。事實上這也是傳統(tǒng)網(wǎng)絡(luò)安全最大的問題所在,關(guān)鍵基礎(chǔ)設(shè)施之所以稱為關(guān)鍵基礎(chǔ)設(shè)施,不是因為其網(wǎng)絡(luò)和主機(jī)多高級,多神秘,而是因為運行在這些服務(wù)器和網(wǎng)絡(luò)上的業(yè)務(wù)和數(shù)據(jù)具有關(guān)鍵性。而傳統(tǒng)網(wǎng)絡(luò)安全恰恰不關(guān)心關(guān)鍵基礎(chǔ)設(shè)施的真正靈魂所在。
3、默認(rèn)邊界內(nèi)部都是安全的
傳統(tǒng)邊界安全的眼睛始終是守在門外看門外,邊界內(nèi)部默認(rèn)是安全的。當(dāng)然我們都知道,這種假設(shè)存在著很大的缺陷,最為安全的機(jī)要局都存在著間諜。
4、默認(rèn)賬戶是安全的
傳統(tǒng)邊界安全默認(rèn)賬戶都是安全的,只要通過了賬戶驗證就認(rèn)為所有行為都是可靠的。事實上我們都知道賬戶盜用和劫持始終是安全最大的問題之一。
5、邊界安全設(shè)備的處理能力天生不足
邊界安全設(shè)備作用在邊界上,性能承受力天生不足。邊界設(shè)備一般來說其處理能力都比較有限,特別在嚴(yán)苛的業(yè)務(wù)約束條件下,其可做的事情并不多,已知威脅往往是其處理的主要內(nèi)容。
6、以入侵行為特征為中心
前面說了傳統(tǒng)邊界安全不認(rèn)識安全目標(biāo)和保護(hù)主體,事實上傳統(tǒng)邊界安全也不關(guān)心或者無法做到確定是誰來訪問,只能實現(xiàn)以貌取人。無法感知身份,事實上和不關(guān)心保護(hù)目標(biāo)是一脈相承的,當(dāng)你無法感知保護(hù)目標(biāo)的時候,自然也就無法認(rèn)知訪問目標(biāo)的身份。當(dāng)保護(hù)目標(biāo)和訪問身份都無法準(zhǔn)確感知的時候,行為就成為了傳統(tǒng)邊界安全的核心研究和防御目標(biāo)。五花八門的海量特征庫,成為了傳統(tǒng)邊界安全最為明顯的特征。
7、假設(shè)邊界安全是可以容忍安全事件發(fā)生的
傳統(tǒng)邊界安全存在一個天然假設(shè),保護(hù)的安全目標(biāo)是可以被損傷的,是不會被入侵擊垮的。從這個假設(shè)出發(fā),傳統(tǒng)邊界安全認(rèn)可網(wǎng)絡(luò)安全的目標(biāo)是降低被攻擊的概率或者是通過避免被已知危險攻擊來降低被攻擊概率。你可以認(rèn)為傳統(tǒng)邊界安全的目標(biāo)就是做一個好保安,一個負(fù)責(zé)任的保安,但是業(yè)主財富的安全并不僅僅依賴于保安。
8、強(qiáng)大的已知漏洞檢測和孱弱的未知威脅感知
傳統(tǒng)邊界安全往往對于已知漏洞具有較好的防御效果,但對于未知威脅則知之甚少。未知威脅和0day漏洞是傳統(tǒng)網(wǎng)絡(luò)安全的最大殺手,而所謂的0day漏洞等又基本掌控在入侵者手中。當(dāng)入侵者采用組合攻擊或者0day攻擊的時候,傳統(tǒng)邊界安全往往無能為力。
二、新安全
傳統(tǒng)邊界安全具有很多不足,為了滿足業(yè)務(wù)訴求,近幾年新安全思想層出不窮。新安全是為了解決傳統(tǒng)網(wǎng)絡(luò)安全問題而出生的,每家新安全公司都絞盡腦汁尋找新思路新方法,大家主要在以下幾個方面進(jìn)行努力,希望對于未知威脅可以進(jìn)行更好的防御:
1、對原有邊界安全產(chǎn)品做增強(qiáng)
因為邊界處理設(shè)備能力不足,可做事情不多,特別是對于安全密切相關(guān)的關(guān)聯(lián)分析和上下文分析能力基本無能為力。通過邊云(中心)架構(gòu),在邊上進(jìn)行常規(guī)檢測,在云(中心)進(jìn)行增強(qiáng)檢測和分析,彌補(bǔ)傳統(tǒng)邊界產(chǎn)品的不足。比如EDR、 SIEM、態(tài)勢感知、威脅情報等都屬于這方面的增強(qiáng)。
2、加強(qiáng)人機(jī)接口,增強(qiáng)人的干預(yù)能力
安全本質(zhì)上是人與人的對抗,只有人才能夠更好對抗人的入侵。人要做出反應(yīng),首先要可見,其次要可編排和可響應(yīng)。為了支持更好的人機(jī)接口,安全可視化成為安全發(fā)展的一大方向。提供看見的能力,只有看得見,人才能做出明智的分析和響應(yīng)。比如SOC,態(tài)勢感知,威脅狩獵,SOAR等等。
3、邊界消失之后重構(gòu)邊界
傳統(tǒng)邊界安全的最大困境在于邊界的消失,并不是邊界安全變得不再重要,而是其生存基礎(chǔ)不再存在。只要我們可以重構(gòu)邊界,邊界安全思想就可以重新煥發(fā)其生命力。SDP就在這里做出努力,軟件定義邊界。SDP是一種零信任架構(gòu)實踐,可以廣泛的作用在身份主體和資產(chǎn)客體之上。
4、眼睛朝內(nèi),面向資產(chǎn)
關(guān)鍵基礎(chǔ)設(shè)施之所以成為關(guān)鍵基礎(chǔ)設(shè)施不在于設(shè)備,而在于運行在基礎(chǔ)設(shè)施上的業(yè)務(wù)和數(shù)據(jù)。當(dāng)認(rèn)清楚這點之后,安全自然就向資產(chǎn)邁進(jìn)了一大步:資產(chǎn)保護(hù)才是安全的終極目標(biāo)。有了這個認(rèn)知,自然也就不會在乎網(wǎng)絡(luò)內(nèi)部是否有壞人,而是著眼于確保資產(chǎn)安全。零信任架構(gòu)自然而然就成為面向資產(chǎn)的安全保護(hù)的必然選擇甚至是唯一選擇。資產(chǎn),身份,行為,三個基本安全要素之中,資產(chǎn)具有極為穩(wěn)定的確定性,從而使其防御也具有很高的確定性。資產(chǎn)的不可見性,特別是數(shù)據(jù)的不可見性給面向資產(chǎn)的保護(hù)造成巨大挑戰(zhàn),所以在面向資產(chǎn)的零信任架構(gòu)中,治理會成為其核心內(nèi)容和出發(fā)點,治理的目標(biāo)是讓資產(chǎn)可見可視,讓風(fēng)險可見可視。
5、眼睛看遠(yuǎn),認(rèn)清身份
在零信任架構(gòu)中,身份成為不可缺少的核心要素。即使離開零信任,安全身份也可以成為安全增強(qiáng)的利器。在資產(chǎn),身份,行為,三個基本安全要素之中,身份具有辨別的困難性和相對確定性,具有很好的安全增強(qiáng)能力。無論是下一代防火墻還是UEBA都著眼于身份這個因素的增強(qiáng)識別和分析之上。身份管理系統(tǒng)從安全誕生就開始了,并不是配置了ldap等身份管理就可以眼睛看遠(yuǎn)。要眼睛看遠(yuǎn),認(rèn)清身份的核心在于讓身份貫穿始終,不會因為場景變更和上下文切換等干擾就能換個馬甲或者丟失身份信息。
6、沙盒和誘餌
無論是沙盒還是誘餌,都是聚焦在最為傳統(tǒng)的行為之上,提供了觀察行為確定性的一個媒介。沙盒提供了一個目標(biāo)無傷害的行為觀測環(huán)境,通過真實觀測發(fā)生的傷害行為來確定行為是否安全。特別是由于運行在沙盒中,可以附加更多的感知措施來輔助判斷行為的前后相關(guān)性。著名的fireeye就是在這個領(lǐng)域的佼佼者。
誘餌一般來說有兩個基本目的:確定安全事件的發(fā)生,遲滯攻擊進(jìn)程以爭取響應(yīng)時間。誘餌和沙盒一樣,可以附加更多的感知措施,獲得更多的入侵者活動信息。更多的入侵相關(guān)信息和更多的響應(yīng)時間,自然可以幫助防御方獲得更好的響應(yīng)方案。客觀來說,誘餌應(yīng)該成為任何安全解決方案的必要組成部分。
7、云安全和非信任環(huán)境
云重構(gòu)了整個IT基礎(chǔ)架構(gòu),依賴于基礎(chǔ)架構(gòu)的安全措施自然需要為云做整體變化。云天生沒有邊界,鄰居的好壞都無法選擇,用戶甚至連自己的業(yè)務(wù)和數(shù)據(jù)在哪里也不知道,也不知道是誰在管。對于用戶來說,這是一個完全的非信任環(huán)境,對于黑客來說,這是一個打開門的“金礦”。云安全是新安全的一個大品類,幾乎涵蓋安全的方方面面,從安全理論到技術(shù)實現(xiàn)相比傳統(tǒng)安全都發(fā)生很大的變化。
8、流動過程中的安全
指令和數(shù)據(jù)一直在不斷的流動,這從以前到現(xiàn)在都沒有發(fā)生變化,只是流動的更多了更加頻繁了。不同于傳統(tǒng)IT環(huán)境的內(nèi)部流動,現(xiàn)在的指令和數(shù)據(jù)流動發(fā)生在各個層面。流動的本質(zhì)在于總是從安全受控環(huán)境流動到非安全環(huán)境甚至于失控環(huán)境,可以認(rèn)為任何流動最終都會走向失控。失控總是會成為一個巨大的安全問題,這不是傳統(tǒng)網(wǎng)絡(luò)安全的作用領(lǐng)域。內(nèi)置安全、部署更多的觀測點、流動追蹤和可視化是對抗流動過程安全的基本方法。
9、應(yīng)用安全和業(yè)務(wù)邏輯安全
任何應(yīng)用程序總是會存在漏洞,必須承認(rèn)這個是客觀存在的。我們也必須承認(rèn)黑客總是會先于廠家發(fā)現(xiàn)漏洞并利用漏洞。如何保證應(yīng)用程序和業(yè)務(wù)邏輯在存在漏洞的情況下安全的被使用,如何快速的通過虛擬補(bǔ)丁修復(fù)漏洞,這個對于安全來說意義非凡。大量的安全公司在這里耕耘,比如更智能的WAF。
10、人是安全的最大挑戰(zhàn)
有一句話:安全的本質(zhì)是人的安全。所有學(xué)問一旦涉及到人就會變得非常復(fù)雜,安全至今為止難成為一門真正的科學(xué)也是這個原因。人是理性和非理性的綜合體,很難琢磨。人幾乎是所有安全事件的發(fā)起者和操控者,如果無法在一定程度上解決人的安全,就很難說安全有所進(jìn)展。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號