今日頭條
官方微信
官方抖音
資訊頻道一、傳統網絡安全
在上一篇《傳統網絡(邊界)安全為什么會失效》發出,后續的交流中,有同事很嚴肅的提出了什么是傳統邊界安全這個問題。確實,這似乎是個問題,似乎也沒有什么明確的說法,所以有了這篇文章。我們都知道傳統網絡安全是以防火墻、殺毒軟件和入侵檢測老三樣為代表的網絡安全家族,但沒有辦法舉例子說明,只會讓人越來越迷糊。究竟什么是傳統邊界安全呢?我總結了以下10個特征,和大家商榷,觀點未必正確或者全面,供大家思辨。
1、作用在邊界上,特別是物理邊界上
傳統邊界安全最明顯的特征就是為大家守好一道門,作用在真實存在的物理邊界上。防火墻、殺毒軟件、IDS、IPS、DLP、WAF、EPP等邊界設備都作用在邊界上,根據在邊界上的行為進行防護和監視。
2、通用的保護目標等于沒有目標
傳統邊界安全保護的目標是沒有具體所指的,是一個通用無差別目標,比如網絡,主機等。正是因為安全目標的無差異性,使其無法在安全目標上獲得支撐,只能面向邊界外部和行為。事實上這也是傳統網絡安全最大的問題所在,關鍵基礎設施之所以稱為關鍵基礎設施,不是因為其網絡和主機多高級,多神秘,而是因為運行在這些服務器和網絡上的業務和數據具有關鍵性。而傳統網絡安全恰恰不關心關鍵基礎設施的真正靈魂所在。
3、默認邊界內部都是安全的
傳統邊界安全的眼睛始終是守在門外看門外,邊界內部默認是安全的。當然我們都知道,這種假設存在著很大的缺陷,最為安全的機要局都存在著間諜。
4、默認賬戶是安全的
傳統邊界安全默認賬戶都是安全的,只要通過了賬戶驗證就認為所有行為都是可靠的。事實上我們都知道賬戶盜用和劫持始終是安全最大的問題之一。
5、邊界安全設備的處理能力天生不足
邊界安全設備作用在邊界上,性能承受力天生不足。邊界設備一般來說其處理能力都比較有限,特別在嚴苛的業務約束條件下,其可做的事情并不多,已知威脅往往是其處理的主要內容。
6、以入侵行為特征為中心
前面說了傳統邊界安全不認識安全目標和保護主體,事實上傳統邊界安全也不關心或者無法做到確定是誰來訪問,只能實現以貌取人。無法感知身份,事實上和不關心保護目標是一脈相承的,當你無法感知保護目標的時候,自然也就無法認知訪問目標的身份。當保護目標和訪問身份都無法準確感知的時候,行為就成為了傳統邊界安全的核心研究和防御目標。五花八門的海量特征庫,成為了傳統邊界安全最為明顯的特征。
7、假設邊界安全是可以容忍安全事件發生的
傳統邊界安全存在一個天然假設,保護的安全目標是可以被損傷的,是不會被入侵擊垮的。從這個假設出發,傳統邊界安全認可網絡安全的目標是降低被攻擊的概率或者是通過避免被已知危險攻擊來降低被攻擊概率。你可以認為傳統邊界安全的目標就是做一個好保安,一個負責任的保安,但是業主財富的安全并不僅僅依賴于保安。
8、強大的已知漏洞檢測和孱弱的未知威脅感知
傳統邊界安全往往對于已知漏洞具有較好的防御效果,但對于未知威脅則知之甚少。未知威脅和0day漏洞是傳統網絡安全的最大殺手,而所謂的0day漏洞等又基本掌控在入侵者手中。當入侵者采用組合攻擊或者0day攻擊的時候,傳統邊界安全往往無能為力。
二、新安全
傳統邊界安全具有很多不足,為了滿足業務訴求,近幾年新安全思想層出不窮。新安全是為了解決傳統網絡安全問題而出生的,每家新安全公司都絞盡腦汁尋找新思路新方法,大家主要在以下幾個方面進行努力,希望對于未知威脅可以進行更好的防御:
1、對原有邊界安全產品做增強
因為邊界處理設備能力不足,可做事情不多,特別是對于安全密切相關的關聯分析和上下文分析能力基本無能為力。通過邊云(中心)架構,在邊上進行常規檢測,在云(中心)進行增強檢測和分析,彌補傳統邊界產品的不足。比如EDR、 SIEM、態勢感知、威脅情報等都屬于這方面的增強。
2、加強人機接口,增強人的干預能力
安全本質上是人與人的對抗,只有人才能夠更好對抗人的入侵。人要做出反應,首先要可見,其次要可編排和可響應。為了支持更好的人機接口,安全可視化成為安全發展的一大方向。提供看見的能力,只有看得見,人才能做出明智的分析和響應。比如SOC,態勢感知,威脅狩獵,SOAR等等。
3、邊界消失之后重構邊界
傳統邊界安全的最大困境在于邊界的消失,并不是邊界安全變得不再重要,而是其生存基礎不再存在。只要我們可以重構邊界,邊界安全思想就可以重新煥發其生命力。SDP就在這里做出努力,軟件定義邊界。SDP是一種零信任架構實踐,可以廣泛的作用在身份主體和資產客體之上。
4、眼睛朝內,面向資產
關鍵基礎設施之所以成為關鍵基礎設施不在于設備,而在于運行在基礎設施上的業務和數據。當認清楚這點之后,安全自然就向資產邁進了一大步:資產保護才是安全的終極目標。有了這個認知,自然也就不會在乎網絡內部是否有壞人,而是著眼于確保資產安全。零信任架構自然而然就成為面向資產的安全保護的必然選擇甚至是唯一選擇。資產,身份,行為,三個基本安全要素之中,資產具有極為穩定的確定性,從而使其防御也具有很高的確定性。資產的不可見性,特別是數據的不可見性給面向資產的保護造成巨大挑戰,所以在面向資產的零信任架構中,治理會成為其核心內容和出發點,治理的目標是讓資產可見可視,讓風險可見可視。
5、眼睛看遠,認清身份
在零信任架構中,身份成為不可缺少的核心要素。即使離開零信任,安全身份也可以成為安全增強的利器。在資產,身份,行為,三個基本安全要素之中,身份具有辨別的困難性和相對確定性,具有很好的安全增強能力。無論是下一代防火墻還是UEBA都著眼于身份這個因素的增強識別和分析之上。身份管理系統從安全誕生就開始了,并不是配置了ldap等身份管理就可以眼睛看遠。要眼睛看遠,認清身份的核心在于讓身份貫穿始終,不會因為場景變更和上下文切換等干擾就能換個馬甲或者丟失身份信息。
6、沙盒和誘餌
無論是沙盒還是誘餌,都是聚焦在最為傳統的行為之上,提供了觀察行為確定性的一個媒介。沙盒提供了一個目標無傷害的行為觀測環境,通過真實觀測發生的傷害行為來確定行為是否安全。特別是由于運行在沙盒中,可以附加更多的感知措施來輔助判斷行為的前后相關性。著名的fireeye就是在這個領域的佼佼者。
誘餌一般來說有兩個基本目的:確定安全事件的發生,遲滯攻擊進程以爭取響應時間。誘餌和沙盒一樣,可以附加更多的感知措施,獲得更多的入侵者活動信息。更多的入侵相關信息和更多的響應時間,自然可以幫助防御方獲得更好的響應方案。客觀來說,誘餌應該成為任何安全解決方案的必要組成部分。
7、云安全和非信任環境
云重構了整個IT基礎架構,依賴于基礎架構的安全措施自然需要為云做整體變化。云天生沒有邊界,鄰居的好壞都無法選擇,用戶甚至連自己的業務和數據在哪里也不知道,也不知道是誰在管。對于用戶來說,這是一個完全的非信任環境,對于黑客來說,這是一個打開門的“金礦”。云安全是新安全的一個大品類,幾乎涵蓋安全的方方面面,從安全理論到技術實現相比傳統安全都發生很大的變化。
8、流動過程中的安全
指令和數據一直在不斷的流動,這從以前到現在都沒有發生變化,只是流動的更多了更加頻繁了。不同于傳統IT環境的內部流動,現在的指令和數據流動發生在各個層面。流動的本質在于總是從安全受控環境流動到非安全環境甚至于失控環境,可以認為任何流動最終都會走向失控。失控總是會成為一個巨大的安全問題,這不是傳統網絡安全的作用領域。內置安全、部署更多的觀測點、流動追蹤和可視化是對抗流動過程安全的基本方法。
9、應用安全和業務邏輯安全
任何應用程序總是會存在漏洞,必須承認這個是客觀存在的。我們也必須承認黑客總是會先于廠家發現漏洞并利用漏洞。如何保證應用程序和業務邏輯在存在漏洞的情況下安全的被使用,如何快速的通過虛擬補丁修復漏洞,這個對于安全來說意義非凡。大量的安全公司在這里耕耘,比如更智能的WAF。
10、人是安全的最大挑戰
有一句話:安全的本質是人的安全。所有學問一旦涉及到人就會變得非常復雜,安全至今為止難成為一門真正的科學也是這個原因。人是理性和非理性的綜合體,很難琢磨。人幾乎是所有安全事件的發起者和操控者,如果無法在一定程度上解決人的安全,就很難說安全有所進展。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號