“雲管端”下一代網絡安全架構——智能協同 主動防禦
摘要
網絡攻擊已經從早期的泛攻擊演進為利用0-day漏洞��
、以獲取重大經濟/政治利益為目標��
、定向持續的高級攻擊��
。
隨著企業業務的雲化��
、虛擬化��
、移動化��
,網絡邊界被拉伸�
、模糊甚至消失��
,傳統的網絡安全架構已不能適應IT架構的變化��
,無法應對新的高級威脅��
。
內部人員的誤用��
、濫用或惡意行為��
,越來越成為安全事件頻發的重要原因��
,內網不再是可信的安全區域��
,應加強內部人員網絡行為的審計與監控��
。
現有網絡安全防護體係基於P2DR模型��
,以網絡邊界為中心��
,以特征匹配為核心手段��
,重在防禦��
,是靜態��
、被動的安全模型��
,不能有效應對未知威脅��
。
雲管端下一代網絡安全架構基於PDFP模型�
,以異常檢測��
、智能預測��
、協同聯動為手段��
,強調對抗��
,是動態��
、主動的安全模型��
,能夠有效應對未知威脅和APT攻擊�
。
傳統網絡安全防護體係無法應對新的安全威脅
傳統網絡安全理論基於2個核心模型��
:邊界安全模型��
,P2DR防禦模型��
。
邊界安全模型
P2DR首先對信息係統的風險進行全麵評估��
,然後製定相應的防護策略��
,包括��
:在關鍵風險點部署訪問控製設備(防火牆��
,IPS��
,認證授權等)�
,修複係統漏洞��
,正確配置係統��
,定期升級維護�
,教育用戶正確使用係統�
。檢測是響應和加強防護的依據��,通過檢測網絡流量和行為�
,與預設策略進行匹配��
,如果觸發防護策略��
,則認為發生了網絡攻擊��
,響應係統就執行預設動作阻止攻擊��
,並進行報警和恢複處理��
。
在P2DR模型中��
,所有的防護�
、檢測和響應都是依據策略實施的��
,因此策略是模型的核心��
,其完備性至關重要��
。它假設信息資產麵臨的風險是可以充分評估預知的��
,然而這種假設在0-day攻擊和APT攻擊麵前完全失效�
,未知威脅可以輕鬆繞過防護體係��
。即使特征庫和策略不斷升級��
,也趕不上攻擊特征的變化速度��
。傳統安全產品��
,如終端殺毒��
、防火牆��、IPS��
、Web安全��
,都是基於已知特征和預設規則展開工作的��
,其理論依據是邊界安全與P2DR防護模型��
,這是一種靜態的��
、被動的��
、防禦思維的安全模型�
。由於網絡邊界的變遷��
、未知威脅的爆發��
、來自內部人員的威脅��
,使得傳統安全模型跟不上IT架構的變化��
,已無法應對新的安全威脅��
。
新一代安全模型PDFP
針對0-day漏洞��
、特種木馬和APT等高級威脅��
,網康科技提出了PDFP安全模型��
,該模型對於安全環境的理解與傳統P2DR有很多不同��
,認為�
:
IT信息係統永遠存在未知的威脅��
,無法通過評估獲得充分認知��
;
防禦係統無法確保阻止黑客攻擊��
,網絡��
、設備��
、應用一定會失陷(breach)��
;
當前網絡事實上已經失陷��
,隻是損害狀態不為我們感知��
;
內網與外網一樣不安全��
,內部人員誤用��
、濫用或惡意的行為每天都在發生��
;
檢測(Detection)
既然信息係統已經失陷��
,那麽安全應當從檢測開始��
。這裏的檢測與傳統檢測(特征庫匹配)不同��
,指的是異常行為的檢測��
,通過檢測用戶�
、應用��
、流量等行為模型有無偏離常規基線��
,判斷是否發生了繞過防禦策略的入侵行為��
。檢測的目標不是阻止入侵��,而是觸發告警��
,以便分析取證和調整策略��
,減少損失��
。
取證(Forensic)
檢測到入侵行為後��
,需要進行調查取證��
,了解有哪些係統遭受攻擊��
,有無信息遭竊��
,入侵發生在何時��
,利用了未知威脅還是未打補丁的已知漏洞��
,目前處於CKC攻擊鏈的哪個階段��
,攻擊者動機是什麽��
,是個人行為還是有組織支持��
?了解的信息越詳細��
,越有利於調整防禦策略��
,以免未來發生相同入侵��
。
防禦(Prevention)
通過部署防護策略��
、安全產品以及管理流程以防禦網絡攻擊��
,提高攻擊者的難度��
,在攻擊者試圖進入網絡時進行阻止��
。通常的防禦策略包括�
:在網絡邊界部署防火牆��
、IPS設備��
,在應用服務器前端部署WAF以及審計設備��
,在所有終端設備安裝殺毒與管控軟件��
。有時還要設置蜜罐��
,以增加攻擊成本��
、延緩入侵進度��
,也是防禦的一種手段��
。
預測(Prediction)
由於無法針對未知威脅預設策略��,因此需要動態地檢測網絡異常��
、取證分析�
,了解攻擊的動態��
,依據CKC模型對後續攻擊進行預測��
,預測結果將成為調整防禦策略的重要依據��
。預測所需數據源除了企業組織自身的安全策略��
、防護日誌��
,還應該包括外部的威脅情報��
、同行業的安全策略��
、黑客攻擊動態��
,以更準確地預測可能的網絡攻擊��
,實時調整應用發布和防禦策略��
。預測分析依賴檢測��
、取證作為輸入��
,同時引入了外部智能��
,預測的有效性得到進一步提升�
,而有效的預測可以增強檢測��
、取證分析和防禦效果��
,可見��
,預測能力成為應對未知威脅的核心能力��
。
PDFP不再依賴特征匹配比對��
,而是動態監測全網異常行為��
,把攻擊��
、漏洞��
、人員��
、行為��
、應用��
、內容等日誌信息實時匯集起來進行全局分析��
,快速判定攻擊�
,進行攻擊溯源��
,在CKC的每個階段主動反製防禦��
。可見這是動態的�
、主動的��
、具有對抗型思維的網絡安全模型��
。
雲管端下一代網絡安全架構
雲管端下一代網絡安全架構��
,是網康科技遵循PDFP模型��
,率先踐行的應對高級威脅的網絡安全架構��
。
雲管端聯動是下一代網絡安全架構區別於傳統安全架構的核心能力��
,三個環節彼此依賴��
,協同防禦�
。
終端設備遇到未識別的灰度文件時��
,通過雲查殺獲得分析結果��
,第一時間更新本地防護策略�
;
終端設備無論訪問內網資源還是互聯網��
,都需要與邊界設備聯動��
,進行嚴格的準入準出控製��
;
邊界設備(無論是對外防禦設備��
,還是內網審計設備)實時把安全日誌�
、異常行為日誌��
、灰度URL樣本��
、異常流量日誌上傳至雲端��
;
網康雲除了提供實時雲信譽查詢服務��
,還利用外部威脅情報��
、終端和邊界設備的異常日誌��
,進行大數據分析��
,做出攻擊預測報警��
,實現雲管端智能協同��
、主動防禦��
。
相比傳統以邊界防護為核心��
、相互孤立的網絡安全體係��
,雲管端下一代網絡架構具有明顯的優勢��。
賦予了終端設備和邊界設備應有的智能��
,不再依賴本地靜態特征庫/策略庫��
,可以實時感知網絡威脅的狀態並做出調整��
,防禦能力大幅提升��
。
雲管端聯動機製�
,使得網絡安全具備了全局可見性��
,防禦方式也從孤島模式演進為協同模式��
,從而能夠有效防禦已知威脅和未知威脅��
。
網絡安全始終都是大型組織投入的重點��
,雲管端架構使買“安全感”真正變成了買“安全”��
,實現價值落地��
,提高了網絡安全投資回報率��
。
