文|觀察未來科技
大數(shù)據(jù)時代下,面對千變?nèi)f化、持續(xù)廣泛的網(wǎng)絡(luò)安全威脅,傳統(tǒng)安全架構(gòu)以及安全分析已然陷入被動的局面里,并且暴露出易受攻擊、恢復(fù)彈性低、低移動性、高消耗等眾多問題。如何化被動防御為主動預(yù)防,對內(nèi)容、基礎(chǔ)設(shè)施開展立體式的防護(hù),重塑網(wǎng)絡(luò)安全成為人們需要面對的新的問題。
在這樣的背景下,針對高級攻擊的自適應(yīng)安全架構(gòu)受到了越來越多的關(guān)注。Gartner在2015年就提出過“自適應(yīng)安全架構(gòu)來應(yīng)對高級定向攻擊”的概念,其中實(shí)現(xiàn)這套架構(gòu)很重要的一個階段就是讓系統(tǒng)具備對攻擊的預(yù)測能力。從應(yīng)對安全風(fēng)險(xiǎn)到預(yù)測安全風(fēng)險(xiǎn),自適應(yīng)安全架構(gòu)正在為人們建立網(wǎng)絡(luò)安全的新的邊界。
從“應(yīng)急響應(yīng)”轉(zhuǎn)到“持續(xù)響應(yīng)”
在自適應(yīng)安全架構(gòu)之前,我們可以先來看看傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)——傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)基于網(wǎng)絡(luò)邊界防護(hù)。企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時,首先把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)和DMZ區(qū)等不同的安全區(qū)域,然后在網(wǎng)絡(luò)邊界上通過部署防火墻、WAF和IPS等網(wǎng)絡(luò)安全技術(shù)手段進(jìn)行重重防護(hù),構(gòu)筑企業(yè)業(yè)務(wù)的數(shù)字護(hù)城河。
不過,這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全,在某種程度上預(yù)設(shè)了對內(nèi)網(wǎng)中的人、設(shè)備、系統(tǒng)和應(yīng)用的信任,從而忽視內(nèi)網(wǎng)安全措施的加強(qiáng)。然而,美國Verizon公司的《2017年數(shù)據(jù)泄露調(diào)查報(bào)告》指出,造成企業(yè)數(shù)據(jù)泄露的原因主要有兩類:其一是外部攻擊,其二就是內(nèi)部威脅。
不僅如此,當(dāng)前,隨著網(wǎng)絡(luò)攻防技術(shù)的發(fā)展,新型的網(wǎng)絡(luò)攻擊手段層出不窮,攻擊者面對層層設(shè)防的網(wǎng)絡(luò)邊界,往往會放棄代價(jià)高昂的強(qiáng)攻手段,轉(zhuǎn)而針對企業(yè)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī),采用釣魚郵件、水坑攻擊等方法滲透到企業(yè)網(wǎng)絡(luò)內(nèi)部,輕松繞過網(wǎng)絡(luò)邊界安全防護(hù)措施。由于人們普遍認(rèn)為內(nèi)網(wǎng)是可信任的,因此,攻擊者一旦突破傳統(tǒng)的網(wǎng)絡(luò)安全邊界進(jìn)入內(nèi)網(wǎng),就有可能帶來極大的網(wǎng)絡(luò)安全問題。
在這樣的認(rèn)識下,傳統(tǒng)的網(wǎng)絡(luò)邊界安全架構(gòu)亟待重新評估和審視。實(shí)際上,近年來,相關(guān)企業(yè)、研究機(jī)構(gòu)也逐漸認(rèn)識到:傳統(tǒng)安全架構(gòu)過度依賴阻截和防御機(jī)制,無法適應(yīng)未來網(wǎng)絡(luò)架構(gòu)的迅速變化以及隨之而來的攻擊。與之相對應(yīng)的是,未來網(wǎng)絡(luò)安全應(yīng)基于業(yè)務(wù)自內(nèi)而外地構(gòu)建安全體系,企業(yè)級網(wǎng)絡(luò)的核心功能應(yīng)是對業(yè)務(wù)行為進(jìn)行識別分析和持續(xù)監(jiān)控。由此,自適應(yīng)安全架構(gòu)應(yīng)運(yùn)而生。
自適應(yīng)安全架構(gòu)最早由Gartner在2014年的ISC(Internet Security Conference)上針對高級攻擊提出,不過,這套架構(gòu)在當(dāng)時并未引起足夠的關(guān)注。盡管自適應(yīng)安全架構(gòu)在剛被提出的兩年里,認(rèn)可度并未得到全面的提升,但到了2017年,在對于網(wǎng)絡(luò)安全的龐大需求下,順應(yīng)著技術(shù)的發(fā)展,Gartner把自適應(yīng)安全架構(gòu)列入“2017年十大戰(zhàn)略技術(shù)趨勢”,認(rèn)為它是現(xiàn)代數(shù)字業(yè)務(wù)的重要組成部分。
Gartner分析師認(rèn)為,數(shù)字業(yè)務(wù)是融合了設(shè)備、軟件、流程和人的智能且復(fù)雜的系統(tǒng),而數(shù)字業(yè)務(wù)的安全保障體系將成為一個復(fù)雜的安全世界,這就需要一種持續(xù)、連貫和協(xié)調(diào)的方法來保障其安全性。
不難看出,發(fā)展自適應(yīng)安全架構(gòu)是一種安全理念上的根本切換。首先,自適應(yīng)安全架構(gòu)強(qiáng)調(diào)從“應(yīng)急響應(yīng)”轉(zhuǎn)到“持續(xù)響應(yīng)”,認(rèn)為攻擊是不間斷的,黑客滲透系統(tǒng)和企圖獲取信息的努力是不可能被完全攔截的。系統(tǒng)應(yīng)承認(rèn)自己時刻處于被攻擊中,并持續(xù)檢測、完成修復(fù)。
其次,發(fā)展自適應(yīng)安全架構(gòu)在實(shí)現(xiàn)上不應(yīng)再沉迷于阻斷,而更多關(guān)注檢測、響應(yīng)和預(yù)測能力。來自不同供應(yīng)商的網(wǎng)絡(luò)、終端和應(yīng)用安全防護(hù)平臺應(yīng)當(dāng)通過對知識的集成以建立情境感知,提供預(yù)測、防御、檢測和響應(yīng)等能力。
最后,對于發(fā)展自適應(yīng)安全架構(gòu)來說,安全監(jiān)控和策略執(zhí)行都直接運(yùn)作在每個業(yè)務(wù)單元而不依賴于基礎(chǔ)設(shè)施或硬件,這賦予了企業(yè)級網(wǎng)絡(luò)更細(xì)粒度和更豐富的持續(xù)監(jiān)控能力和行為分析能力,可以真正做到對多形態(tài)攻擊甚至高級攻擊的快速響應(yīng)及恢復(fù),同時對任何基礎(chǔ)設(shè)施和業(yè)務(wù)的變化具備自適應(yīng)能力。
自適應(yīng)安全架構(gòu)能帶來什么?
對于信息社會來說,要知道,信息化和信息安全還是有著根本性的不同的。信息化的重點(diǎn)在于初期建設(shè),就像建筑師蓋一座大樓;后期的維護(hù)工作相對簡單,就像是公寓的物業(yè)管理。而信息安全則不同,對于信息安全來說,初期建設(shè)只是一個開始。實(shí)際上,可以說,信息安全是一場戰(zhàn)爭,它是一個持續(xù)的過程,只要信息系統(tǒng)存在一天,戰(zhàn)爭就不會停止。
并且,就目前的網(wǎng)絡(luò)攻擊來說,如前所述,攻擊腳本和惡意程序的增長速度迅速,而如果沒有創(chuàng)新的技術(shù),傳統(tǒng)的特征庫已經(jīng)無法保證惡意代碼的檢出率。在這種情況下,新型攻擊難以被發(fā)現(xiàn)也是必然的結(jié)果。
越來越頻繁的攻擊和越來越多樣的攻擊技術(shù),帶來的結(jié)果就是安全團(tuán)隊(duì)的工作量越來越大,需要的專業(yè)化程度也越來越高。有的安全團(tuán)隊(duì)會長期超負(fù)荷運(yùn)轉(zhuǎn),應(yīng)付各種重復(fù)工作;也有的安全團(tuán)隊(duì)采購先進(jìn)設(shè)備,但由于使用太復(fù)雜,所難以發(fā)揮效果。
基于此,作為一個高價(jià)值的體系框架,自適應(yīng)安全架構(gòu)則集防御、檢測、響應(yīng)、預(yù)測四項(xiàng)關(guān)鍵能力于一身,通過大數(shù)據(jù)安全分析來實(shí)現(xiàn)閉環(huán)防護(hù)控制,既繼承了傳統(tǒng)防御體系基于策略的攔截與阻擊,又能發(fā)現(xiàn)那些逃過防御的攻擊,高效調(diào)查和補(bǔ)救威脅事務(wù),分析入侵來源,并生成預(yù)防手段。
可以看見,一方面,自適應(yīng)安全架構(gòu)為網(wǎng)絡(luò)空間安全保護(hù)提供了堅(jiān)實(shí)的保證。比如,國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)(NCPS),又稱“愛因斯坦計(jì)劃”,由美國國家安全部負(fù)責(zé)設(shè)計(jì)和運(yùn)行,旨在開發(fā)一套協(xié)助聯(lián)邦政府機(jī)構(gòu)應(yīng)對信息安全威脅的工具集。該系統(tǒng)為聯(lián)邦政府機(jī)構(gòu)提供四種網(wǎng)絡(luò)相關(guān)服務(wù)的能力,包括入侵檢測、入侵防御、證析和信息共享。其中,證析是指通過對數(shù)據(jù)進(jìn)行收集、預(yù)處理和分析后對得到的知識進(jìn)行綜合;信息共享則指交換網(wǎng)絡(luò)威脅和事件信息的過程中所有情報(bào)知識在企業(yè)網(wǎng)絡(luò)中共享。
不難發(fā)現(xiàn),這個系統(tǒng)與自適應(yīng)安全架構(gòu)提出的四大能力即檢測、防御、響應(yīng)、預(yù)測幾乎是一致的。這個系統(tǒng)已在除美國國防部及其相關(guān)部門之外的其余23個機(jī)構(gòu)中部署運(yùn)行,當(dāng)前部署的已是第三代愛因斯坦系統(tǒng),兼顧入侵檢測和入侵防御功能,可自動識別和阻斷。
另一方面,自適應(yīng)安全架構(gòu)還打開了安全即服務(wù)的新模式,極大地拓展了傳統(tǒng)安全架構(gòu)的體系和方法論,重塑了安全管理平臺,可以推動高級威脅檢測、欺詐檢測、網(wǎng)絡(luò)威脅情報(bào)分析與協(xié)作,催生其他各類安全產(chǎn)品。
比如,在業(yè)務(wù)模式上,催生了安全即服務(wù)(SECaaS)的發(fā)展。通過整合大數(shù)據(jù)安全分析與大數(shù)據(jù)業(yè)務(wù)分析,安全數(shù)據(jù)會成為與業(yè)務(wù)數(shù)據(jù)相互伴隨的成分,需要安全團(tuán)隊(duì)與業(yè)務(wù)技術(shù)部門在交互與協(xié)作、開發(fā)、運(yùn)維方面開展新的融合。此外,催生了更多安全管理咨詢產(chǎn)業(yè),為企業(yè)機(jī)構(gòu)量身分析定制新架構(gòu)下的實(shí)施方案。
隨著數(shù)字經(jīng)濟(jì)時代的到來,網(wǎng)絡(luò)信息技術(shù)已經(jīng)從輔助性的配合角色,轉(zhuǎn)變?yōu)槿诤线\(yùn)營技術(shù)的關(guān)鍵基礎(chǔ)性支撐角色。相應(yīng)地,網(wǎng)絡(luò)安全工作也就必須從解決措施“有沒有”問題的階段向注重效果“好不好”的持續(xù)提升模式轉(zhuǎn)變??梢灶A(yù)見,伴隨著數(shù)字化浪潮的進(jìn)一步發(fā)展,自適應(yīng)安全機(jī)構(gòu)還將作為極佳安全保護(hù)方案,為數(shù)字時代的網(wǎng)絡(luò)安全提供更多保護(hù)。