在不可信的网络中,未来安全系统怎么建?
大数据时代下,面对千变万化、持续广泛的网络安全威胁,传统安全架构以及安全分析已然陷入被动的局面里,并且暴露出易受攻击、恢复弹性低、低移动性、高消耗等众多问题。如何化被动防御为主动预防,对内容、基础设施开展立体式的防护,重塑网络安全成为人们需要面对的新的问题。
在这样的背景下,针对高级攻击的自适应安全架构受到了越来越多的关注。Gartner在2015年就提出过“自适应安全架构来应对高级定向攻击”的概念,其中实现这套架构很重要的一个阶段就是让系统具备对攻击的预测能力。从应对安全风险到预测安全风险,自适应安全架构正在为人们建立网络安全的新的边界。
从“应急响应”转到“持续响应”
在自适应安全架构之前,我们可以先来看看传统的网络安全架构——传统的网络安全架构基于网络边界防护。企业构建网络安全体系时,首先把网络划分为外网、内网和DMZ区等不同的安全区域,然后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护,构筑企业业务的数字护城河。
不过,这种网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视内网安全措施的加强。然而,美国Verizon公司的《2017年数据泄露调查报告》指出,造成企业数据泄露的原因主要有两类:其一是外部攻击,其二就是内部威胁。
不仅如此,当前,随着网络攻防技术的发展,新型的网络攻击手段层出不穷,攻击者面对层层设防的网络边界,往往会放弃代价高昂的强攻手段,转而针对企业内部网络中的计算机,采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部,轻松绕过网络边界安全防护措施。由于人们普遍认为内网是可信任的,因此,攻击者一旦突破传统的网络安全边界进入内网,就有可能带来极大的网络安全问题。
在这样的认识下,传统的网络边界安全架构亟待重新评估和审视。实际上,近年来,相关企业、研究机构也逐渐认识到:传统安全架构过度依赖阻截和防御机制,无法适应未来网络架构的迅速变化以及随之而来的攻击。与之相对应的是,未来网络安全应基于业务自内而外地构建安全体系,企业级网络的核心功能应是对业务行为进行识别分析和持续监控。由此,自适应安全架构应运而生。
自适应安全架构最早由Gartner在2014年的ISC(Internet Security Conference)上针对高级攻击提出,不过,这套架构在当时并未引起足够的关注。尽管自适应安全架构在刚被提出的两年里,认可度并未得到全面的提升,但到了2017年,在对于网络安全的庞大需求下,顺应着技术的发展,Gartner把自适应安全架构列入“2017年十大战略技术趋势”,认为它是现代数字业务的重要组成部分。
Gartner分析师认为,数字业务是融合了设备、软件、流程和人的智能且复杂的系统,而数字业务的安全保障体系将成为一个复杂的安全世界,这就需要一种持续、连贯和协调的方法来保障其安全性。
不难看出,发展自适应安全架构是一种安全理念上的根本切换。首先,自适应安全架构强调从“应急响应”转到“持续响应”,认为攻击是不间断的,黑客渗透系统和企图获取信息的努力是不可能被完全拦截的。系统应承认自己时刻处于被攻击中,并持续检测、完成修复。
其次,发展自适应安全架构在实现上不应再沉迷于阻断,而更多关注检测、响应和预测能力。来自不同供应商的网络、终端和应用安全防护平台应当通过对知识的集成以建立情境感知,提供预测、防御、检测和响应等能力。
最后,对于发展自适应安全架构来说,安全监控和策略执行都直接运作在每个业务单元而不依赖于基础设施或硬件,这赋予了企业级网络更细粒度和更丰富的持续监控能力和行为分析能力,可以真正做到对多形态攻击甚至高级攻击的快速响应及恢复,同时对任何基础设施和业务的变化具备自适应能力。
自适应安全架构能带来什么?
对于信息社会来说,要知道,信息化和信息安全还是有着根本性的不同的。信息化的重点在于初期建设,就像建筑师盖一座大楼;后期的维护工作相对简单,就像是公寓的物业管理。而信息安全则不同,对于信息安全来说,初期建设只是一个开始。实际上,可以说,信息安全是一场战争,它是一个持续的过程,只要信息系统存在一天,战争就不会停止。
并且,就目前的网络攻击来说,如前所述,攻击脚本和恶意程序的增长速度迅速,而如果没有创新的技术,传统的特征库已经无法保证恶意代码的检出率。在这种情况下,新型攻击难以被发现也是必然的结果。
越来越频繁的攻击和越来越多样的攻击技术,带来的结果就是安全团队的工作量越来越大,需要的专业化程度也越来越高。有的安全团队会长期超负荷运转,应付各种重复工作;也有的安全团队采购先进设备,但由于使用太复杂,所难以发挥效果。
基于此,作为一个高价值的体系框架,自适应安全架构则集防御、检测、响应、预测四项关键能力于一身,通过大数据安全分析来实现闭环防护控制,既继承了传统防御体系基于策略的拦截与阻击,又能发现那些逃过防御的攻击,高效调查和补救威胁事务,分析入侵来源,并生成预防手段。
可以看见,一方面,自适应安全架构为网络空间安全保护提供了坚实的保证。比如,国家网络空间安全保护系统(NCPS),又称“爱因斯坦计划”,由美国国家安全部负责设计和运行,旨在开发一套协助联邦政府机构应对信息安全威胁的工具集。该系统为联邦政府机构提供四种网络相关服务的能力,包括入侵检测、入侵防御、证析和信息共享。其中,证析是指通过对数据进行收集、预处理和分析后对得到的知识进行综合;信息共享则指交换网络威胁和事件信息的过程中所有情报知识在企业网络中共享。
不难发现,这个系统与自适应安全架构提出的四大能力即检测、防御、响应、预测几乎是一致的。这个系统已在除美国国防部及其相关部门之外的其余23个机构中部署运行,当前部署的已是第三代爱因斯坦系统,兼顾入侵检测和入侵防御功能,可自动识别和阻断。
另一方面,自适应安全架构还打开了安全即服务的新模式,极大地拓展了传统安全架构的体系和方法论,重塑了安全管理平台,可以推动高级威胁检测、欺诈检测、网络威胁情报分析与协作,催生其他各类安全产品。
比如,在业务模式上,催生了安全即服务(SECaaS)的发展。通过整合大数据安全分析与大数据业务分析,安全数据会成为与业务数据相互伴随的成分,需要安全团队与业务技术部门在交互与协作、开发、运维方面开展新的融合。此外,催生了更多安全管理咨询产业,为企业机构量身分析定制新架构下的实施方案。
成立于2014年的illumio就是全球第一个将自适应安全平台产品化的公司,其产品回答了“云迁移时代企业如何革命性地解决其动态数据中心和云服务上的安全问题”这一重要命题。illumio ASP的核心功能是减少数据中心和云环境可能遭受的赛博威胁,利用自适应的分块和加密算法让应用之间的信息交流透明可见,这种自适应性不受限于网络结构或者更高的监督管理者。
随着数字经济时代的到来,网络信息技术已经从辅助性的配合角色,转变为融合运营技术的关键基础性支撑角色。相应地,网络安全工作也就必须从解决措施“有没有”问题的阶段向注重效果“好不好”的持续提升模式转变。可以预见,。伴随着数字化浪潮的进一步发展,自适应安全机构还将作为极佳安全保护方案,为数字时代的网络安全提供更多保护。
(陈根为知名科技作者)
本文系作者:
小庄
授权发表,鸟哥笔记平台仅提供信息存储空间服务。
本文为作者独立观点,不代表鸟哥笔记立场,未经允许不得转载。
《鸟哥笔记版权及免责申明》
如对文章、图片、字体等版权有疑问,请点击
反馈举报
我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。
一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
1)反对宪法所确定的基本原则;
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
5)煽动民族仇恨、民族歧视,破坏民族团结;
6)破坏国家宗教政策,宣扬邪教和封建迷信;
7)散布谣言,扰乱社会秩序,破坏社会稳定;
8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
12)危害未成年人身心健康的;
13)含有法律、行政法规禁止的其他内容;
2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
1)轻蔑:贬低、轻视他人及其劳动成果;
2)诽谤:捏造、散布虚假事实,损害他人名誉;
3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
6)谩骂:以不文明的语言对他人进行负面评价;
7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
8)威胁:许诺以不良的后果来迫使他人服从自己的意志;
3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
2)单个帐号多次发布包含垃圾广告的内容;
3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。
4. 色情低俗信息,主要表现为:
1)包含自己或他人性经验的细节描述或露骨的感受描述;
2)涉及色情段子、两性笑话的低俗内容;
3)配图、头图中包含庸俗或挑逗性图片的内容;
4)带有性暗示、性挑逗等易使人产生性联想;
5)展现血腥、惊悚、残忍等致人身心不适;
6)炒作绯闻、丑闻、劣迹等;
7)宣扬低俗、庸俗、媚俗内容。
5. 不实信息,主要表现为:
1)可能存在事实性错误或者造谣等内容;
2)存在事实夸大、伪造虚假经历等误导他人的内容;
3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。
6. 传播封建迷信,主要表现为:
1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
2)求推荐算命看相大师;
3)针对具体风水等问题进行求助或咨询;
4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;
7. 文章标题党,主要表现为:
1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
2)内容与标题之间存在严重不实或者原意扭曲;
3)使用夸张标题,内容与标题严重不符的。
8.「饭圈」乱象行为,主要表现为:
1)诱导未成年人应援集资、高额消费、投票打榜
2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序
9. 其他危害行为或内容,主要表现为:
1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
2)不当评述自然灾害、重大事故等灾难的;
3)美化、粉饰侵略战争行为的;
4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。
二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。
三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)