1. 程式人生 > >數據驅動安全架構升級---“花瓶”模型迎來V5.0(一)

數據驅動安全架構升級---“花瓶”模型迎來V5.0(一)

安全模型 雲計算 花瓶 大數據 保障方案

數據驅動安全架構升級---“花瓶”模型迎來V5.0

Jackzhai

一、背景

近十年,可以說是網絡技術大發展的十年,雲計算、大數據、移動互聯、物聯網等新技術逐漸成熟,社交、電商、智慧城市現實社會正在全面走進網絡所構建的虛擬世界,網絡正在成為人們吃穿一樣不可或缺的“生活必需品”。

隨著網絡承載的事務越來越豐富,面臨的安全威脅也越來越多,發生網絡安全問題的損失與波及的範圍也在不斷升級。總結起來有以下幾個方面:


  1. 網絡安全國家化:美國把網絡與陸海空並列為國家主權領土四大領域之一,互聯網開始有了“國家疆界”,虛擬世界裏不僅有了警察,還有了軍隊,網絡戰爭的硝煙正在席卷我們整個地球村。各國的網絡部隊儲存了大量漏洞,作為政府間攻擊滲透的網絡武器,漏洞成為“武器商品”在進行交易,技術共享範圍越來越小;

  2. 灰色產業鏈化:有錢有利的地方就容易被入侵,某些人的政治利益,企業之間的惡意競爭,個人隱私信息的偷竊……黑客技術已經完全市場化,產業鏈進化得相當成熟,開發木馬、入侵網站、傳播木馬、定向獲取信息、非法信息交易黑市、詐騙組織專業公司、銀行卡提錢公司……產業鏈成熟的後果,是有充足的資金再投入到各種黑客技術的開發,黑客從業大軍人才濟濟,行業運營效率越來越高;

  3. 白帽子市場化:有黑帽子從業賺取金錢,就有白帽子義務保護,雖然處境“同樣危險”,但在黑白兩道同時推動下,漏洞挖掘成為空前的熱門高技術產業,有些像冷戰時期的軍備競賽,說不清是福是禍,客觀上推動了漏洞商品的高產。為了應對日益惡化的網絡安全局勢,攻防人才培訓、漏洞挖掘大獎、商業白帽子眾測

    ……攻防技術人員成為很多企業、政府的急需招聘人才。


在網絡安全技術方面也較大的變化,讓黑客有了更多的思路與角度可以入侵,更高級且隱蔽的方法可以選擇:

  1. 雲計算促進服務集中化:雲計算服務以虛擬化技術支撐,建立龐大的數據中心,其內部的網絡邊界模糊化,尤其是信息系統之間邊界。傳統安全保障思路是基於邊界的訪問控制,如今邊界從網絡層收縮到應用層,大家在一個房間了,訪問可以,控制難嘍。一句話:家大人太多了,不好管啊;

  2. 移動互聯普及化:隨著4G移動技術普及,社交軟件從PC轉移到智能終端,手機號成為現代人的第二張“身份證”,且是實時在線的,人人都可以在互聯網上“被直播”,個人信息安全成為全社會關註的熱點,位置、照片、私人聊天

  3. 物聯網與智慧城市:計算機與計算機、計算機與人、人與環境……地球上的萬物互聯網絡在短短的幾十年,就滲透到地球上的每一個角落,動的,靜的,有生命的,沒生命的網絡發達的結果,是數據的極大豐富,多得沒有人能看得過來,想找自己需要數據也不容易,由此催生了大數據技術的變革。用大數據管理海量數據,利用大數據關聯分析每個物體的行蹤,發現那些隱藏的入侵者,大數據成為攻防雙方的新技術工具;

  4. 加解密再次成為焦點:安全從開始就離不開加解密技術,為了安全需要加密信息,讓別人看不懂;為了能監控網絡信息,看懂網絡上傳輸的信息,就需要解密。美國“棱鏡門”事件曝光了政府監控,讓所有的人都認為,端到端的信息源加密是將來必然的選擇。但加密與解密技術對抗已經不同於以往,一方面,雲計算可以提供超強的口令破解計算能力,大數據關聯分析能夠有效縮小的口令破譯的空間,傳統的加密算法受到極大挑戰,無論是否公開你的算法,還是選擇更長的密碼,被破譯都是遲早的事情。另一方面,新型加密技術發展緩慢,同態加密,量子加密等新模式加密技術何時商用是業界極為關註的。能夠為廣大物聯網用戶提供頻繁加密,也是傳統密碼技術面臨的難題,因此,建立為個人服務的商用密碼服務中心,讓每個人可以動態選擇加密算法與密鑰長度,能夠方便地在各種社交網絡上實現端到端的加密通信,是密碼應用模式面臨的變革。


總結起來,就是針對性強的高級威脅成為網絡安全的主流,以炫耀為目的的學生黑客不再是安全防禦的重點。一方面經過多年網絡安全宣傳與建設,多數網絡具備了一定的防禦能力,提高了入侵攻擊的技術門檻;另一方面,攻擊更加有針對性,技術含量更加提高。前幾年APT一詞很流行,隨之而來的應對產品技術也走進人們的視野,沙箱技術、威脅情報、安全大數據分析……但是,人們還是感到APT防禦的難度實在太大,業界開始悄悄流行“高級威脅檢測”一詞,盡量少提APT,先一步一步來吧。

“花瓶”模型發布於2007年,被作為網絡安全保障方案設計的參考模型,可以比較好地讓方案設計者分析用戶安全需求,部署網絡安全措施,構建符合等級保護技術標準的保障方案。十年過去了,“花瓶”模型也隨著攻防技術、新應用模式部署而不斷的升級進化。“花瓶”模型V5.0是又一次較大技術架構與安全理念變化的升級。

二、“花瓶”模型V5.0的思路進化


“花瓶”模型是一個網絡安全保障方案設計參考模型,基於PDR模型的動態防禦思路,建立事前防禦、事中響應阻斷、事後審計改進的“三線一平臺”的多維立體縱深防禦體系,並在攻防對抗過程中進行自學習、自完善,形成閉環管理控制。“花瓶”模型給出了每條線上的安全產品選擇組合建議,可以讓方案設計者方便地編寫保障方案,並確保方案的有效性、合規性、可落地性。

隨著安全技術的發展,“花瓶”模型也需要進化,融入最新安全技術,適合最新網絡環境與應用。“花瓶”模型V5.0升級的核心理念變化如下:


1、 邏輯分層抽象:為了適應網絡虛擬化,用戶終端漫遊等新業務模式,“花瓶”模型引入進一步的分層邏輯,這包括三個角度:

a. 網絡層分離為物理的和邏輯的:網絡傳輸的是流量,網絡的安全實際上是其流量傳輸的安全,網線只是物理傳輸媒介,虛擬網絡沒有物理媒介。物理網絡以網線為標簽,IP路由轉發,邏輯網絡以信息系統流量為標簽,采用流量控制方法,建立協議封裝通道,實現策略路由轉發。運維使用的網絡拓撲圖也分為物理的與邏輯的,物理網絡拓撲圖與傳統是一致的,邏輯網絡拓撲圖是抽象的。物理網絡拓撲中,各個信息系統交織在一起,邏輯網絡拓撲中,每個信息系統內部結構清晰,信息系統之間邊界明確;

技術分享

b. 網絡行為與信息內容分離:隨著業務傳輸加密技術普及,通過網絡流量還原傳輸內容,進行內容安全檢測的方法,越來越受到限制;隨著帶寬指數級增長,對流量進行深度分析的成本也越來越高。“花瓶”模型將用網絡行為分析與內容安全監測分離,即網絡層與應用層分開。網絡行為是網絡層面的,關註數據的包頭信息,即用戶網絡訪問的通聯關系,也可以通過資產信息庫,把IP與業務信息系統、用戶關聯起來,形成用戶行為跟蹤。應用層的內容安全,回溯到VPN設備後的流量深度分析,或者回溯到終端或服務器內做內容檢測,即信息解密之後再檢測。體現在“花瓶”模型中,就是監控體系的部署模式有較大變化,用戶行為審計分為網絡行為大數據分析與業務流程大數據分析;

c. 身份認證與信息系統分離:身份認證是授權管理的基礎,是用戶行為審計落地的基礎。隨著業務信息系統越來越多,分散的身份管理、授權控制方式越來越復雜,尤其是人員角色變動時,變更授權的工作量難以想象。將身份認證與信息系統分離,建立統一的身份認證與授權管理系統,已經成為建立網絡信任體系的基礎實施需求。


2、 數據驅動安全:在網絡建設初期,安全是靠事件驅動的,病毒、蠕蟲、泄密、宕機……安全就是應急救火;隨著業務信息化發展,等保標準、風險評估業務開始驅動安全保障建設,防禦、監控、信任“三線一平臺”體系的建設,三分技術,七分管理,網絡安全成為常態化管理一部分;威脅來自於對價值的渴望,隨著網絡承載的業務越多,價值越高,面臨的安全威脅就越大。安全防禦體系也越來越復雜,海量的日誌數據需要分析,復雜的流程操作行為需要審計,網絡安全進入到“數據驅動安全”時代。大數據技術的出現,加速了這一進化過程,這體現在網絡安全的兩個方面:


  1. 安全大數據:應用大數據處理、分析技術,應對網絡安全面臨的新問題,即高級威脅的檢測。無論是對未知文件的沙箱檢測,還是基於流量的網絡行為分析,還是基於日誌的業務行為審計,不僅需要支持海量數據的快速收集、存儲、查詢,而且需要基於入侵攻擊行為建模,對攻擊者畫像,多維度的屬性關聯分析;

  2. 大數據安全:數據大集中本身就吸引了更高級別的攻擊者關註,圍繞數據自身價值的竊取與泄密,加劇了對新型數據中心的各種攻擊。業務信息系統數據的集中,其價值很直接;詳細的網絡行為數據記錄隱含了個人隱私,集中的業務日誌可以分析企業業務邏輯的商業秘密大數據建設導致數據中心的安全等級持續上升;

“花瓶”模型V5.0將安全管理平臺中的數據處理與分析運維分離,形成底層的“數據湖”,支撐上層實現了基於大數據的各種安全分析。


3、 安全態勢感知:引進虛擬化、大數據,是“花瓶”模型利用新技術,應對高級威脅。落實到“花瓶”模型建立的立體縱深防禦三條線中,監控這條線明顯變大。應對高手,應對未知的新威脅,監控與信任體系是重點。


a. “知己”:態勢感知的第一步是搞清楚目前網絡上的狀況,資產、漏洞、設備狀態、應用現狀、敏感數據位置更為重要的是,目前用戶的狀態,從哪裏接入、什麽方式接入、訪問啥業務、是否涉及敏感信息、是否涉及敏感操作


b. “知彼”:了解對手,僅從自己網絡上挖掘是不夠的,從外部渠道獲取安全信息,統稱為威脅情報。威脅情報很誘人,但實現很困難,主要是信息種類雜,來源廣,獲取難,對自己真正有價值的情報很難找:

i. 與威脅情報相關的信息很多,如漏洞信息、新的惡意代碼樣本、安全事件、攻擊者組織、新型攻擊技術、新出現的攻擊工具、惡意URL地址、釣魚網站、泄漏的敏感信息……如何將這些信息規範化,自動化收集、聚類,再推動給需求者,需要多方面的協作,即威脅情報標準的確立是關鍵;

ii. 如何使用威脅情報也是個很現實的問題。將收集來的,或是買來的威脅情報,如何變成用戶“有用”的信息,需要操作者不僅能解析威脅情報的實質內容,而且熟悉自己網絡的“家底”,了解這個情報對自己的威脅究竟是什麽,從而給出相應的建議。如收到一個新漏洞信息,根據資產管理,立即可以檢測網絡內哪些系統有這個漏洞,如何立即部署防禦措施;再如發現一個惡意URL是某木馬回傳的站點,立即通過網絡流量或終端日誌,檢查網絡內哪些終端已經“淪陷”,即已經有聯系了該URL;再比如發現一個新木馬文件,通過流量還原或終端搜索,檢查網絡內哪些終端被攻陷,立即給出感染態勢,部署查殺;

iii. 威脅情報共享是大家都希望的,上至國家,下至企業,但高價值的威脅情報往往成為網絡戰儲備的武器,或者轉化為安全服務者的競爭優勢,即使是有償共享,也局限在小範圍內。目前的現狀是這樣的:一方面是低價值、甚至虛假的海量無用情報到處充斥,一方面是針對性有價值的情報難以收集到。因此,建立一個大數據分析平臺,從中挖掘自己有用的情報是必要的。


c. 輔助決策:掌握實時的安全態勢不僅可以為應急指揮提供監控服務,而且可以對方案的效果進行預測推演,安全態勢預測,為領導的決策提供依據。

不僅是新技術的融入,新觀念的吸納也是“花瓶”模型改進的重點。“花瓶”模型是基於PDR思想設計的,針對安全事件的發生的過程進行縱深防禦,分為事前策略防禦、事中監控響應、事後審計改進三個部分,並形成一個可循環的,可以自我改進學習的閉環的、螺旋式上升的過程。“花瓶”模型V5.0在此基礎上,又吸收了最新安全思想,豐富完善了安全保障的架構設計。主要體現在對下面兩個模型思想的吸收引進。

(1)滑動標尺模型

技術分享

滑動標尺模型是網絡安全保障建設的進化模型,它應用於網絡安全建設者自我完善發展過程。從最初的基礎架構安全建設,到被動的合規性防禦,再到業務驅動的,以監控為核心的積極防禦,最後到采集威脅情報進行安全態勢分析,掌控全面安全局面,最後發展就是具備反制進攻能力的進攻性防禦階段。每個階段的建設都是依據前一階段的基礎,所以稱為疊加演進。“花瓶”模型比較適合於前三個階段,尤其是第二階段的被動防禦階段,構建縱深防禦體系,但因對高級威脅能力有所欠缺。“花瓶”模型V5.0進行了改進,彌補了這一不足,加強了監控與審計能力,符合第三階段的積極防禦需求,並引進了大數據技術、威脅情報技術,適合第四階段的建設。

在經歷了近十年的等保推廣工程,以及2017.6.1網絡安全法的正式實施,大多數用戶的安全管理建設已經進入到第二階段後期,有些行業已經到了第三階段的後期。在這個時候,“花瓶”模型V5.0的推出,正好為用戶提供了所需的方案設計參考。


(2)自適應安全架構

技術分享

Gartner2014年提出了自適應安全架構(ASA),把安全防護看作“感知-評估-預測”的一個完整過程,可以理解為四個象限,即“防禦”、“檢測”、“溯源”、“預測”。ASA強調了安全防護是一個持續處理的、循環的過程,防禦可以提高攻擊門檻,但不能阻斷所有的攻擊,應對那些透過防禦措施的入侵,細粒度、多角度、持續化的監控是發現阻斷入侵者,減少損失的第二道措施,也就是說,ASA提升了應急處理在安全保障體系的作用,是應對高級威脅的主要手段。

“花瓶”模型V5.0吸納了ASA的自適應、大監控思想,在安全管理平臺的基礎上,建立了安全態勢分析與展示,支持強大的監控分析平臺,當然在底層架構上離不開大數據技術的支持。


本文出自 “Jack zhai” 博客,請務必保留此出處http://zhaisj.blog.51cto.com/219066/1921892

數據驅動安全架構升級---“花瓶”模型迎來V5.0(一)