移動互聯(lián)時代,信息安全的新變革
從1986年世界上第一個流行計算機病毒C-Brain的誕生算起,信息安全發(fā)展已經(jīng)走過了30個年頭。其間,無論是安全威脅還是ICT技術(shù)應用都發(fā)生了巨大的變化。
從終端訪問互聯(lián)網(wǎng)的隨機病毒感染,到基于網(wǎng)絡(luò)以及WEB弱點而主動發(fā)起的網(wǎng)絡(luò)攻擊,再到近來利用零日漏洞的有針對性的APT滲透,可以說黑客攻擊手段趨于高級化、智能化,目標性更強。與此同時,經(jīng)濟全球化、競爭加劇以及專業(yè)分工協(xié)作,ICT發(fā)展從單機時代,到互聯(lián)網(wǎng)時代,再到如今以BYOD、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)為特征的全聯(lián)接時代,企業(yè)和組織正在使用更加敏捷開放的系統(tǒng),從而提高效率、開拓創(chuàng)新、增加生產(chǎn)力。而這也造成了一些新的漏洞和安全隱患,當今的攻擊旨在利用我們高度互聯(lián)的ICT基礎(chǔ)架構(gòu)的弱點。
威脅在變,ICT環(huán)境在變,面對如此嚴峻的形勢,信息安全如何應對?本文從技術(shù)方案角度給出在新的威脅趨勢、ICT環(huán)境下,信息安全防護應該采取的變革舉措。
“腳踏兩張網(wǎng)”的安全防護
基于邊界的防護模型由來已久。在過去,我們的企業(yè)網(wǎng)絡(luò)都是有明確的物理邊界的,主要是互聯(lián)網(wǎng)邊界以及內(nèi)網(wǎng)PC終端邊界。物理邊界內(nèi)相對比較可控,只要在這兩類邊界設(shè)卡監(jiān)控,做好攻擊以及泄密防護,企業(yè)網(wǎng)絡(luò)的安全就有了基本的保障。
BYOD的引入打破了這個局面,移動設(shè)備既能夠訪問內(nèi)網(wǎng)又能脫離內(nèi)網(wǎng)自由訪問互聯(lián)網(wǎng),導致原來的內(nèi)網(wǎng)物理邊界蕩然無存。這種“腳踏兩張網(wǎng)”的特點會帶來兩個安全問題:一個是泄密,企業(yè)數(shù)據(jù)通過BYOD終端暴露在互聯(lián)網(wǎng)上,很容易泄漏;一個是攻擊,BYOD在公司外無安全保障的互聯(lián)網(wǎng)環(huán)境里遭到感染的幾率很高,當BYOD接入內(nèi)網(wǎng)時,這些威脅很容易被帶入內(nèi)網(wǎng)發(fā)起攻擊。問題的核心是,由于沒有明確的邊界以及歸屬,無法用基于邊界防護的思想來解決BYOD安全問題。
對于BYOD的防泄密,業(yè)界主要采用安全沙箱技術(shù),本質(zhì)上是一種基于邏輯邊界的隔離技術(shù)。通過這種技術(shù),在BYOD終端設(shè)備上創(chuàng)建獨立的安全存儲區(qū),保證企業(yè)應用數(shù)據(jù)封閉隔離,而個人互聯(lián)網(wǎng)應用是無法訪問到的。通過與企業(yè)后端系統(tǒng)建立應用專屬VPN,數(shù)據(jù)直接在本地應用層開始加密,防止本地網(wǎng)絡(luò)層竊取,同時防止不安全的互聯(lián)網(wǎng)環(huán)境的通信竊聽。
對于BYOD的防攻擊,大家可能會想到在園區(qū)網(wǎng)絡(luò)的接入邊界點做防護。由于BYOD的移動性,在園區(qū)內(nèi)網(wǎng)隨地接入,引入內(nèi)網(wǎng)的威脅路徑并不固定,而企業(yè)不可能在每個接入點都部署安全設(shè)施,復雜性和設(shè)備成本都是難以承受的。其實這還是深受基于邊界防護思想的影響。當前一個針對性的解決方案就是基于網(wǎng)絡(luò)構(gòu)建安全資源池,將不安全的終端或用戶流量引入進行安全清洗。通過安全資源池化,安全設(shè)備的部署不受物理邊界限制,按需靈活調(diào)用安全能力,同時也提高了安全資源利用率。事實上,這種方案不僅適用于BYOD場景,對于不安全的訪客、啞終端、物聯(lián)終端等難以基于邊界防護的場景都能做到很好的防護。
基于大數(shù)據(jù)的全網(wǎng)安全協(xié)同
現(xiàn)在我們的網(wǎng)絡(luò)里已經(jīng)部署了多“兵種”安全設(shè)施,像防火墻、入侵檢測、防毒墻、流量監(jiān)控、日志審計系統(tǒng)等等。但每一種只能在各自的領(lǐng)域發(fā)揮作用,解決單點問題,而且這些傳統(tǒng)檢測技術(shù)往往基于靜態(tài)簽名,只能識別已知攻擊特征,對付APT這種利用零日漏洞、逃逸檢測、動態(tài)持續(xù)性的高級未知威脅已經(jīng)顯得力不從心。事實上,在近來全球發(fā)生的重大信息安全事件中,多數(shù)都具備APT的特征,如著名的Google極光攻擊泄漏、席卷工業(yè)界的Stuxnet震網(wǎng)攻擊、RSA SecureID竊取攻擊等。魔高一尺,如何道高一丈?
面對高級威脅,必須采取高級防御措施。沙箱檢測與大數(shù)據(jù)分析技術(shù)已經(jīng)被證明是對付高級威脅的有效手段。這方面,一些先進的安全廠商已經(jīng)走在了前列。從大部分APT攻擊序列看,往往需要終端主動或被動下載惡意文件,APT檢測沙箱是一種模擬終端環(huán)境的文件惡意行為分析技術(shù)。當然檢測效果如何,關(guān)鍵還是看沙箱能模擬的操作系統(tǒng)、瀏覽器、文件系統(tǒng)、文件類型的豐富性以及惡意行為特征的質(zhì)量。而隨著大數(shù)據(jù)分析技術(shù)的逐漸成熟,通過感知威脅情報、日志、事件、網(wǎng)絡(luò)流等全情境的安全信息,進行大數(shù)據(jù)的建模與整合分析來發(fā)現(xiàn)異常行為也被一些企業(yè)嘗鮮采用。它的獨到之處是幾乎能看到網(wǎng)絡(luò)中所有發(fā)生的行為,基于正常模型以及離散行為關(guān)聯(lián)分析來從中尋找異常的蛛絲馬跡。需要說明的是,這種技術(shù)不僅有助于發(fā)現(xiàn)APT,還可以識別其它一些泄密、離散的惡意行為。
至此,我們通過整合全網(wǎng)的安全信息,找到了識別APT等高級威脅的方法。但是如何阻止這些高級威脅呢?具有流量制動能力的往往是網(wǎng)絡(luò)中的關(guān)鍵節(jié)點,比如終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備。這就需要大數(shù)據(jù)安全平臺能夠與這些控制點進行聯(lián)動,通過告知控制點惡意行為的用戶信息或者流量特征,由控制點來進行阻斷或者隔離防護。如此,通過基于大數(shù)據(jù)的全網(wǎng)安全協(xié)防,才能有效識別并抵御高級威脅。
安全工程師的春天,運維部署簡化
安全固有的復雜性,使得安全管理和運維對專業(yè)性要求很高。全聯(lián)接時代,無論是終端類型、接入方式、用戶角色都是多種多樣,接入場景愈發(fā)復雜,加上不同接入設(shè)備的配置風格不一,使得基于IP/VLAN接入控制策略變得異常復雜;對于網(wǎng)絡(luò)中主打的安全設(shè)施下一代防火墻,為了做到精細化的控制,從由IP、端口、協(xié)議的四層配置,增加到用戶、應用、內(nèi)容、威脅、位置的七層配置,隨之而來的管理維度和復雜度也大為增加。另一方面,大數(shù)據(jù)時代海量日志事件的淹沒以及安全的不可見,導致安全危機處理決策支撐不足,管理者難以進行快速準確的研判,運維人員無法準確識別真正的高危安全事件并及時響應。現(xiàn)實情況下,企業(yè)的安全團隊人員往往還編制不足,靠人工手動機械的部署運維根本力不從心,這就要求安全部署和運維能夠盡量自動化,簡化安全。
對于策略部署,采用智能化的策略組件是一個解決之道。管理員只要將接入源組和訪問目的組定義好,并設(shè)定他們之間的安全策略,系統(tǒng)會自動翻譯并下發(fā)到各個接入設(shè)備;通過預置的模板以及流量學習自動調(diào)整優(yōu)化策略,可以輕松駕馭下一代防火墻。這種智能化的安全策略,將管理員配置工作由數(shù)小時/數(shù)天降到分鐘級,大大簡化安全部署。
對于安全運維,可以通過態(tài)勢感知和可視化來提高管理和運維效率。安全監(jiān)控平臺通過全網(wǎng)日志事件采集、上下文感知和自動分析計算評估,宏觀上全面、準確地呈現(xiàn)全網(wǎng)安全狀況,支撐管理者決策;微觀上呈現(xiàn)APT攻擊、數(shù)據(jù)泄漏等關(guān)鍵安全事件,并融合資產(chǎn)環(huán)境信息,冒泡高優(yōu)先級安全事件,加速運維人員響應速度。
結(jié)束語
不管信息安全怎么演進和改變,我們的初心不變,那就是:安全要促進業(yè)務(wù)、為業(yè)務(wù)服務(wù),而不應成為前進道路上的絆腳石。而所有這些變革也正是為了達成一個使命:讓安全更敏捷地為業(yè)務(wù)服務(wù)。
