安全:防?还是控?
在开始正文之前,老孙先给大家讲三个故事。
第一个故事 马奇诺防线
马奇诺防线,从1928年起开始建造,1940年才基本建成,造价50亿法郎。防线主体有数百公里,主要部分在法国东部的蒂永维尔,是第二次世界大战之前位于法国东方所设的防御工事,由钢筋混凝土建造而成,十分坚固。由于造价昂贵,所以仅防御法德边境,至于荷兰则由英法联军作后援。防线内部拥有各式大炮、壕沟、堡垒、厨房、发电站、医院、工厂等等,通道四通八达,较大的工事中还有有轨电车通道。由于法比边界的阿登高地地形崎岖,不易运动作战,且比利时反对在法比边界修建防线,所以法军没有多加防备,但万万没有想到德军会由此突破。1940年5月德军诱使英法联军支援荷兰,再偷袭阿登高地,联合荷兰德军将联军围困在敦克尔克。而马奇诺防线也因为德军袭击其背部而失去作用。
这个故事告诉我们,再坚固的有边界的防线,也无法防止无边界的攻击。
第二个故事 特洛伊木马
公元前十二世纪初,迈锡尼联合希腊各城邦组成联军,渡海远征特洛伊,战争延续十年之久,史称“特洛伊战争”,特洛伊也因此闻名。城市在战争中成为废墟。荷马史诗《伊里亚特》即叙述此次战争事迹。第十年,希腊一位多谋善断的将领奥德赛想出了一条妙计。这一天希腊联军的战舰突然扬帆离开了。特洛伊人以为希腊人撤军回国了,他们跑到城外,却发现海滩上留下一只巨大的木马。特洛伊人惊讶地围住木马,他们不知道这木马是干什么用的。有人把它拉进城里,深夜,藏在木马中的全副武装的希腊战士杀死了睡梦中的守军,迅速打开了城门,隐蔽在附近的大批希腊军队如潮水般涌入特洛伊城。10年的战争终于结束了。
这个故事告诉我们,面对隐藏在其他东西中的敌人,再聪明的守门人也难以看透其中的玄机。
第三个故事 伊朗核电站事故
2011年2月,伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料,但就在几个月前,美国和以色列还在警告,伊朗只需一年就能拥有快速制造核武器的能力。为什么会突然出现如此重大变化?因为布什尔核电站遭到“震网”病毒攻击,1/5的离心机报废。自2010年8月该核电站启用后就发生连串故障,伊朗政府表面声称是天热所致,但真正原因却是核电站遭病毒攻击。一种名为“震网”(Stuxnet)的蠕虫病毒,侵入了伊朗工厂企业甚至进入西门子为核电站设计的工业控制软件,并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。实际上,伊朗核电站的网络是物理隔离的,而攻击者是通过将病毒植入该公司相关工程师的电脑中,由该工程师的电脑感染系统,从而完成了最终的攻击。
这个故事告诉我们,如果不能完全了解攻击者的攻击方法,即使是物理隔离的网络也会最终被攻破!
传统安全的困境
实际上,老孙之所以先讲这三个故事,是因为这三个故事所反映的情况,恰恰是目前企业在安全方面面临挑战的真实写照,而这三个故事最后得出的结论,也相当令人沮丧对不对?可能很多人都会在心里嘀咕,面对这样的挑战,保证企业安全似乎成了不可完成的任务,那么,企业安全到底何去何从呢?
云安全初创企业青藤云安全CEO张福表示,传统的安全理念,强调的是防御和拦截,这在安全边界固定、黑客攻击手段单一、数据流量明码传输的传统安全时代,确实可以发挥很大的作用,但面对当前物理边界日益模糊、黑客攻击手段日新月异、网络传输数据普遍加密的现实情况,传统的强调防御和拦截的安全防护效果将会大打折扣:
物理边界的模糊,使得以前主要在网络流量进出口处放置的硬件安全防御设备就如同马其顿防线一样失去了功效,由于虚拟机,云技术的出现,企业业务的分布将非常分散,流量的边界很难界定,这就使得在流量边界部署的硬件设备很难能够覆盖到所有的边界,从而导致攻击可以找到没有覆盖到的边界,轻松绕过硬件安全设备的防线。
黑客攻击手段的丰富,就要求企业安全人员对黑客的攻击手段更加了解,了解的越深,防御和拦截能力就越强,但这样的方式有很大的缺陷,就是企业的安全防御能力完全是取决于对黑客的认知,但无论多牛的公司,对黑客的认知也只是整个世界中的一小部分,而绝大多数的黑客和黑客的攻击方式和行为都是未知的,这就导致了防御效果差强人意。
而自从棱镜门事件以后,企业普通对传输数据进行的加密,则导致IPS、IDS等这些基于流量分析的安全防御设备很难去分析其内容,这些设备也就逐渐失去了功效,这也就是IPS和IDS在全球的销量每年都大幅度下滑的主要原因。
另一条安全之路
既然强调防御和拦截的传统安全行不通,那么,是否能够找到安全的另一条可行之路呢?作为中国最早的一批黑客,在黑客圈被奉为大神的张福坚信这个答案是肯定的,经过多年潜心研究,模仿人体免疫系统,张福提出了自适应安全的新安全理念,该理念颠覆了传统安全强调防御和拦截的理念,转而强调持续监控、快速分析和快速响应。
张福介绍说,自然界有无数的病毒,没有人能够把这些病毒全部描述出来,并把它们全部都拒之体外,但人体免疫系统有个很好的特性,就是当人体感染已知或是未知病毒时,人体内的某些“微指标”就会发生变化,同时会使人体出现某种症状,例如发烧、发热、流鼻涕等,当出现这些症状时,虽然我们不知道感染了什么病毒,但至少知道自己已经被病毒感染,生病了,然后,我们会去找医生看病,而医生看病实际上就是一个分析的过程,医生会根据我们体内的这些“微指标”的变化,来诊断我们得了什么病,而医生的诊断其实就是响应,处理的过程,这是一个非常自然的过程。而实际上,对于安全来说也是一样的,如果能够在系统中生成很多类似的“微指标”,当系统受到攻击时,这些“微指标”能够发生相应的变化,那么,我们就可以迅速感知到系统受到了攻击,而不用管黑客是用了什么方法、什么手段攻击了系统。这样的话,在安全方面,我们就不需要依赖于对黑客的深入了解和研究,而只需对自身的系统有更好的了解,就能够帮助系统更精确的发现攻击。
张福认为,这种从强调防御和拦截向持续监控、快速分析和快速响应转变的过程,就是整个安全未来的形态。在这个形态下,安全产品将会从硬件走向软件,从网络边界走向终端,从外围的网络硬件设备走向主机层面的软件探针系统。
奇妙的“微指标”
那么,既然所有的监控、分析、响应、处理都要围绕着“微指标”来进行,那“微指标”的选择就显得非常重要了,在谈到这个问题时,张福对老孙表示,对整个自适应安全系统来说,选择合适的“微指标”绝不是一件简单轻松的事情。一方面,这些“微指标”要能全面而精确地针对系统中出现的黑客行为发生明显的变化,另一方面,又要确保这些“微指标”不会对系统中正常的行为产生反应。
为了更好地帮助老孙理解,张福举了一个“微指标”的例子:在Windows系统中,所有正在运行的程序都有自己的权限。比如在Window里有一种debug privilege权限,即调试权限,在正常的Windows系统上,一般的程序完全不需要这样的权限,但是绝大部分的黑客,为了想要获取信息、为了隐藏自己或是为了打开其他的进程,将自己的恶意代码插进去,他就一定需要调试权限。因此,他就会想方设法获取相应的令牌,从而获取调试权限。那么,只要能够观测到令牌的流向,就能够很容易并且非常精确的发现系统中的攻击程序。
张福告诉老孙,这类“微指标”还有很多,每个“微指标”虽然只能感知到一部分的情况,但这些“微指标”叠加在一起就能形成一个巨大的“网”,做到对黑客行为感知的滴水不漏了。
未来安全之路
“技术从来就没有门槛,有的只是时间的前后,安全技术的发展也从来不是因为技术的原因,而是理念的问题,自适应安全也并不是一门高深的技术,只是对安全理念的不同角度的理解。而对于青藤云安全未来的发展来说,通过机器学习、人工智能、大数据分析产生更多更全面更精确的微指标将会是我们未来发展的重要方向,而我们也期待像人体免疫系统这种可以快速感知、快速响应、自动处理的终极安全系统能够早日出现!”张福说。
据悉,在老孙写下这篇文章不久之前,在世界知名IT研究和分析机构Gartner发布的全球云安全市场指南(Market Guide for CloudWorkload Protection Platforms)中,张福创办的青藤云安全作为唯一的中国安全公司,与Symantec、McAfee等国际知名安全公司并列,正式进入Gartner世界代表公司名录。这也是十年来第一家也是唯一一家入选Gartner全球安全指南的中国初创公司。