数据驱动安全架构升级---“花瓶”模型迎来V5.0
Jackzhai
一、背景
近十年,可以说是网络技术大发展的十年,云计算、大数据、移动互联、物联网等新技术逐渐成熟,社交、电商、智慧城市…现实社会正在全面走进网络所构建的虚拟世界,网络正在成为人们吃穿一样不可或缺的“生活必需品”。
随着网络承载的事务越来越丰富,面临的安全威胁也越来越多,发生网络安全问题的损失与波及的范围也在不断升级。总结起来有以下几个方面:
网络安全国家化:美国把网络与陆海空并列为国家主权领土四大领域之一,互联网开始有了“国家疆界”,虚拟世界里不仅有了警察,还有了军队,网络战争的硝烟正在席卷我们整个“地球村”。各国的网络部队储存了大量漏洞,作为政府间******的网络武器,漏洞成为“武器商品”在进行交易,技术共享范围越来越小;
灰色产业链化:有钱有利的地方就容易被***,某些人的政治利益,企业之间的恶意竞争,个人隐私信息的偷窃……***技术已经完全市场化,产业链进化得相当成熟,开发***、***网站、传播***、定向获取信息、非法信息交易黑市、诈骗组织专业公司、银行卡提钱公司……产业链成熟的后果,是有充足的资金再投入到各种***技术的开发,***从业大军人才济济,行业运营效率越来越高;
白帽子市场化:有黑帽子从业赚取金钱,就有白帽子“义务”保护,虽然处境“同样危险”,但在黑白两道同时推动下,漏洞挖掘成为空前的热门高技术产业,有些像冷战时期的“军备竞赛”,说不清是福是祸,客观上推动了漏洞商品的高产。为了应对日益恶化的网络安全局势,***人才培训、漏洞挖掘大奖、商业白帽子众测……***技术人员成为很多企业、政府的急需招聘人才。
在网络安全技术方面也较大的变化,让***有了更多的思路与角度可以***,更高级且隐蔽的方法可以选择:
云计算促进服务集中化:云计算服务以虚拟化技术支撑,建立庞大的数据中心,其内部的网络边界模糊化,尤其是信息系统之间边界。传统安全保障思路是基于边界的访问控制,如今边界从网络层收缩到应用层,大家在一个房间了,访问可以,控制难喽。一句话:家大人太多了,不好管啊;
移动互联普及化:随着4G移动技术普及,社交软件从PC转移到智能终端,手机号成为现代人的第二张“身份证”,且是实时在线的,人人都可以在互联网上“被直播”,个人信息安全成为全社会关注的热点,位置、照片、私人聊天…
物联网与智慧城市:计算机与计算机、计算机与人、人与环境……地球上的万物互联…网络在短短的几十年,就***到地球上的每一个角落,动的,静的,有生命的,没生命的…网络发达的结果,是数据的极大丰富,多得没有人能看得过来,想找自己需要数据也不容易,由此催生了大数据技术的变革。用大数据管理海量数据,利用大数据关联分析每个物体的行踪,发现那些隐藏的***者,大数据成为***双方的新技术工具;
加解密再次成为焦点:安全从开始就离不开加解密技术,为了安全需要加密信息,让别人看不懂;为了能监控网络信息,看懂网络上传输的信息,就需要解密。美国“棱镜门”事件曝光了政府监控,让所有的人都认为,端到端的信息源加密是将来必然的选择。但加密与解密技术对抗已经不同于以往,一方面,云计算可以提供超强的口令破解计算能力,大数据关联分析能够有效缩小的口令破译的空间,传统的加密算法受到极大挑战,无论是否公开你的算法,还是选择更长的密码,被破译都是迟早的事情。另一方面,新型加密技术发展缓慢,同态加密,量子加密等新模式加密技术何时商用是业界极为关注的。能够为广大物联网用户提供频繁加密,也是传统密码技术面临的难题,因此,建立为个人服务的商用密码服务中心,让每个人可以动态选择加密算法与密钥长度,能够方便地在各种社交网络上实现端到端的加密通信,是密码应用模式面临的变革。
总结起来,就是针对性强的高级威胁成为网络安全的主流,以炫耀为目的的学生***不再是安全防御的重点。一方面经过多年网络安全宣传与建设,多数网络具备了一定的防御能力,提高了******的技术门槛;另一方面,***更加有针对性,技术含量更加提高。前几年APT一词很流行,随之而来的应对产品技术也走进人们的视野,沙箱技术、威胁情报、安全大数据分析……但是,人们还是感到APT防御的难度实在太大,业界开始悄悄流行“高级威胁检测”一词,尽量少提APT,先一步一步来吧。
“花瓶”模型发布于2007年,被作为网络安全保障方案设计的参考模型,可以比较好地让方案设计者分析用户安全需求,部署网络安全措施,构建符合等级保护技术标准的保障方案。十年过去了,“花瓶”模型也随着***技术、新应用模式部署而不断的升级进化。“花瓶”模型V5.0是又一次较大技术架构与安全理念变化的升级。
二、“花瓶”模型V5.0的思路进化
“花瓶”模型是一个网络安全保障方案设计参考模型,基于PDR模型的动态防御思路,建立事前防御、事中响应阻断、事后审计改进的“三线一平台”的多维立体纵深防御体系,并在***对抗过程中进行自学习、自完善,形成闭环管理控制。“花瓶”模型给出了每条线上的安全产品选择组合建议,可以让方案设计者方便地编写保障方案,并确保方案的有效性、合规性、可落地性。
随着安全技术的发展,“花瓶”模型也需要进化,融入最新安全技术,适合最新网络环境与应用。“花瓶”模型V5.0升级的核心理念变化如下:
1、 逻辑分层抽象:为了适应网络虚拟化,用户终端漫游等新业务模式,“花瓶”模型引入进一步的分层逻辑,这包括三个角度:
a. 网络层分离为物理的和逻辑的:网络传输的是流量,网络的安全实际上是其流量传输的安全,网线只是物理传输媒介,虚拟网络没有物理媒介。物理网络以网线为标签,IP路由转发,逻辑网络以信息系统流量为标签,采用流量控制方法,建立协议封装通道,实现策略路由转发。运维使用的网络拓扑图也分为物理的与逻辑的,物理网络拓扑图与传统是一致的,逻辑网络拓扑图是抽象的。物理网络拓扑中,各个信息系统交织在一起,逻辑网络拓扑中,每个信息系统内部结构清晰,信息系统之间边界明确;
b. 网络行为与信息内容分离:随着业务传输加密技术普及,通过网络流量还原传输内容,进行内容安全检测的方法,越来越受到限制;随着带宽指数级增长,对流量进行深度分析的成本也越来越高。“花瓶”模型将用网络行为分析与内容安全监测分离,即网络层与应用层分开。网络行为是网络层面的,关注数据的包头信息,即用户网络访问的通联关系,也可以通过资产信息库,把IP与业务信息系统、用户关联起来,形成用户行为跟踪。应用层的内容安全,回溯到***设备后的流量深度分析,或者回溯到终端或服务器内做内容检测,即信息解密之后再检测。体现在“花瓶”模型中,就是监控体系的部署模式有较大变化,用户行为审计分为网络行为大数据分析与业务流程大数据分析;
c. 身份认证与信息系统分离:身份认证是授权管理的基础,是用户行为审计落地的基础。随着业务信息系统越来越多,分散的身份管理、授权控制方式越来越复杂,尤其是人员角色变动时,变更授权的工作量难以想象。将身份认证与信息系统分离,建立统一的身份认证与授权管理系统,已经成为建立网络信任体系的基础实施需求。
2、 数据驱动安全:在网络建设初期,安全是靠事件驱动的,病毒、蠕虫、泄密、宕机……安全就是应急救火;随着业务信息化发展,等保标准、风险评估…业务开始驱动安全保障建设,防御、监控、信任“三线一平台”体系的建设,三分技术,七分管理,网络安全成为常态化管理一部分;威胁来自于对价值的渴望,随着网络承载的业务越多,价值越高,面临的安全威胁就越大。安全防御体系也越来越复杂,海量的日志数据需要分析,复杂的流程操作行为需要审计,网络安全进入到“数据驱动安全”时代。大数据技术的出现,加速了这一进化过程,这体现在网络安全的两个方面:
安全大数据:应用大数据处理、分析技术,应对网络安全面临的新问题,即高级威胁的检测。无论是对未知文件的沙箱检测,还是基于流量的网络行为分析,还是基于日志的业务行为审计,不仅需要支持海量数据的快速收集、存储、查询,而且需要基于******行为建模,对***者画像,多维度的属性关联分析;
大数据安全:数据大集中本身就吸引了更高级别的***者关注,围绕数据自身价值的窃取与泄密,加剧了对新型数据中心的各种***。业务信息系统数据的集中,其价值很直接;详细的网络行为数据记录隐含了个人隐私,集中的业务日志可以分析企业业务逻辑的商业秘密…大数据建设导致数据中心的安全等级持续上升;
“花瓶”模型V5.0将安全管理平台中的数据处理与分析运维分离,形成底层的“数据湖”,支撑上层实现了基于大数据的各种安全分析。
3、 安全态势感知:引进虚拟化、大数据,是“花瓶”模型利用新技术,应对高级威胁。落实到“花瓶”模型建立的立体纵深防御三条线中,监控这条线明显变大。应对高手,应对未知的新威胁,监控与信任体系是重点。
a. “知己”:态势感知的第一步是搞清楚目前网络上的状况,资产、漏洞、设备状态、应用现状、敏感数据位置…更为重要的是,目前用户的状态,从哪里接入、什么方式接入、访问啥业务、是否涉及敏感信息、是否涉及敏感操作…
b. “知彼”:了解对手,仅从自己网络上挖掘是不够的,从外部渠道获取安全信息,统称为威胁情报。威胁情报很诱人,但实现很困难,主要是信息种类杂,来源广,获取难,对自己真正有价值的情报很难找:
i. 与威胁情报相关的信息很多,如漏洞信息、新的恶意代码样本、安全事件、***者组织、新型***技术、新出现的***工具、恶意URL地址、钓鱼网站、泄漏的敏感信息……如何将这些信息规范化,自动化收集、聚类,再推动给需求者,需要多方面的协作,即威胁情报标准的确立是关键;
ii. 如何使用威胁情报也是个很现实的问题。将收集来的,或是买来的威胁情报,如何变成用户“有用”的信息,需要操作者不仅能解析威胁情报的实质内容,而且熟悉自己网络的“家底”,了解这个情报对自己的威胁究竟是什么,从而给出相应的建议。如收到一个新漏洞信息,根据资产管理,立即可以检测网络内哪些系统有这个漏洞,如何立即部署防御措施;再如发现一个恶意URL是某***回传的站点,立即通过网络流量或终端日志,检查网络内哪些终端已经“沦陷”,即已经有联系了该URL;再比如发现一个新***文件,通过流量还原或终端搜索,检查网络内哪些终端被攻陷,立即给出感染态势,部署查杀;
iii. 威胁情报共享是大家都希望的,上至国家,下至企业,但高价值的威胁情报往往成为网络战储备的武器,或者转化为安全服务者的竞争优势,即使是有偿共享,也局限在小范围内。目前的现状是这样的:一方面是低价值、甚至虚假的海量无用情报到处充斥,一方面是针对性有价值的情报难以收集到。因此,建立一个大数据分析平台,从中挖掘自己有用的情报是必要的。
c. 辅助决策:掌握实时的安全态势不仅可以为应急指挥提供监控服务,而且可以对方案的效果进行预测推演,安全态势预测,为领导的决策提供依据。
不仅是新技术的融入,新观念的吸纳也是“花瓶”模型改进的重点。“花瓶”模型是基于PDR思想设计的,针对安全事件的发生的过程进行纵深防御,分为事前策略防御、事中监控响应、事后审计改进三个部分,并形成一个可循环的,可以自我改进学习的闭环的、螺旋式上升的过程。“花瓶”模型V5.0在此基础上,又吸收了最新安全思想,丰富完善了安全保障的架构设计。主要体现在对下面两个模型思想的吸收引进。
(1)滑动标尺模型
滑动标尺模型是网络安全保障建设的进化模型,它应用于网络安全建设者自我完善发展过程。从最初的基础架构安全建设,到被动的合规性防御,再到业务驱动的,以监控为核心的积极防御,最后到采集威胁情报进行安全态势分析,掌控全面安全局面,最后发展就是具备反制进攻能力的进攻性防御阶段。每个阶段的建设都是依据前一阶段的基础,所以称为叠加演进。“花瓶”模型比较适合于前三个阶段,尤其是第二阶段的被动防御阶段,构建纵深防御体系,但因对高级威胁能力有所欠缺。“花瓶”模型V5.0进行了改进,弥补了这一不足,加强了监控与审计能力,符合第三阶段的积极防御需求,并引进了大数据技术、威胁情报技术,适合第四阶段的建设。
在经历了近十年的等保推广工程,以及2017.6.1网络安全法的正式实施,大多数用户的安全管理建设已经进入到第二阶段后期,有些行业已经到了第三阶段的后期。在这个时候,“花瓶”模型V5.0的推出,正好为用户提供了所需的方案设计参考。
(2)自适应安全架构
Gartner在2014年提出了自适应安全架构(ASA),把安全防护看作“感知-评估-预测”的一个完整过程,可以理解为四个象限,即“防御”、“检测”、“溯源”、“预测”。ASA强调了安全防护是一个持续处理的、循环的过程,防御可以提高***门槛,但不能阻断所有的***,应对那些透过防御措施的***,细粒度、多角度、持续化的监控是发现阻断***者,减少损失的第二道措施,也就是说,ASA提升了应急处理在安全保障体系的作用,是应对高级威胁的主要手段。
“花瓶”模型V5.0吸纳了ASA的自适应、大监控思想,在安全管理平台的基础上,建立了安全态势分析与展示,支持强大的监控分析平台,当然在底层架构上离不开大数据技术的支持。