论封闭网络的安全

这两天Heart bleed漏洞在互联网上掀起了轩然巨波,作为基础安全软件的重大漏洞,影响深远,各大互联网公司、甲方、乙方、白帽子甚至央视等媒体全都行动起来,同仇敌忾,竞相测试、打补丁、升级、报道宣传......,大家忙得不亦乐乎,给广大网民很好地科普了一把信息安全。


与沸沸扬扬的互联网安全相比,物理隔绝的企业、政府等封闭网络似乎显得静悄悄,关心和了解该漏洞的人估计屈指可数,采取的行动也一定没有互联网来得热烈。因为封闭,表面上没有乱七八糟的威胁,也没有技艺高超的黑帽子和白帽子测试带来的压力,封闭网络的网管们一定没有动力加班熬夜在第一时间补上漏洞。而这种情况,也绝不是第一次出现。


不同于开放的互联网,物理隔绝的封闭网络没有那么多的用户、没有那么多的应用、没有讨厌的黑帽子和白帽子。然而,这并不代表封闭网络高枕无忧,Openssl作为基础的安全库,很可能在操作系统、web应用、设备远程配置、甚至应用安全网关中广泛涉及。由于缺乏在光天化日之下的考验,缺乏与攻击者的共同进化,封闭网络存在的安全漏洞与开放网络相比一定过之而无不及。


因此,对于封闭网络的安全,首先需要有可控的“邪恶”力量对其内部进行渗透性测试,就像猫和老鼠的共同进化一样,封闭网络的防护也不能没有“天敌”。至少,封闭网络应该对照已公开的漏洞,对其进行弥补,这是封闭网络安全的底线。遗憾的是,现实中,有的封闭网络可能连这条底线都无法满足,却要追求所谓的“自主可控”,殊不知,缺乏审查和考验的私有设计更不值得信任。


除了在威胁发作第一时间打补丁、堵漏洞、升级特征库以外,封闭网络的安全还应该注重基于白名单的控制方式,如对用户进行认证授权、对终端进行准入控制、对应用进行分发管理......,非白即黑,没被允许的即默认禁止。这也是许多封闭网络通常所采用的。然而,这里面仍然存在着两大难题。首先是白名单的管理问题,终端和用户的白名单尚可解决,难得的是应用,现代操作系统之上的应用可谓汗牛充栋,一旦封闭网络的规模和用户大到一定程度,几乎无法对应用实施白名单,这也不是技术上的难题,难得是安全与业务可用的平衡。更难的还是白名单的判断问题,何为白?合法用户、合法终端、合法应用真的就值得信任吗?一次判断以后是否就可以高枕无忧,这里的关键还在与对其异常的持续检测,内部人员作恶、合法终端和应用带有的0day,特别是在APT的大背景下,高价值的封闭网络几乎难以幸免攻击,这更需要对在封闭网络中获取各种信息进行精准分析。DARPA的主动认证项目根据用户内部网络中的行为如敲键方式、软件操作习惯、甚至在面对异常时的反映来对用户进行持续的认证,甚至有望取代CAC认证卡和口令,这应该是封闭网络安全的发展方向。


最后,由于漏洞总是客观存在,封闭网络作为高价值目标,难以做到防护的万无一失,转而应该借鉴可靠性的一些设计思想,瞄准在遭受攻击后关键业务仍然可用为目标,Mitre将这方面的设计思想称之为网络空间弹性Cyber Resiliency。冗余、跳变、关键系统的分割、沙盒、对攻击的重定向、非持续的提供服务,都是具体的弹性机制。这方面的研究且听下回分解。

你可能感兴趣的:(网络安全;弹性;白名单)