从1986年世界上第一个流行计算机病毒C-Brain的诞生算起,信息安全发展已经走过了30个年头。其间,无论是安全威胁还是ICT技术应用都发生了巨大的变化。
从终端访问互联网的随机病毒感染,到基于网络以及WEB弱点而主动发起的网络攻击,再到近来利用零日漏洞的有针对性的APT渗透,可以说黑客攻击手段趋于高级化、智能化,目标性更强。与此同时,经济全球化、竞争加剧以及专业分工协作,ICT发展从单机时代,到互联网时代,再到如今以BYOD、物联网、云计算、大数据为特征的全联接时代,企业和组织正在使用更加敏捷开放的系统,从而提高效率、开拓创新、增加生产力。而这也造成了一些新的漏洞和安全隐患,当今的攻击旨在利用我们高度互联的ICT基础架构的弱点。
威胁在变,ICT环境在变,面对如此严峻的形势,信息安全如何应对?本文从技术方案角度给出在新的威胁趋势、ICT环境下,信息安全防护应该采取的变革举措。
“脚踏两张网”的安全防护
基于边界的防护模型由来已久。在过去,我们的企业网络都是有明确的物理边界的,主要是互联网边界以及内网PC终端边界。物理边界内相对比较可控,只要在这两类边界设卡监控,做好攻击以及泄密防护,企业网络的安全就有了基本的保障。
BYOD的引入打破了这个局面,移动设备既能够访问内网又能脱离内网自由访问互联网,导致原来的内网物理边界荡然无存。这种“脚踏两张网”的特点会带来两个安全问题:一个是泄密,企业数据通过BYOD终端暴露在互联网上,很容易泄漏;一个是攻击,BYOD在公司外无安全保障的互联网环境里遭到感染的几率很高,当BYOD接入内网时,这些威胁很容易被带入内网发起攻击。问题的核心是,由于没有明确的边界以及归属,无法用基于边界防护的思想来解决BYOD安全问题。
对于BYOD的防泄密,业界主要采用安全沙箱技术,本质上是一种基于逻辑边界的隔离技术。通过这种技术,在BYOD终端设备上创建独立的安全存储区,保证企业应用数据封闭隔离,而个人互联网应用是无法访问到的。通过与企业后端系统建立应用专属VPN,数据直接在本地应用层开始加密,防止本地网络层窃取,同时防止不安全的互联网环境的通信窃听。
对于BYOD的防攻击,大家可能会想到在园区网络的接入边界点做防护。由于BYOD的移动性,在园区内网随地接入,引入内网的威胁路径并不固定,而企业不可能在每个接入点都部署安全设施,复杂性和设备成本都是难以承受的。其实这还是深受基于边界防护思想的影响。当前一个针对性的解决方案就是基于网络构建安全资源池,将不安全的终端或用户流量引入进行安全清洗。通过安全资源池化,安全设备的部署不受物理边界限制,按需灵活调用安全能力,同时也提高了安全资源利用率。事实上,这种方案不仅适用于BYOD场景,对于不安全的访客、哑终端、物联终端等难以基于边界防护的场景都能做到很好的防护。
基于大数据的全网安全协同
现在我们的网络里已经部署了多“兵种”安全设施,像防火墙、入侵检测、防毒墙、流量监控、日志审计系统等等。但每一种只能在各自的领域发挥作用,解决单点问题,而且这些传统检测技术往往基于静态签名,只能识别已知攻击特征,对付APT这种利用零日漏洞、逃逸检测、动态持续性的高级未知威胁已经显得力不从心。事实上,在近来全球发生的重大信息安全事件中,多数都具备APT的特征,如著名的Google极光攻击泄漏、席卷工业界的Stuxnet震网攻击、RSA SecureID窃取攻击等。魔高一尺,如何道高一丈?
面对高级威胁,必须采取高级防御措施。沙箱检测与大数据分析技术已经被证明是对付高级威胁的有效手段。这方面,一些先进的安全厂商已经走在了前列。从大部分APT攻击序列看,往往需要终端主动或被动下载恶意文件,APT检测沙箱是一种模拟终端环境的文件恶意行为分析技术。当然检测效果如何,关键还是看沙箱能模拟的操作系统、浏览器、文件系统、文件类型的丰富性以及恶意行为特征的质量。而随着大数据分析技术的逐渐成熟,通过感知威胁情报、日志、事件、网络流等全情境的安全信息,进行大数据的建模与整合分析来发现异常行为也被一些企业尝鲜采用。它的独到之处是几乎能看到网络中所有发生的行为,基于正常模型以及离散行为关联分析来从中寻找异常的蛛丝马迹。需要说明的是,这种技术不仅有助于发现APT,还可以识别其它一些泄密、离散的恶意行为。
至此,我们通过整合全网的安全信息,找到了识别APT等高级威胁的方法。但是如何阻止这些高级威胁呢?具有流量制动能力的往往是网络中的关键节点,比如终端、网络设备、安全设备。这就需要大数据安全平台能够与这些控制点进行联动,通过告知控制点恶意行为的用户信息或者流量特征,由控制点来进行阻断或者隔离防护。如此,通过基于大数据的全网安全协防,才能有效识别并抵御高级威胁。
安全工程师的春天,运维部署简化
安全固有的复杂性,使得安全管理和运维对专业性要求很高。全联接时代,无论是终端类型、接入方式、用户角色都是多种多样,接入场景愈发复杂,加上不同接入设备的配置风格不一,使得基于IP/VLAN接入控制策略变得异常复杂;对于网络中主打的安全设施下一代防火墙,为了做到精细化的控制,从由IP、端口、协议的四层配置,增加到用户、应用、内容、威胁、位置的七层配置,随之而来的管理维度和复杂度也大为增加。另一方面,大数据时代海量日志事件的淹没以及安全的不可见,导致安全危机处理决策支撑不足,管理者难以进行快速准确的研判,运维人员无法准确识别真正的高危安全事件并及时响应。现实情况下,企业的安全团队人员往往还编制不足,靠人工手动机械的部署运维根本力不从心,这就要求安全部署和运维能够尽量自动化,简化安全。
对于策略部署,采用智能化的策略组件是一个解决之道。管理员只要将接入源组和访问目的组定义好,并设定他们之间的安全策略,系统会自动翻译并下发到各个接入设备;通过预置的模板以及流量学习自动调整优化策略,可以轻松驾驭下一代防火墙。这种智能化的安全策略,将管理员配置工作由数小时/数天降到分钟级,大大简化安全部署。
对于安全运维,可以通过态势感知和可视化来提高管理和运维效率。安全监控平台通过全网日志事件采集、上下文感知和自动分析计算评估,宏观上全面、准确地呈现全网安全状况,支撑管理者决策;微观上呈现APT攻击、数据泄漏等关键安全事件,并融合资产环境信息,冒泡高优先级安全事件,加速运维人员响应速度。
结束语
不管信息安全怎么演进和改变,我们的初心不变,那就是:安全要促进业务、为业务服务,而不应成为前进道路上的绊脚石。而所有这些变革也正是为了达成一个使命:让安全更敏捷地为业务服务。
