数据驱动安全架构升级—“花瓶”模型迎来V5.0(一)

数据驱动安全架构升级“花瓶”模型迎来V5.0

 

Jackzhai

 

一、背景

近十年,可以说是网络技术大发展的十年,云计算、大数据、移动互联、物联网等新技术逐渐成熟,社交、电商、智慧城市现实社会正在全面走进网络所构建的虚拟世界,网络正在成为人们吃穿一样不可或缺的“生活必需品”。

随着网络承载的事务越来越丰富,面临的安全威胁也越来越多,发生网络安全问题的损失与波及的范围也在不断升级。总结起来有以下几个方面:


  1. 网络安全国家化:美国把网络与陆海空并列为国家主权领土四大领域之一,互联网开始有了“国家疆界”,虚拟世界里不仅有了警察,还有了军队,网络战争的硝烟正在席卷我们整个地球村。各国的网络部队储存了大量漏洞,作为政府间******的网络武器,漏洞成为“武器商品”在进行交易,技术共享范围越来越小;

  2. 灰色产业链化:有钱有利的地方就容易被***,某些人的政治利益,企业之间的恶意竞争,个人隐私信息的偷窃……***技术已经完全市场化,产业链进化得相当成熟,开发***、***网站、传播***、定向获取信息、非法信息交易黑市、诈骗组织专业公司、银行卡提钱公司……产业链成熟的后果,是有充足的资金再投入到各种***技术的开发,***从业大军人才济济,行业运营效率越来越高;

  3. 白帽子市场化:有黑帽子从业赚取金钱,就有白帽子义务保护,虽然处境“同样危险”,但在黑白两道同时推动下,漏洞挖掘成为空前的热门高技术产业,有些像冷战时期的军备竞赛,说不清是福是祸,客观上推动了漏洞商品的高产。为了应对日益恶化的网络安全局势,***人才培训、漏洞挖掘大奖、商业白帽子众测……***技术人员成为很多企业、政府的急需招聘人才。


 在网络安全技术方面也较大的变化,让***有了更多的思路与角度可以***,更高级且隐蔽的方法可以选择:

  1. 云计算促进服务集中化:云计算服务以虚拟化技术支撑,建立庞大的数据中心,其内部的网络边界模糊化,尤其是信息系统之间边界。传统安全保障思路是基于边界的访问控制,如今边界从网络层收缩到应用层,大家在一个房间了,访问可以,控制难喽。一句话:家大人太多了,不好管啊;

  2. 移动互联普及化:随着4G移动技术普及,社交软件从PC转移到智能终端,手机号成为现代人的第二张“×××”,且是实时在线的,人人都可以在互联网上“被直播”,个人信息安全成为全社会关注的热点,位置、照片、私人聊天

  3. 物联网与智慧城市:计算机与计算机、计算机与人、人与环境……地球上的万物互联网络在短短的几十年,就***到地球上的每一个角落,动的,静的,有生命的,没生命的网络发达的结果,是数据的极大丰富,多得没有人能看得过来,想找自己需要数据也不容易,由此催生了大数据技术的变革。用大数据管理海量数据,利用大数据关联分析每个物体的行踪,发现那些隐藏的***者,大数据成为***双方的新技术工具;

  4. 加解密再次成为焦点:安全从开始就离不开加解密技术,为了安全需要加密信息,让别人看不懂;为了能监控网络信息,看懂网络上传输的信息,就需要解密。美国“棱镜门”事件曝光了政府监控,让所有的人都认为,端到端的信息源加密是将来必然的选择。但加密与解密技术对抗已经不同于以往,一方面,云计算可以提供超强的口令破解计算能力,大数据关联分析能够有效缩小的口令破译的空间,传统的加密算法受到极大挑战,无论是否公开你的算法,还是选择更长的密码,被破译都是迟早的事情。另一方面,新型加密技术发展缓慢,同态加密,量子加密等新模式加密技术何时商用是业界极为关注的。能够为广大物联网用户提供频繁加密,也是传统密码技术面临的难题,因此,建立为个人服务的商用密码服务中心,让每个人可以动态选择加密算法与密钥长度,能够方便地在各种社交网络上实现端到端的加密通信,是密码应用模式面临的变革。


 总结起来,就是针对性强的高级威胁成为网络安全的主流,以炫耀为目的的学生***不再是安全防御的重点。一方面经过多年网络安全宣传与建设,多数网络具备了一定的防御能力,提高了******的技术门槛;另一方面,***更加有针对性,技术含量更加提高。前几年APT一词很流行,随之而来的应对产品技术也走进人们的视野,沙箱技术、威胁情报、安全大数据分析……但是,人们还是感到APT防御的难度实在太大,业界开始悄悄流行“高级威胁检测”一词,尽量少提APT,先一步一步来吧。

 “花瓶”模型发布于2007年,被作为网络安全保障方案设计的参考模型,可以比较好地让方案设计者分析用户安全需求,部署网络安全措施,构建符合等级保护技术标准的保障方案。十年过去了,“花瓶”模型也随着***技术、新应用模式部署而不断的升级进化。“花瓶”模型V5.0是又一次较大技术架构与安全理念变化的升级。

 

二、“花瓶”模型V5.0的思路进化


“花瓶”模型是一个网络安全保障方案设计参考模型,基于PDR模型的动态防御思路,建立事前防御、事中响应阻断、事后审计改进的“三线一平台”的多维立体纵深防御体系,并在***对抗过程中进行自学习、自完善,形成闭环管理控制。“花瓶”模型给出了每条线上的安全产品选择组合建议,可以让方案设计者方便地编写保障方案,并确保方案的有效性、合规性、可落地性。

随着安全技术的发展,“花瓶”模型也需要进化,融入最新安全技术,适合最新网络环境与应用。“花瓶”模型V5.0升级的核心理念变化如下:


  1、  逻辑分层抽象:为了适应网络虚拟化,用户终端漫游等新业务模式,“花瓶”模型引入进一步的分层逻辑,这包括三个角度:

  a. 网络层分离为物理的和逻辑的:网络传输的是流量,网络的安全实际上是其流量传输的安全,网线只是物理传输媒介,虚拟网络没有物理媒介。物理网络以网线为标签,IP路由转发,逻辑网络以信息系统流量为标签,采用流量控制方法,建立协议封装通道,实现策略路由转发。运维使用的网络拓扑图也分为物理的与逻辑的,物理网络拓扑图与传统是一致的,逻辑网络拓扑图是抽象的。物理网络拓扑中,各个信息系统交织在一起,逻辑网络拓扑中,每个信息系统内部结构清晰,信息系统之间边界明确;

                             数据驱动安全架构升级---“花瓶”模型迎来V5.0(一)

  b. 网络行为与信息内容分离:随着业务传输加密技术普及,通过网络流量还原传输内容,进行内容安全检测的方法,越来越受到限制;随着带宽指数级增长,对流量进行深度分析的成本也越来越高。“花瓶”模型将用网络行为分析与内容安全监测分离,即网络层与应用层分开。网络行为是网络层面的,关注数据的包头信息,即用户网络访问的通联关系,也可以通过资产信息库,把IP与业务信息系统、用户关联起来,形成用户行为跟踪。应用层的内容安全,回溯到×××设备后的流量深度分析,或者回溯到终端或服务器内做内容检测,即信息解密之后再检测。体现在“花瓶”模型中,就是监控体系的部署模式有较大变化,用户行为审计分为网络行为大数据分析与业务流程大数据分析;

  c. 身份认证与信息系统分离:身份认证是授权管理的基础,是用户行为审计落地的基础。随着业务信息系统越来越多,分散的身份管理、授权控制方式越来越复杂,尤其是人员角色变动时,变更授权的工作量难以想象。将身份认证与信息系统分离,建立统一的身份认证与授权管理系统,已经成为建立网络信任体系的基础实施需求。


  2、  数据驱动安全:在网络建设初期,安全是靠事件驱动的,病毒、蠕虫、泄密、宕机……安全就是应急救火;随着业务信息化发展,等保标准、风险评估业务开始驱动安全保障建设,防御、监控、信任“三线一平台”体系的建设,三分技术,七分管理,网络安全成为常态化管理一部分;威胁来自于对价值的渴望,随着网络承载的业务越多,价值越高,面临的安全威胁就越大。安全防御体系也越来越复杂,海量的日志数据需要分析,复杂的流程操作行为需要审计,网络安全进入到“数据驱动安全”时代。大数据技术的出现,加速了这一进化过程,这体现在网络安全的两个方面:


  1. 安全大数据:应用大数据处理、分析技术,应对网络安全面临的新问题,即高级威胁的检测。无论是对未知文件的沙箱检测,还是基于流量的网络行为分析,还是基于日志的业务行为审计,不仅需要支持海量数据的快速收集、存储、查询,而且需要基于******行为建模,对***者画像,多维度的属性关联分析;

  2. 大数据安全:数据大集中本身就吸引了更高级别的***者关注,围绕数据自身价值的窃取与泄密,加剧了对新型数据中心的各种***。业务信息系统数据的集中,其价值很直接;详细的网络行为数据记录隐含了个人隐私,集中的业务日志可以分析企业业务逻辑的商业秘密大数据建设导致数据中心的安全等级持续上升;

“花瓶”模型V5.0将安全管理平台中的数据处理与分析运维分离,形成底层的“数据湖”,支撑上层实现了基于大数据的各种安全分析。


  3、  安全态势感知:引进虚拟化、大数据,是“花瓶”模型利用新技术,应对高级威胁。落实到“花瓶”模型建立的立体纵深防御三条线中,监控这条线明显变大。应对高手,应对未知的新威胁,监控与信任体系是重点。


  a. “知己”:态势感知的第一步是搞清楚目前网络上的状况,资产、漏洞、设备状态、应用现状、敏感数据位置更为重要的是,目前用户的状态,从哪里接入、什么方式接入、访问啥业务、是否涉及敏感信息、是否涉及敏感操作

  b. “知彼”:了解对手,仅从自己网络上挖掘是不够的,从外部渠道获取安全信息,统称为威胁情报。威胁情报很诱人,但实现很困难,主要是信息种类杂,来源广,获取难,对自己真正有价值的情报很难找:

   i.             与威胁情报相关的信息很多,如漏洞信息、新的恶意代码样本、安全事件、***者组织、新型***技术、新出现的***工具、恶意URL地址、钓鱼网站、泄漏的敏感信息……如何将这些信息规范化,自动化收集、聚类,再推动给需求者,需要多方面的协作,即威胁情报标准的确立是关键;

   ii.             如何使用威胁情报也是个很现实的问题。将收集来的,或是买来的威胁情报,如何变成用户“有用”的信息,需要操作者不仅能解析威胁情报的实质内容,而且熟悉自己网络的“家底”,了解这个情报对自己的威胁究竟是什么,从而给出相应的建议。如收到一个新漏洞信息,根据资产管理,立即可以检测网络内哪些系统有这个漏洞,如何立即部署防御措施;再如发现一个恶意URL是某***回传的站点,立即通过网络流量或终端日志,检查网络内哪些终端已经“沦陷”,即已经有联系了该URL;再比如发现一个新***文件,通过流量还原或终端搜索,检查网络内哪些终端被攻陷,立即给出感染态势,部署查杀;

  iii.             威胁情报共享是大家都希望的,上至国家,下至企业,但高价值的威胁情报往往成为网络战储备的武器,或者转化为安全服务者的竞争优势,即使是有偿共享,也局限在小范围内。目前的现状是这样的:一方面是低价值、甚至虚假的海量无用情报到处充斥,一方面是针对性有价值的情报难以收集到。因此,建立一个大数据分析平台,从中挖掘自己有用的情报是必要的。


  c. 辅助决策:掌握实时的安全态势不仅可以为应急指挥提供监控服务,而且可以对方案的效果进行预测推演,安全态势预测,为领导的决策提供依据。

 

不仅是新技术的融入,新观念的吸纳也是“花瓶”模型改进的重点。“花瓶”模型是基于PDR思想设计的,针对安全事件的发生的过程进行纵深防御,分为事前策略防御、事中监控响应、事后审计改进三个部分,并形成一个可循环的,可以自我改进学习的闭环的、螺旋式上升的过程。“花瓶”模型V5.0在此基础上,又吸收了最新安全思想,丰富完善了安全保障的架构设计。主要体现在对下面两个模型思想的吸收引进。

  (1)滑动标尺模型

数据驱动安全架构升级---“花瓶”模型迎来V5.0(一)

滑动标尺模型是网络安全保障建设的进化模型,它应用于网络安全建设者自我完善发展过程。从最初的基础架构安全建设,到被动的合规性防御,再到业务驱动的,以监控为核心的积极防御,最后到采集威胁情报进行安全态势分析,掌控全面安全局面,最后发展就是具备反制进攻能力的进攻性防御阶段。每个阶段的建设都是依据前一阶段的基础,所以称为叠加演进。“花瓶”模型比较适合于前三个阶段,尤其是第二阶段的被动防御阶段,构建纵深防御体系,但因对高级威胁能力有所欠缺。“花瓶”模型V5.0进行了改进,弥补了这一不足,加强了监控与审计能力,符合第三阶段的积极防御需求,并引进了大数据技术、威胁情报技术,适合第四阶段的建设。

在经历了近十年的等保推广工程,以及2017.6.1网络安全法的正式实施,大多数用户的安全管理建设已经进入到第二阶段后期,有些行业已经到了第三阶段的后期。在这个时候,“花瓶”模型V5.0的推出,正好为用户提供了所需的方案设计参考。


 (2)自适应安全架构

数据驱动安全架构升级---“花瓶”模型迎来V5.0(一)

 Gartner2014年提出了自适应安全架构(ASA),把安全防护看作“感知评估预测”的一个完整过程,可以理解为四个象限,即“防御”、“检测”、“溯源”、“预测”。ASA强调了安全防护是一个持续处理的、循环的过程,防御可以提高***门槛,但不能阻断所有的***,应对那些透过防御措施的***,细粒度、多角度、持续化的监控是发现阻断***者,减少损失的第二道措施,也就是说,ASA提升了应急处理在安全保障体系的作用,是应对高级威胁的主要手段。

“花瓶”模型V5.0吸纳了ASA的自适应、大监控思想,在安全管理平台的基础上,建立了安全态势分析与展示,支持强大的监控分析平台,当然在底层架构上离不开大数据技术的支持。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/195721.html

(0)
上一篇 2021年11月16日
下一篇 2021年11月16日

相关推荐

发表回复

登录后才能评论