网络安全是一个永远的话题。攻击手段在变化,攻击对象在变化,攻击技术也在变化。目前,唯一不变的,就是对恶意攻击的坚决抵抗和不妥协。
自从去年中央网络安全和信息化领导小组成立以来,网络安全在国内掀起了一股前所未有的热潮。回首过去,我们看到,在已经走过的2014年,信息安全市场正在逐渐成长;再看今朝,我们看到国内众多安全厂商纷纷“摩拳擦掌”布局网络安全领域。
近日,网康科技更是重磅推出《云管端下一代网络安全架构白皮书》,内容涉及攻击者如何突破防御体系,传统网络安全防护体系无法应对新的安全威胁、云管端下一代安全架构等多方面的分析和研究,是业界首个针对下一代网络安全架构展开深入研究的白皮书。
传统网络安全理论遵循一个重要的原则:安全威胁是由具体的安全漏洞导致的,而所有漏洞都是具体存在的,是可识别、检测的;基于这个假设,完整的防御体系的核心功能就是对漏洞的精确识别与检测,在此基础上,由安全策略驱动对风险进行告警和阻断,构筑清晰明确的安全边界。这也是为什么很多测评机构都将漏报率/误报率作为衡量安全防护设备优劣的一个重要指标。这种安全理论基于一个重要假设 – 假设信息资产面临的风险是可以充分评估预知的。而对于没有明确特征的0-day或APT攻击,传统安全理论模型束手无策。近几年来几次比较严重的有组织网络安全攻击,如震网病毒、eBay用户信用卡信息泄露事件,都是利用了传统安全防御手段无法检测未知威胁这一致命弱点。事实上,即使安全厂商能够及时维护足够全面足够精确的检测特征库,先有攻击事件后有检测特征这一事实决定了传统安全设备只能是被动的防御设备。
云管端下一代网络安全架构,是网康科技遵循PDFP模型,网康率先践行的应对高级威胁的网络安全架构。(关于PDFP安全模型,P2DR防御模型参考后文附录)。
除了提供云沙箱、云查杀、云信誉评估等基础服务外,还针对终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,使溯源取证与风险预测可视化。
除了部署对外的防御设备(下一代防火墙,上网行为管理,WAF等),还应在内网部署行为审计设备,加强内部人员违规行为监控;
包括PC、服务器、智能移动终端,是距离应用系统和数据最近的设备,是重要的风险引入点,需要部署杀毒和管控策略(360天擎,天机);
为了应对未知威胁和高级威胁,下一代网络安全架构需要从应用和内容层面深入理解网络的变化,从全局视角分析各种异常网络行为之间的关系。以下5项是下一代网络安全架构的关键能力。
安全产品必须能够识别用户、应用、内容,并根据时间、地点、频率等信息进行模型分析,比如,在一个普通的网络环境,连续几天检测到夜间2点开始有主机连接国外URL,则很可能是发生了泄密行为。
威胁情报是第三方专业安全机构提供的高级服务,对于企业组织防护最新的已确认的网络攻击很有帮助。一个典型的应用:威胁情报提供了Command & Control 服务器的IP地址,防火墙对于与该IP发生的任何连接可直接阻断。
PDFP安全模型认为内网不再可信,甚至是零信任(zero-trust)网络,要求对内网人员进行认证识别、行为审计、基线行为建模、异常行为识别报警,降低由于人员行为不当导致的安全隐患。
孤岛防御容易被绕过,因此需要对终端和边界设备赋予智能,使他们能够同步信息,互相配合,以应对不断变化的IT架构和复杂的网络风险。
面对未知威胁,只有采用云计算和大数据分析技术,才能从根本上解决数据来源广泛性、数据充分性、分析模型有效性的问题。其中建模分析尤为重要,数据不经有效的分析就永远是数据,甚至是垃圾数据。除了传统的统计、聚类、贝叶斯分析外,前沿厂商都在尝试全局关联分析、启发式机器学习等分析模型。
相比传统以边界防护为核心、相互孤立的网络安全体系,云管端下一代网络架构具有明显的优势。
赋予了终端设备和边界设备应有的智能,不再依赖本地静态特征库/策略库,可以实时感知网络威胁的状态并做出调整,防御能力大幅提升。
云管端联动机制,使得网络安全具备了全局可见性,防御方式也从孤岛模式演进为协同模式,从而能够有效防御已知威胁和未知威胁。
网络安全始终都是大型组织投入的重点,云管端架构使买“安全感”真正变成了买“安全”,实现价值落地,提高了网络安全投资回报率。