那么,瞻博網(wǎng)絡(luò )的軟件定義安全網(wǎng)絡(luò )(SDSN)解決方案如何幫助您做好新IT基礎架構環(huán)境下的企業(yè)信息安全規劃的呢?
安全事件盤(pán)點(diǎn)
我們簡(jiǎn)單的盤(pán)點(diǎn)一下自2016年下半年以來(lái),全球大型的安全事件:
- 2016年9月,Yahoo被曝5億用戶(hù)賬戶(hù)泄露;
- 2016年10月,史上最大的DDoS攻擊,惡意軟件Mirai控制的物聯(lián)網(wǎng)設備攻擊導致了大半個(gè)美國的網(wǎng)絡(luò )癱瘓;
- 2016年12月,Yahoo再次被曝另外10億用戶(hù)賬戶(hù)泄漏;
- 2017年2月,Google宣布攻破SHA1,SHA1加密不再安全;
2017年2月,知名云安全服務(wù)商Cloudflare被曝泄漏用戶(hù)HTTPS網(wǎng)絡(luò )會(huì )話(huà)中的加密數據長(cháng)達數月。
從這些事件可以看出,很多安全問(wèn)題沒(méi)有得到足夠的重視,比如物聯(lián)網(wǎng)安全,當我們家用的空氣凈化器、電飯鍋被黑客用于DDoS攻擊時(shí),我們甚至都不知道如何去給它設置一個(gè)密碼。黑客組織在技術(shù)上始終保持著(zhù)領(lǐng)先,戰略上始終保持著(zhù)主動(dòng),作為被動(dòng)防御又缺乏安全專(zhuān)業(yè)技術(shù)的普通公司,企業(yè)信息安全似乎成了一個(gè)偽命題了。
有一種觀(guān)點(diǎn),認為物聯(lián)網(wǎng)和企業(yè)安全距離還有點(diǎn)遠,有的企業(yè)網(wǎng)絡(luò )是完全隔離的內網(wǎng),比如傳統的銀行。那么完全和Internet隔離的內網(wǎng)似乎就沒(méi)有問(wèn)題了嗎?這也是物聯(lián)網(wǎng)安全沒(méi)有得到足夠重視的原因之一。類(lèi)似的觀(guān)點(diǎn)還有,有的企業(yè)IT基礎架構主要依靠公有云,公有云自身有很強的安全保障,公有云還可以提供很多安全服務(wù),不用擔心安全問(wèn)題。而無(wú)數的歷史經(jīng)驗證明,沒(méi)有問(wèn)題往往意味著(zhù)更大的隱患。
企業(yè)網(wǎng)安全的嚴峻形勢
以Yahoo事件為例,兩次被曝出5億和10億用戶(hù)賬戶(hù)泄漏,尚且不知道有沒(méi)有重疊,如此龐大的用戶(hù)賬戶(hù)泄漏,為什么Yahoo沒(méi)能防止,甚至是沒(méi)有察覺(jué)到?一種說(shuō)法認為,黑客組織采取了一種被稱(chēng)為緩慢出血(Slowbleed)技術(shù),少量的數據難以被察覺(jué)的持續流出,經(jīng)過(guò)數周、數月甚至數年時(shí)間,流出的數據在外部組合起來(lái)得以如此龐大。
從Yahoo事件可以得到幾個(gè)關(guān)鍵詞——高級威脅、持續、內部,而這正是傳統的企業(yè)網(wǎng)安全模型薄弱的環(huán)節。傳統的網(wǎng)絡(luò )安全是在網(wǎng)絡(luò )的出入口部署安全設備,如防火墻、入侵防護、應用安全控制等等,也就是邊界安全模式。
邊界安全模式有這樣幾個(gè)特點(diǎn):
- 認為邊界內部是安全的,外部是不安全的;
- 認為流量超出一定閥值是有問(wèn)題的,持續平穩的流量是正常的;
- 命中已知的漏洞、惡意代碼是有風(fēng)險的,正常的業(yè)務(wù)流量是安全的。
高級威脅主要的實(shí)現方式是通過(guò)精心偽裝的惡意軟件(Malware),并不一定是程序,可能只是一個(gè)Word文檔,穿過(guò)邊界到內部主機,再由內部主機主動(dòng)連接外部的控制主機(C&C Server),因為內部訪(fǎng)問(wèn)外部默認是安全、不加限制的,使得CC主機得到控制權后,就可以為所欲為了。因此,在傳統安全模式下,對高級威脅是無(wú)力防護的,同樣無(wú)法防護的還有零日攻擊(Zero day attacks)。
對于云安全,公有云提供商的關(guān)注點(diǎn)往往在云基礎設施的安全性和可提供的安全服務(wù)上,對于用戶(hù)使用云過(guò)程中的安全問(wèn)題,是缺乏關(guān)注的,比如典型的“帳號劫持”問(wèn)題。另外混合云架構會(huì )為企業(yè)網(wǎng)絡(luò )帶來(lái)一個(gè)私有云與不同層次的公有云(SaaS、PaaS、IaaS等)之間復雜的連接,如何做好安全控制和降低風(fēng)險,是一個(gè)更大的挑戰。
軟件定義安全網(wǎng)路
瞻博網(wǎng)絡(luò )的軟件定義安全網(wǎng)絡(luò )(SDSN)解決方案,提供了一個(gè)很好的思路。瞻博網(wǎng)絡(luò )SDSN倡導從“網(wǎng)絡(luò )安全”到“安全網(wǎng)絡(luò )”的轉變,也就是無(wú)邊界安全或者零信任安全模式其核心思想是認為網(wǎng)絡(luò )中的每一個(gè)節點(diǎn)都是獨立的安全邊界,都可以進(jìn)行安全威脅的檢測和防護動(dòng)作。我們做一個(gè)形象的比喻,就如一棟大樓由只在入口設置安保人員,變成為每一個(gè)房間、甚至每一個(gè)人設置一個(gè)私人保鏢保護。
SDSN解決方案由三部分組成:
- 網(wǎng)絡(luò )基礎設施:包括數據中心、園區網(wǎng)、分支機構等所有的網(wǎng)絡(luò )設備,包括防火墻、路由器、交換機等(物理的和虛擬的)。
- 安全策略控制平臺(Policy Engine):對上負責收集威脅情報信息(C&C、GEOIP、Custom等),對下負責下發(fā)安全策略至網(wǎng)絡(luò )節點(diǎn)。
- 云端高級威脅防御系統:上層是瞻博網(wǎng)絡(luò )的黑科技產(chǎn)品,基于云的高級威脅防御系統Sky-ATP,Sky-ATP是一個(gè)全面的威脅情報平臺,全流程使用了機器學(xué)習(Machine learning)技術(shù),首先包括傳統的特征碼檢測;其次防病毒部分采用多個(gè)第三方的殺毒引擎,并整合多方病毒庫用于機器學(xué)習;以及靜態(tài)檢測和動(dòng)態(tài)檢測,檢測功能整合了瞻博網(wǎng)絡(luò )特有的蜜罐技術(shù),可以誘導識別惡意攻擊,同時(shí)支持云端沙箱(Sandbox)技術(shù),可使深度隱藏的惡意軟件現形。
除了自身探測的威脅情報,Sky-ATP系統可以接收來(lái)自第三方安全機構的情報,實(shí)時(shí)共享,同時(shí)支持『定制情報』的輸入(Custom feeds)。
- SDSN工作流程:以園區網(wǎng)場(chǎng)景為例,出口的SRX防火墻接收到來(lái)自Sky-ATP的威脅情報信息,進(jìn)行實(shí)時(shí)檢測,當發(fā)現某主機主動(dòng)連接某外部的CC服務(wù)器時(shí),即上報策略平臺PE,PE通過(guò)接入層交換機的擴展服務(wù),可以獲取受感染主機(Infected host)的MAC地址,PE實(shí)時(shí)下發(fā)ACL到接入層交換機連接該感染主機的接口,實(shí)時(shí)將該主機攔截(Block)。
SDSN的應用場(chǎng)景還有數據中心、運營(yíng)商邊界網(wǎng)等,包括虛擬化數據中心的虛擬分區間安全控制,運營(yíng)商邊界Cloud CPE設備上部署的虛擬安全服務(wù)管控等,本文旨在探討企業(yè)網(wǎng)安全規劃的思路,方案部分不再做詳細的分享。
值得一提的是前文提到的銀行網(wǎng)絡(luò )問(wèn)題,視乎和Internet隔離就安全了,同時(shí)來(lái)自Internet的威脅情報,諸如CC主機信息等對于內網(wǎng)來(lái)說(shuō)也沒(méi)有價(jià)值。事實(shí)上對于行業(yè)用戶(hù)來(lái)說(shuō),需要的是針對自身網(wǎng)絡(luò )的威脅情報,比如一個(gè)Web Server某一天突然主動(dòng)發(fā)起了一個(gè)FTP會(huì )話(huà),可能就是一個(gè)有價(jià)值的威脅情報,而這樣的情報沒(méi)有任何外部資源可以提供,這就需要行業(yè)用戶(hù)自己挖掘。
目前有一些安全公司已經(jīng)在提供用于威脅情報挖掘的大數據平臺解決方案,而部分行業(yè)客戶(hù)已經(jīng)開(kāi)始部署。自己挖掘數據有一定的滯后性,但經(jīng)過(guò)一定時(shí)間的積累,是能夠真正起到作用的有效投入。而前文提到的SDSN支持的定制情報特性(Custom feeds),在此場(chǎng)景就可以很好的融合,通過(guò)將大數據平臺挖掘的情報輸入給PE,PE可以進(jìn)行統一管理,或者實(shí)時(shí)下發(fā)策略給網(wǎng)絡(luò )節點(diǎn)進(jìn)行攔截,就成為一個(gè)行業(yè)專(zhuān)用的實(shí)時(shí)威脅防護平臺。
要點(diǎn)
軟件定義安全網(wǎng)絡(luò )并不只是一個(gè)口號,同時(shí)帶來(lái)了一些很好的思路,簡(jiǎn)單總結如下幾點(diǎn),可以作為企業(yè)信息安全規劃的參考:
1. 獲取威脅情報
在高級威脅面前,作為防護者,技術(shù)是永遠落后于黑客組織的,諸如精心偽裝的Malware、零日攻擊問(wèn)題,利用技術(shù)手段很難防護,而通過(guò)獲得全面的威脅情報,比如黑客組織的CC地址、GEOIP等,Malware雖然做了各種的精心的偽裝,但是最終無(wú)法偽裝其行為,當其臥薪嘗膽之后連往外部的CC主機之時(shí),通過(guò)策略的聯(lián)動(dòng)就可以實(shí)時(shí)攔截下來(lái),使其前功盡棄。
如果你的網(wǎng)絡(luò )是專(zhuān)有網(wǎng)絡(luò ),那么外部的威脅情報可能沒(méi)有價(jià)值,那么需要考慮如何自力更生挖掘屬于自己的情報信息,例如搭建內網(wǎng)的大數據分析平臺。
2. 著(zhù)手準備安全管理平臺
未來(lái)十年,企業(yè)在安全建設的投入增長(cháng)將超過(guò)40%,安全管理會(huì )像網(wǎng)絡(luò )管理一樣普遍和深入。盡早搭建安全管理平臺,把威脅情報、策略控制、風(fēng)險管理等整個(gè)網(wǎng)絡(luò )的安全集中統一的管理起來(lái),不失為一個(gè)好的主意。
安全管理平臺需要能夠支持全網(wǎng)節點(diǎn)的策略下發(fā)能力,這就需要解決網(wǎng)絡(luò )節點(diǎn)多品牌產(chǎn)品的兼容性問(wèn)題,例如瞻博網(wǎng)絡(luò )的SDSN解決方案,除了支持瞻博網(wǎng)絡(luò )的產(chǎn)品外,逐步會(huì )支持第三方的網(wǎng)絡(luò )設備策略控制。
3. 讓每一個(gè)點(diǎn)都有安全檢測和執行能力
這里的每一個(gè)點(diǎn),不僅限于網(wǎng)絡(luò )節點(diǎn),包括服務(wù)器、存儲、PC、工作站、IP音視頻,以及可能接入網(wǎng)絡(luò )的所有智能終端等等,零信任安全是安全發(fā)展的必然的模型,為你的每一個(gè)點(diǎn)都設置一個(gè)私人保鏢吧。
總結
高級威脅已臨,SDSN刻不容緩,SDSN倡導從“網(wǎng)絡(luò )安全”到“安全網(wǎng)絡(luò )”的轉變。一直以來(lái)我們都重點(diǎn)關(guān)注威脅帶來(lái)的風(fēng)險,而輕視了降低風(fēng)險的重要性。攻擊是不擇手段的,比如現在流行的社交媒體攻擊,黑客組織可能通過(guò)清理貴公司的垃圾桶,就可能獲取到非常有價(jià)值的信息。通過(guò)技術(shù)手段增加安全性的同時(shí),也要考慮降低風(fēng)險的投入。一個(gè)比喻:應對入室盜竊的威脅,選擇一,可以投資一套閉路監控系統,提升安全性,這樣入室盜竊發(fā)生后,可以通過(guò)監控錄像找到線(xiàn)索嘗試追回;另一種選擇,通過(guò)投資更換一套更高級的門(mén)鎖,就可以有效降低入室盜竊的風(fēng)險。
