在網絡安全2.0開局之年的2014年,人們對下一代安全防御體系,應該說是既憧憬又迷茫,既期盼又陌生,既感受到了傳統安全體系的不足、又對嚴峻的安全新形勢有點不知所措。
轉眼短短四年后的2018年,我們再來看看下一代安全防御體系,不僅發展趨勢與方向已經得到了共識,思路、方法、技術也是日趨完善成熟,相關產品和解決方案更是百花齊放、光彩奪目。
既然是百花齊放、百家爭鳴,那就會有真有假、有好有壞,有踏踏實實的務實耕耘者,也有渾水摸魚的圖利之人。但是我認為真正的實力者會很快脫穎而出,因為安全市場去偽存真的速度正在加快,2.0時代網絡安全行業正在變得更加務實。
未來越來越多的組織,會改變以往盲目進行安全建設的風格,轉而更加關注網絡安全所帶來的實際效果,並會有越來越多的人開始考慮安全建設的本質。那么,安全建設的根本目標是什么呢?
我認為在2.0時代,安全建設的目標有兩個,一個是解決傳統安全所不能解決的問題,也就是提高主動安全防御能力;另外一個就是讓安全工作變得更方便,安全工作變得更有效率,提高整體安全運營的能力。
一、傳統安全技術體系及其存在的不足
傳統安全技術體系建設,通常是參考下圖所示的五橫五縱框架,通過各層面、各方面單點的安全防護,從而形成一個整體的安全技術體系。
五橫五縱安全技術體系框架,在傳統安全體系建設中,應用非常廣泛。其特點是以資產防護為中心,橫向、縱向組成的一個安全控制矩陣,體系框架通用性比較強,可以作為最佳實踐應用於各行各業。
在安全威脅不斷升級的今天,五橫五縱安全技術體系框架局限性越來越明顯。首先,傳統基於邊界、策略、特征的安全防護,很難應對現在高級別安全威脅,即主動防御能力不足;其次就是,缺少一個機制將這些單點的安全防護,整合成一個有機的整體,即缺乏統一的安全運營平台。
二、主動防御、深度分析、實時檢測
主動防御能力不足,解決辦法有兩個途徑,一是將深度分析、實時監測能力融入到現有系統中,如NGFW、EDR等;另外,就是部署、應用下一代安全防御產品,如TDA、UBA等。
這樣來看,未來的安全產品中,傳統防護類安全設備將融入新的思想,增強主動防御能力。而檢測類的傳統安全設備,將逐步被下一代安全分析檢測系統所替代,逐漸在市場中被淘汰出局。
從安全分析與檢測的分類上說,第一類是風險分析與檢測,也就是傳統風險評估在下一代安全防御體系中的創新應用,變化是風險分析由人工變為系統自動完成,由定性分析變為定量或場景化分析,由要素組合變為要素單獨分析;第二類是異常分析,主要包括業務異常(反欺詐)分析、用戶行為異常分析兩種;第三類是事件分析,是將傳統安全防護設備中產生的告警進行歸並、關聯,輸出高質量的事件信息。
從安全分析與檢測的特性上說,首先,安全分析與檢測必須是實時完成的,這樣才能在威脅、異常、事件剛有跡象的初期,就能夠檢測出來;其次,安全分析與檢測必須能夠彌補傳統安全設備的不足,能夠發現傳統安全設備發現不了的問題,這樣才能稱得上是深度分析;最后,分析檢測結果必須能夠進行整合、關聯,形成有效的內部威脅情報,為安全運營提供決策支持。
三、安全運營分析平台架構(SOAPA)
安全分析與檢測出的各種結果,為大數據安全分析平台提供高質量的輸入,大數據平台通過規則分析、機器學習、智能分析、可視化等技術,為安全運營分析平台提供技術與數據保障。
首先,深度安全分析與檢測已經提供了全方位的安全感知能力,在經過大數據分析后對風險態勢、安全態勢、攻擊態勢能夠進行全天候的可視化展示。
其次,通過外部威脅情報、內部威脅情報的整合與關聯,在形成高質量的安全分析告警的基礎上,定義告警嚴重程度;並根據告警處理任務類型,來判斷是進行事件處理任務自動響應,還是通過預警通報輸入給ITIL系統進行處理;
最后,根據需要對安全事件進行必要的審計、回溯,研究攻擊過程與特征,必要時將安全運營數據輸入GRC系統來評估合規符合程度等等。
四、最后
本文只是根據自己的學習,所形成的一些不太成熟的想法,在無任何傾向性的同時,也不具實踐指南的意義。只是個人興趣愛好,有志同道合的歡迎進一步交流。
注:
本文中未直接涉及現在市面上炒作厲害的APT防御、威脅情報、態勢感知三類產品,因為我個人理解:
APT檢測、防御是2.0時代網絡安全運營的重要目標之一,沒有任何一款產品可以解決APT檢測與防御問題,而是需要通過整體安全體系和運營能力才能預期對抗。何況現在市面上的APT產品,大多數只是基於流量的威脅檢測配合着沙箱而已;
威脅情報是一種數據服務,而很難說它成是一種成熟的產品。目前的情況來看,威脅情報單獨提供給客戶,其價值是沒有辦法最大化的,只能與分析平台結合才能發揮其作用,同時也能夠增加平台的效果,發揮1+1>2的效果。
態勢感知如果從微觀上來說,是安全產品應該具備的能力,而非一款具體產品;從安全運營的宏觀上來說,是需要安全監控、分析平台、安全人員、制度流程組合形成的,一套解決方案與工作機制。
一家之言,僅供參考!