freeBuf
云与信任丨未来安全的战场
2023-01-23 18:18:46
所属地 湖北省

0X00前言

最近趁着新年假期,抽出时间对未来的安全行业的发展做出了一些总结。期间玉玉师傅的2022年末总结和《内生安全》给我的印象十分深刻。打算写点东西,所以我就接着《萌新学习零信任》继续给大家梳理一下,咋们安服崽以后会面对的新事物和新一代的安全设备。希望对大家有所帮助,让大家在选择学习什么"新"技术的时候有所参考。


0X01安全模式展望

围墙式安全(2015以前)

什么是围墙式安全?答:它是通过使用一套软/硬件系统,把需要保护的区域和外界的网络环境隔离开来(就像监狱的围墙一样)。远古时期的安全软件、防火墙.....大都是这种围墙式安全模式。但在现代数字化的生产环境中,却暴露出以下3个明显的弊端:

围墙之内不设防,一旦边界被突破,系统就会完全沦陷;

样本库、规则库等往往缺乏有效维护,更新缓慢,所谓的围墙形同虚设;

不同的防护设备和系统之间相互孤立,无法联动

数据驱动安全(2015-至今)

由于业务系统的安全问题开始得到越来越多的重视,围墙式安全的脆弱性日益明显。安全从业者开始考虑在内部业务系统的IT环境中部署更多的安全措施,提升整体安全防护能力。这种新的安全建设理念,是以安全监测与威胁发现为主。这种以数据为核心的新安全理念被概括为“数据驱动安全”。相较于围墙式安全,数据驱动安全理念的进步是非常大的。但是,数据驱动安全还有一些明显的不足,主要原因有以下几个方面。

由于网络安全与业务本身仍然是互相分离的,仍然是以传统IT安全为目标的各种技术手段的组合,改进有限

由于未能将业务大数据与安全大数据进行融合分析,因此无论是来自内部的安全大数据还是外部的威胁情报,其实际作用都会大打折扣,导致效率低下

由于绝大多数的大型政企机构和公司都不会将安全数据和业务环境向安全公司汇报,这就很难解决政企机构的真实需求,甚至无法做到更据以往的威胁,进行预防

当越来越多的安全措施与云端相连后,协同联动的防御体系成为可能。以安全软硬件为节点、以云端安全能力为支撑、以人为核心的安全运营体系逐步形成。EDR(终端检测与响应)技术、NDR(网络检测与响应)技术、NGSOC(新一代安全运营平台)、态势感知等基于大数据的安全产品与服务日渐普及,并极大地推动了政企机构整体安全能力的提升。

内生安全(未来趋势)

什么是内生安全?答:内生安全是我国科学家邬江兴院士针对网络空间安全现状的哲学性归纳与论述,是网络安全领域的新兴概念与技术发展方向,具体包含内生安全问题和内生安全体制机制两部分内涵。它是在信息化环境内不断衍生出安全能力,即使网络的边界防御被打穿,系统仍然能够在一定程度上保持健康运行,并保证数据和业务安全。从技术角度看,数据是网络安全的基础,行为是风险监测的关键;所有基础的安全产品都不再仅仅是以隔离和防护为目标,而是兼具安全监测和数据采集的作用。

其实如今的内生安全和零信任都有一曲同工之妙,都是为了更好的应对新一代技术的发展,利用云,人工智能,大数据等先进技术去解决未来物联网、工业、云安全。只不过内生安全的适应性较高。打个比方,如果说:内生安全是人的身体,那么零信任就是身体的筋脉;各类安全设备是身体的骨头;AI的身体的血管;大数据和云是身体的血肉。如果没有零信任这种思想的"筋脉",那么这个人的身体是僵硬的,走起路来是不灵活的。这就像极了数据驱动安全,而恰恰的零信任的加入,才使得"人的身体"变的灵活。内生安全要求信息系统的安全体系具有自我免疫(自适应安全能力)、内外兼修(自主安全能力)、自我进化(自成长安全能力)三大特点。

0X02安全创新技术

新一代安全框架、访问控制

网络安全是高度对抗性的行业,网络安全系统包括技术、数据、人员和体制机制等,是一个复杂的系统。为了保障业务的安全性,实现系统的有效运转,不能仅仅考虑产品和技术因素,而是要综合考虑技术、管理、运行等多方面的因素。所以,新一代的安全框架和访问控制理念就成为了安全人的指导思想。

安全框架

作为系统工程思想在信息化领域的应用,EA方法要求我们打破零散式的规划与建设,系统性地构建信息化体系,从而引导与推动大规模、体系化、高效整合的信息化建设。但是与信息化发展不同的是,网络安全行业一直缺乏与信息化系统工程方法相匹配的框架,来指导未来的网络安全体系建设。尤其在数字化转型不断深入的过程中,需要有一套行之有效的以系统工程方法论结合“内生安全”理念而形成的网络安全规划建设框架,引导政企等大型机构规划和建设网络安全。

网络安全滑动标尺(The Sliding Scale of Cyber Security)模型是SANS机构研究员Robert M. Lee在2015年8月发表的一份白皮书The Sliding Scale of Cyber Security中建立的一个网络安全的分析模型,是目前国内外公认度比较高的一个分析模型。该模型把网络安全的行动措施和资源投入进行了分类,使机构能够很方便地辨识自己所处的阶段,以及应该采取的措施和投入。对网络安全从业者来说,它可以帮助我们审视产品和服务的布局。

访问控制

零信任重点关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,首要目标是使安全可控的主体在合适的时间、地点,安全地访问应用与数据。它通过对泛化身份进行动态、细粒度的访问控制,来应对越来越严峻的越权横向移动风险。零信任架构是基于这一思想而开发出的一系列概念、方法和技术。核心思想如下:

以身份为基础

最小权限控制

持续信任评估

动态访问控制

身份管理身份管理提供对访问主体全面身份化的能力,用户、设备、应用、服务等自然实体都必须在可信的身份平台中注册并形成数字化身份。并可对这些身份按照角色、组织、办公场所等属性进行多维度分类,为各类身份创建或关联适宜的身份生命周期管理流程,实现身份归一化管理。

零信任、自适应....

由于数字化转型促使系统集成与需求的激增,扩大了数据流转的范围,大数据、物联网、云计算、移动应用等技术改变了传统身份管理和使用的模式,“身份安全”从面向人员实体的身份安全管理演进为对数字身份(人员、设备、程序、接口等)的安全管理,管理模式也从功能驱动转变为数据驱动。基于零信任架构的现代身份管理与访问控制技术为信息系统和网络安全运营奠定了坚实基础(零信任的概念可以参考《萌新学习零信任》)。

自适应是通过多因子认证提供用户名密码、动态口令、二维码、推送等认证能力,也可与外部的人脸、声纹等多因子认证能力结合,提供符合“所知、所持、所有”的多因子认证机制。可配置自适应规则,使其根据认证请求上下文、风险信息动态调整认证因子的组合。

补充:动态口令和二维码,经过一些前期的验证,非常适合作为二次验证的手段,使得办公环境的安全性大大的增加了,并且效率也不会因此下降太多。

可信任、拟态、SASE...


众所周知,可信任、拟态、SASE等设备的基本就是通过流量分析+威胁情报去解决企业内部网络存在的安全隐患。而划分原则就是基础中的基础。一个好的安全划分规则可以使得安全设备事半功倍。

安全域的划分应综合资产属性、应用系统架构、网络架构、云平台架构、企业管理模式等信息。通常情况下,安全域划分越精细,安全隔离防护成效越好,但相应的安全建设投资和运行管理工作量也会越大。安全等级越高的系统,其安全域划分应越精细,以充分保障重要系统的安全。 划分方法可以按需实施“安全域——安全子域——功能组”的多级划分。

关于划分域的补充说明:

安全域:根据资产在网络中的暴露位置、信息系统的类别等,进行域级划分,例如DMZ、应用、数据、开发测试、管理等域。

安全子域:在同一个域内,根据资产所属的信息系统进行子域级划分。例如DMZ域可以进一步划分为办公服务、合作伙伴服务、公共服务等子域。

功能组:在同一个子域内,根据资产在系统中的功能定位进行功能组级的安全域划分。例如DMZ公共服务子域可以进一步划分为信息发布、会员、商城等功能组。

当然我们也可以从其他角度出发,eg:应用分层架构从安全角度出发,建议将常见的B/S(浏览器/服务器)架构应用划分为界面层、业务逻辑层、数据访问层和数据服务层,每一层划归入一类安全域,实施域间隔离防护。根据网络边界类型分别实施“总部——区域——分支机构”边界整合。 总部边界整合:全企业整合在总部的边界,包括互联网接入(互联网用户访问、远程办公接入、IT承包商接入、基于互联网的合作伙伴接入等)、外部网络(合作伙伴、主管部门等外部专线)、公有云接入等。总部边界整合包括互联网办公出口、终端接入、跨网访问(企业内部生产网、办公网等不同网络间的边界)、总部级数据中心等。 区域边界整合:全区域整合在区域中心的边界,包括互联网办公出口边界。区域边界整合包括终端接入、跨网访问、区域级数据中心边界等。网络纵深防御安全能力枢架如下表所示:

Web类邮件类文件类DNS类网络类入侵防范弹性其他
加密流量;卸载检测;动态内容缓解;证书黑名单;证书一致性检查;内容过滤;支持身份认证的代理;数据泄露防护;DNS-over-HTTPS过滤;强制流量;符合RFC规范;基于域类别的保护集;带宽控制;恶意内容过滤;访问控制防网络钓鱼;防垃圾邮件;收件链认证;数据泄露防护;接收邮件身份认证;发送邮件身份认证;邮件传输加密;恶意URL保护;恶意URL点击保护;邮件内容过滤恶意代码防范;内容检测;文件沙箱DNS黑洞保护;使用DNSSEC(国外)、HTTPDNS(国内)保护客户端;使用DNSSEC保护域名网络访问控制;IP黑名单;主机遏制;网络分段;微隔离;单向传输;协议卸载网络威胁检测;入侵防御;自适应访问控制;攻击诱捕;颁发证书日志监控DDoS保护;资源弹性扩展;区域交付VPN;影子IT检测;SOAR

EDR、CWPP、SD-NGFW

CWPP

由于缺乏从云数据中心及企业整体安全防护视角开展云安全的规划建设,导致企业构想建设的云安全能力存在缺失和不足。安全建设往往不会覆盖安全滑动标尺的基础架构安全、纵深防御安全、主动防御、威胁情报等领域,缺乏与企业身份、密码、系统安全等企业级安全平台的联动。在云内、云外的网络纵深防御、系统安全支撑、云内外特权访问控制、云流量分层隔离、云资源隔离保护、云内外安全态势感知等方面也存在很大的能力缺失,无法为企业用户提供完善的云安全支撑。但是CWPP的诞生,解决了大部分的问题。

Gartner就云原生安全提出三大云原生安全解决方案,分别是CWPP(Cloud Workload Protection Platforms)、CSPM(Cloud Security Posture Management)和CASB(Cloud Access Security Broker)。其中CWPP是对云工作负载进行保护,是对数据面的安全防护。CSPM是聚焦控制面的安全属性,包括配置策略和管理工作负载、合规评估、运营监控、DevOps集成、保障调用云运营商API完整性等等。CASB是专注于SaaS安全,为企业提供对SaaS使用情况的可视性和安全控制。以上三者对于保障云应用的实际运行,密不可分。三者配合的目的,都是为了云计算业务的正常开展和租户敏感数据得到妥善保护。

SD-NGFW

在基于SD-NGFW的网络安全防护集群中,通过流量编排,将流量复制给网络流量分析设备;在传统环境下,通过流量镜像、链路分光等方式,捕获网络流量,经过分路器聚合处理后,按需分发至各类网络流量分析设备。安全人员可以通过 SD-NGFW、LB、专用加解密设备,对网络加密流量进行解密还原和加密回注,为网络流量分析设备提供明文流量数据。


0X03安全划分

数据安全、内部威胁、云安全、物联网安全、工业安全存在的一些问题,我们都可以运用内生网络的思想去优化解决。关于这些可能存在的安全问题如下所示:

数据安全

建立面向大数据的数据存储加密机制数据是驱动网络安全的核心要素,对数据的分析是确保网络安全的主要方法。但随着云计算的普及和业务系统中存储着大量重要和敏感的数据,数据存储的加密成为必选项,与此同时也成为了攻击者的重点攻击目标。

数据传输阶段:为了确保数据传输过程中的安全性,需采用网络传输加密技术、加密传输协议、链路加密等加密技术保障数据在传输过程中的保密性,并采用密码技术或数据校验机制,保证数据在传输过程中的完整性。

数据存储阶段:为了确保数据存储的安全性,可通过不同加密技术来保障存储数据的安全性。加密方式包括硬盘加密、文件加密以及数据库加密。硬盘加密可保证物理环境被入侵的情况下,数据不会泄露。文件加密可保证操作系统级别被入侵的情况下,数据不会泄露。数据库加密可通过多种方式对数据库中的数据进行加密,保证数据库被入侵的情况下,数据不会泄露。在保证数据的可用性方面,需要对重要数据提供容灾备份机制,在极端情况下保证重要数据不丢失。

数据运营阶段:在数据运营及运维安全方面,可通过对运维及运营人员的操作进行监控及审计,通过限制访问敏感数据、访问途径等方式,保障数据安全。对于运维及运营人员来说,限制其仅可通过虚拟桌面的方式对数据进行访问,并对其操作行为进行监控及安全审计。

我们将数字化终端的范围进行重新定义,包括PC、云桌面、专用终端、移动终端、国产化终端等。PC包含Desktop和Laptop;云桌面涉及VDI(虚拟桌面架构)、VOI(虚拟系统架构)、终端应用虚拟化等;专用终端包含各类场景下的自助服务终端和特殊用途终端,如ATM、VTM等;移动终端包含苹果iOS和大量碎片化的Android系统手机、平板等;国产化终端主要指使用国内自主芯片和OS的终端,如使用飞腾处理器和麒麟操作系统的终端。这些终端的共同属性就是为用户提供个人工作空间。我们并没有把数据中心计算终端或者物联网终端纳入其中,主要原因是它们提供的是工作负载与生产力,而不属于个人工作空间范畴。这就导致某些大厂或公司内部APP这种个人终端成为了,攻击者的突破口,又因为某些众所周知的原因导致APP非常容易被获取,给了攻击者可乘之机。

内部威胁

内部威胁在信息安全领域一直存在。随着数字化转型和业务的发展,内部威胁呈现出不断增长和发展变化的形势。如Cybersecurity Insider发布的《2019年内部威胁报告》中指出,绝大多数(70%)组织观察到,在过去12个月中,内部攻击越来越频繁。根据内部威胁产生的动机,大致可以将内部威胁分为主观恶意和非主观恶意两大类。

用户和实体行为分析(UEBA)技术:UBA(用户行为分析)由Gartner提出的一类网络安全工具,用于分析网络空间中的用户行为,并应用高级分析技术来检测异常恶意行为。2015年,Gartner将其定义更新,增加了“E”,变为UEBA(用户和实体行为分析),增加除用户外的实体(如路由器、服务器和端点)的行为分析。UEBA较UBA功能更强大,它可以分析包括用户、IT设备和IP地址等在内的行为,从而实现对复杂攻击行为的检测。内部威胁和未知威胁是最难捕获的,也是传统安全工具无法检测的,并且可能是最具破坏性的。UEBA作为新型安全技术,用于帮助安全团队识别、响应可能被忽视的内部威胁。它采用业界先进的技术(如机器学习),用于识别、跟踪恶意用户在遍历企业环境时的行为,并通过一系列机器学习算法检测偏离用户规范的操作。

数据泄露防护(DLP)技术:DLP技术能够通过对数据进行内容识别,对传输、存储、使用中的数据进行检测,依据预先定义的策略来实施特定响应。内容识别能力是数据识别的关键,DLP的核心能力就是通过内容识别精确识别敏感数据。内容识别的技术包括关键字、正则表达式、文档指纹、确切数据源(数据库指纹)、向量机学习等。

云安全

当前,大数据、人工智能、物联网等新兴技术正在持续助推社会、企业的数字化转型。数据中心作为信息技术的重要载体,随着云计算的全面深入应用,也将从传统物理结构向全面云化发展演变。由于传统数据中心与云数据中心在技术采用、建设理念、管理方式方面存在较大差异,相应地,面向数据中心的安全也需要进行转变。基于传统数据中心的安全防护体系已经不再适用于如今数据中心云化进程中的安全防护任务。

建立可信的日志完整性保护机制根据等级保护要求,应用系统的操作日志、审计日志、告警日志等关键日志,需要进行完整性保护。企业可以通过调用统一密码服务平台的服务接口针对日志文件或者相关数据库表生成消息认证码(MAC),同时在验证完整性时对权限列表的消息认证码(MAC)进行验证,以确定完整性是否被破坏。

在生产业务中,以人员为主线的身份、凭证、权限管理,是业务逻辑安全运行的基础。在信息化系统中,以资产为主线的资产、配置、漏洞、补丁管理,是信息化资产安全运行的基础。这两类安全运行事务需要投入可观的人力和物力来满足基础的安全保障需求。在对安全产品与工具提出更高可运行要求的同时,也对安全运行团队的工作承载能力提出了挑战。

物联网

得益于通信技术尤其是5G的普及,其大带宽、低时延、海量连接的特性为物联网的海量接入、边缘计算提供了承载平台。为了实现海量设备实时智能响应,“边缘”成为物联网基础架构的重点建设目标。在物联网边缘区域,形形色色的海量设备承担了数据的采集、分析、处理工作,甚至包括对指令反馈的响应、动作,使得物联网边缘成为实实在在的现实世界与数字世界的转化边界,也决定了安全对于物联网来讲其意义包含功能安全与信息安全的双重含义。

设备类型碎片化,导致无法统一所有感知层设备的终端安全能力

泛在化的部署使得在发生安全事件时难以依靠人员进行快速的应急响应处置

安全设备的部署成本与安全敏感度[插图]之间存在如何平衡的问题。

存在硬件方面侧信道攻击的可能

通过对威胁感知、设备监控、资产探查、身份验证、日志采集、虚拟补丁、SDN、接入控制、配置管理、固件分发、漏洞感知能力的模块化再部署,建设更适应泛在化部署、多元接入方式的物联网安全接入平台。与密码服务平台、身份管理和访问控制平台实现接入设备的身份鉴权;打通流量、日志、审计信息至数据安全管理与风险分析平台的通道,实现数据协同,提高异常数据识别率;通过主被动结合的资产探查、SDN与接入控制实现物联网设备的可信接入;通过设备监控、威胁感知、漏洞感知、虚拟补丁、固件分发等能力实现边缘区域的脆弱性防护。

工业安全

随着工业互联网、5G、AI等新技术的发展,大型企业数据中心的技术架构逐渐向虚拟化、云化方向演进,除传统经营管理系统(如ERP、CRM)集中部署在集团总部数据中心外,一些生产过程管理系统、新型的工业App应用也逐渐迁移到集团数据中心,如MES系统、质量检测实时分析系统、AGV智能导航系统,由此构建起以边缘计算为中心的工业互联网企业侧计算环境。工业生产数据在边缘服务器完成采集汇聚、协议转换、本地处理后,再统一上传至工业互联网平台。下面是关于工业安全方面的分析假设:

对于远离城乡且通信网络覆盖差的野外作业环境,如石油勘探、水利建设、远洋航行,企业一般通过卫星通信网实现数据传输。VSAT(Very Small Aperture Terminal,甚小孔径终端,意译为“甚小天线地球站”,简称“小站”)小站组网是一种常见的卫星通信应用方式,具有灵活可靠、成本低、使用方便等特点,得到了广泛应用。

但是这种小站对外接入卫星链路,对内连接本地生产网络的方法,也会产生比较严重的漏洞。我们发现由于业务复杂程度不同,生产网可以是完整的分层控制网,也可以是以现场设备和过程控制为核心的简化网络,但是他们所面临的风险是一致的。攻击者发现卫星地面站是企业的卫星主站,汇总接收多个小站的数据,统一接入企业总部网络。即在接入区需要实施身份认证、访问控制、行为审计等安全隐患,对于安全等级较高的业务,数据是否进行加解密处理等都会影响其安全性。

0X04结尾

我希望这篇文章能够给大家带来一些思考,对网络安全的未来趋势有一个大致的了解,如有不妥,欢迎评论指出,谢谢大家!参考链接如下:

《内生安全》

http://blog.nsfocus.net/cloud-cwpp/

https://www.cnblogs.com/sddai/p/16531554.html

https://xueshu.baidu.com/usercenter/paper/show?paperid=1d7t0rr08p6v0j20me2k0vt0h7339717&site=xueshu_se

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/zh_cn/fortigate-fortiwifi-40f-series.pdf

https://www.wangan.com/wenda/13266

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录