一、传统网络安全

     在上一篇《传统网络（边界）安全为什么会失效》发出，后续的交流中，有同事很严肃的提出了什么是传统边界安全这个问题。确实，这似乎是个问题，似乎也没有什么明确的说法，所以有了这篇文章。我们都知道传统网络安全是以防火墙、杀毒软件和入侵检测老三样为代表的网络安全家族，但没有办法举例子说明，只会让人越来越迷糊。究竟什么是传统边界安全呢？我总结了以下10个特征，和大家商榷，观点未必正确或者全面，供大家思辨。

       1、作用在边界上，特别是物理边界上

       传统边界安全最明显的特征就是为大家守好一道门，作用在真实存在的物理边界上。防火墙、杀毒软件、IDS、IPS、DLP、WAF、EPP等边界设备都作用在边界上，根据在边界上的行为进行防护和监视。

       2、通用的保护目标等于没有目标

       传统边界安全保护的目标是没有具体所指的，是一个通用无差别目标，比如网络，主机等。正是因为安全目标的无差异性，使其无法在安全目标上获得支撑，只能面向边界外部和行为。事实上这也是传统网络安全最大的问题所在，关键基础设施之所以称为关键基础设施，不是因为其网络和主机多高级，多神秘，而是因为运行在这些服务器和网络上的业务和数据具有关键性。而传统网络安全恰恰不关心关键基础设施的真正灵魂所在。

       3、默认边界内部都是安全的

       传统边界安全的眼睛始终是守在门外看门外，边界内部默认是安全的。当然我们都知道，这种假设存在着很大的缺陷，最为安全的机要局都存在着间谍。

       4、默认账户是安全的

       传统边界安全默认账户都是安全的，只要通过了账户验证就认为所有行为都是可靠的。事实上我们都知道账户盗用和劫持始终是安全最大的问题之一。

       5、边界安全设备的处理能力天生不足

       边界安全设备作用在边界上，性能承受力天生不足。边界设备一般来说其处理能力都比较有限，特别在严苛的业务约束条件下，其可做的事情并不多，已知威胁往往是其处理的主要内容。

       6、以入侵行为特征为中心

       前面说了传统边界安全不认识安全目标和保护主体，事实上传统边界安全也不关心或者无法做到确定是谁来访问，只能实现以貌取人。无法感知身份，事实上和不关心保护目标是一脉相承的，当你无法感知保护目标的时候，自然也就无法认知访问目标的身份。当保护目标和访问身份都无法准确感知的时候，行为就成为了传统边界安全的核心研究和防御目标。五花八门的海量特征库，成为了传统边界安全最为明显的特征。

       7、假设边界安全是可以容忍安全事件发生的

       传统边界安全存在一个天然假设，保护的安全目标是可以被损伤的，是不会被入侵击垮的。从这个假设出发，传统边界安全认可网络安全的目标是降低被攻击的概率或者是通过避免被已知危险攻击来降低被攻击概率。你可以认为传统边界安全的目标就是做一个好保安，一个负责任的保安，但是业主财富的安全并不仅仅依赖于保安。

      8、强大的已知漏洞检测和孱弱的未知威胁感知

       传统边界安全往往对于已知漏洞具有较好的防御效果，但对于未知威胁则知之甚少。未知威胁和0day漏洞是传统网络安全的最大杀手，而所谓的0day漏洞等又基本掌控在入侵者手中。当入侵者采用组合攻击或者0day攻击的时候，传统边界安全往往无能为力。

二、新安全

       传统边界安全具有很多不足，为了满足业务诉求，近几年新安全思想层出不穷。新安全是为了解决传统网络安全问题而出生的，每家新安全公司都绞尽脑汁寻找新思路新方法，大家主要在以下几个方面进行努力，希望对于未知威胁可以进行更好的防御：

       1、对原有边界安全产品做增强

       因为边界处理设备能力不足，可做事情不多，特别是对于安全密切相关的关联分析和上下文分析能力基本无能为力。通过边云（中心）架构，在边上进行常规检测，在云（中心）进行增强检测和分析，弥补传统边界产品的不足。比如EDR、 SIEM、态势感知、威胁情报等都属于这方面的增强。

       2、加强人机接口，增强人的干预能力

       安全本质上是人与人的对抗，只有人才能够更好对抗人的入侵。人要做出反应，首先要可见，其次要可编排和可响应。为了支持更好的人机接口，安全可视化成为安全发展的一大方向。提供看见的能力，只有看得见，人才能做出明智的分析和响应。比如SOC，态势感知，威胁狩猎，SOAR等等。

       3、边界消失之后重构边界

       传统边界安全的最大困境在于边界的消失，并不是边界安全变得不再重要，而是其生存基础不再存在。只要我们可以重构边界，边界安全思想就可以重新焕发其生命力。SDP就在这里做出努力，软件定义边界。SDP是一种零信任架构实践，可以广泛的作用在身份主体和资产客体之上。

       4、眼睛朝内，面向资产

       关键基础设施之所以成为关键基础设施不在于设备，而在于运行在基础设施上的业务和数据。当认清楚这点之后，安全自然就向资产迈进了一大步：资产保护才是安全的终极目标。有了这个认知，自然也就不会在乎网络内部是否有坏人，而是着眼于确保资产安全。零信任架构自然而然就成为面向资产的安全保护的必然选择甚至是唯一选择。资产，身份，行为，三个基本安全要素之中，资产具有极为稳定的确定性，从而使其防御也具有很高的确定性。资产的不可见性，特别是数据的不可见性给面向资产的保护造成巨大挑战，所以在面向资产的零信任架构中，治理会成为其核心内容和出发点，治理的目标是让资产可见可视，让风险可见可视。

       5、眼睛看远，认清身份

       在零信任架构中，身份成为不可缺少的核心要素。即使离开零信任，安全身份也可以成为安全增强的利器。在资产，身份，行为，三个基本安全要素之中，身份具有辨别的困难性和相对确定性，具有很好的安全增强能力。无论是下一代防火墙还是UEBA都着眼于身份这个因素的增强识别和分析之上。身份管理系统从安全诞生就开始了，并不是配置了ldap等身份管理就可以眼睛看远。要眼睛看远，认清身份的核心在于让身份贯穿始终，不会因为场景变更和上下文切换等干扰就能换个马甲或者丢失身份信息。

       6、沙盒和诱饵

       无论是沙盒还是诱饵，都是聚焦在最为传统的行为之上，提供了观察行为确定性的一个媒介。沙盒提供了一个目标无伤害的行为观测环境，通过真实观测发生的伤害行为来确定行为是否安全。特别是由于运行在沙盒中，可以附加更多的感知措施来辅助判断行为的前后相关性。著名的fireeye就是在这个领域的佼佼者。

       诱饵一般来说有两个基本目的：确定安全事件的发生，迟滞攻击进程以争取响应时间。诱饵和沙盒一样，可以附加更多的感知措施，获得更多的入侵者活动信息。更多的入侵相关信息和更多的响应时间，自然可以帮助防御方获得更好的响应方案。客观来说，诱饵应该成为任何安全解决方案的必要组成部分。

      7、云安全和非信任环境

       云重构了整个IT基础架构，依赖于基础架构的安全措施自然需要为云做整体变化。云天生没有边界，邻居的好坏都无法选择，用户甚至连自己的业务和数据在哪里也不知道，也不知道是谁在管。对于用户来说，这是一个完全的非信任环境，对于黑客来说，这是一个打开门的“金矿”。云安全是新安全的一个大品类，几乎涵盖安全的方方面面，从安全理论到技术实现相比传统安全都发生很大的变化。    

      8、流动过程中的安全

      指令和数据一直在不断的流动，这从以前到现在都没有发生变化，只是流动的更多了更加频繁了。不同于传统IT环境的内部流动，现在的指令和数据流动发生在各个层面。流动的本质在于总是从安全受控环境流动到非安全环境甚至于失控环境，可以认为任何流动最终都会走向失控。失控总是会成为一个巨大的安全问题，这不是传统网络安全的作用领域。内置安全、部署更多的观测点、流动追踪和可视化是对抗流动过程安全的基本方法。

      9、应用安全和业务逻辑安全

      任何应用程序总是会存在漏洞，必须承认这个是客观存在的。我们也必须承认黑客总是会先于厂家发现漏洞并利用漏洞。如何保证应用程序和业务逻辑在存在漏洞的情况下安全的被使用，如何快速的通过虚拟补丁修复漏洞，这个对于安全来说意义非凡。大量的安全公司在这里耕耘，比如更智能的WAF。

     10、人是安全的最大挑战

      有一句话：安全的本质是人的安全。所有学问一旦涉及到人就会变得非常复杂，安全至今为止难成为一门真正的科学也是这个原因。人是理性和非理性的综合体，很难琢磨。人几乎是所有安全事件的发起者和操控者，如果无法在一定程度上解决人的安全，就很难说安全有所进展。

来源：美创科技 柳遵梁