那么,瞻博網絡的軟件定義安全網絡(SDSN)解決方案如何幫助您做好新IT基礎架構環(huán)境下的企業(yè)信息安全規(guī)劃的呢?
安全事件盤點
我們簡單的盤點一下自2016年下半年以來,全球大型的安全事件:
- 2016年9月,Yahoo被曝5億用戶賬戶泄露;
- 2016年10月,史上最大的DDoS攻擊,惡意軟件Mirai控制的物聯網設備攻擊導致了大半個美國的網絡癱瘓;
- 2016年12月,Yahoo再次被曝另外10億用戶賬戶泄漏;
- 2017年2月,Google宣布攻破SHA1,SHA1加密不再安全;
2017年2月,知名云安全服務商Cloudflare被曝泄漏用戶HTTPS網絡會話中的加密數據長達數月。
從這些事件可以看出,很多安全問題沒有得到足夠的重視,比如物聯網安全,當我們家用的空氣凈化器、電飯鍋被黑客用于DDoS攻擊時,我們甚至都不知道如何去給它設置一個密碼。黑客組織在技術上始終保持著領先,戰(zhàn)略上始終保持著主動,作為被動防御又缺乏安全專業(yè)技術的普通公司,企業(yè)信息安全似乎成了一個偽命題了。
有一種觀點,認為物聯網和企業(yè)安全距離還有點遠,有的企業(yè)網絡是完全隔離的內網,比如傳統的銀行。那么完全和Internet隔離的內網似乎就沒有問題了嗎?這也是物聯網安全沒有得到足夠重視的原因之一。類似的觀點還有,有的企業(yè)IT基礎架構主要依靠公有云,公有云自身有很強的安全保障,公有云還可以提供很多安全服務,不用擔心安全問題。而無數的歷史經驗證明,沒有問題往往意味著更大的隱患。
企業(yè)網安全的嚴峻形勢
以Yahoo事件為例,兩次被曝出5億和10億用戶賬戶泄漏,尚且不知道有沒有重疊,如此龐大的用戶賬戶泄漏,為什么Yahoo沒能防止,甚至是沒有察覺到?一種說法認為,黑客組織采取了一種被稱為緩慢出血(Slowbleed)技術,少量的數據難以被察覺的持續(xù)流出,經過數周、數月甚至數年時間,流出的數據在外部組合起來得以如此龐大。
從Yahoo事件可以得到幾個關鍵詞——高級威脅、持續(xù)、內部,而這正是傳統的企業(yè)網安全模型薄弱的環(huán)節(jié)。傳統的網絡安全是在網絡的出入口部署安全設備,如防火墻、入侵防護、應用安全控制等等,也就是邊界安全模式。
邊界安全模式有這樣幾個特點:
- 認為邊界內部是安全的,外部是不安全的;
- 認為流量超出一定閥值是有問題的,持續(xù)平穩(wěn)的流量是正常的;
- 命中已知的漏洞、惡意代碼是有風險的,正常的業(yè)務流量是安全的。
高級威脅主要的實現方式是通過精心偽裝的惡意軟件(Malware),并不一定是程序,可能只是一個Word文檔,穿過邊界到內部主機,再由內部主機主動連接外部的控制主機(C&C Server),因為內部訪問外部默認是安全、不加限制的,使得CC主機得到控制權后,就可以為所欲為了。因此,在傳統安全模式下,對高級威脅是無力防護的,同樣無法防護的還有零日攻擊(Zero day attacks)。
對于云安全,公有云提供商的關注點往往在云基礎設施的安全性和可提供的安全服務上,對于用戶使用云過程中的安全問題,是缺乏關注的,比如典型的“帳號劫持”問題。另外混合云架構會為企業(yè)網絡帶來一個私有云與不同層次的公有云(SaaS、PaaS、IaaS等)之間復雜的連接,如何做好安全控制和降低風險,是一個更大的挑戰(zhàn)。
軟件定義安全網路
瞻博網絡的軟件定義安全網絡(SDSN)解決方案,提供了一個很好的思路。瞻博網絡SDSN倡導從“網絡安全”到“安全網絡”的轉變,也就是無邊界安全或者零信任安全模式其核心思想是認為網絡中的每一個節(jié)點都是獨立的安全邊界,都可以進行安全威脅的檢測和防護動作。我們做一個形象的比喻,就如一棟大樓由只在入口設置安保人員,變成為每一個房間、甚至每一個人設置一個私人保鏢保護。
SDSN解決方案由三部分組成:
- 網絡基礎設施:包括數據中心、園區(qū)網、分支機構等所有的網絡設備,包括防火墻、路由器、交換機等(物理的和虛擬的)。
- 安全策略控制平臺(Policy Engine):對上負責收集威脅情報信息(C&C、GEOIP、Custom等),對下負責下發(fā)安全策略至網絡節(jié)點。
- 云端高級威脅防御系統:上層是瞻博網絡的黑科技產品,基于云的高級威脅防御系統Sky-ATP,Sky-ATP是一個全面的威脅情報平臺,全流程使用了機器學習(Machine learning)技術,首先包括傳統的特征碼檢測;其次防病毒部分采用多個第三方的殺毒引擎,并整合多方病毒庫用于機器學習;以及靜態(tài)檢測和動態(tài)檢測,檢測功能整合了瞻博網絡特有的蜜罐技術,可以誘導識別惡意攻擊,同時支持云端沙箱(Sandbox)技術,可使深度隱藏的惡意軟件現形。
除了自身探測的威脅情報,Sky-ATP系統可以接收來自第三方安全機構的情報,實時共享,同時支持『定制情報』的輸入(Custom feeds)。
- SDSN工作流程:以園區(qū)網場景為例,出口的SRX防火墻接收到來自Sky-ATP的威脅情報信息,進行實時檢測,當發(fā)現某主機主動連接某外部的CC服務器時,即上報策略平臺PE,PE通過接入層交換機的擴展服務,可以獲取受感染主機(Infected host)的MAC地址,PE實時下發(fā)ACL到接入層交換機連接該感染主機的接口,實時將該主機攔截(Block)。
SDSN的應用場景還有數據中心、運營商邊界網等,包括虛擬化數據中心的虛擬分區(qū)間安全控制,運營商邊界Cloud CPE設備上部署的虛擬安全服務管控等,本文旨在探討企業(yè)網安全規(guī)劃的思路,方案部分不再做詳細的分享。
值得一提的是前文提到的銀行網絡問題,視乎和Internet隔離就安全了,同時來自Internet的威脅情報,諸如CC主機信息等對于內網來說也沒有價值。事實上對于行業(yè)用戶來說,需要的是針對自身網絡的威脅情報,比如一個Web Server某一天突然主動發(fā)起了一個FTP會話,可能就是一個有價值的威脅情報,而這樣的情報沒有任何外部資源可以提供,這就需要行業(yè)用戶自己挖掘。
目前有一些安全公司已經在提供用于威脅情報挖掘的大數據平臺解決方案,而部分行業(yè)客戶已經開始部署。自己挖掘數據有一定的滯后性,但經過一定時間的積累,是能夠真正起到作用的有效投入。而前文提到的SDSN支持的定制情報特性(Custom feeds),在此場景就可以很好的融合,通過將大數據平臺挖掘的情報輸入給PE,PE可以進行統一管理,或者實時下發(fā)策略給網絡節(jié)點進行攔截,就成為一個行業(yè)專用的實時威脅防護平臺。
要點
軟件定義安全網絡并不只是一個口號,同時帶來了一些很好的思路,簡單總結如下幾點,可以作為企業(yè)信息安全規(guī)劃的參考:
1. 獲取威脅情報
在高級威脅面前,作為防護者,技術是永遠落后于黑客組織的,諸如精心偽裝的Malware、零日攻擊問題,利用技術手段很難防護,而通過獲得全面的威脅情報,比如黑客組織的CC地址、GEOIP等,Malware雖然做了各種的精心的偽裝,但是最終無法偽裝其行為,當其臥薪嘗膽之后連往外部的CC主機之時,通過策略的聯動就可以實時攔截下來,使其前功盡棄。
如果你的網絡是專有網絡,那么外部的威脅情報可能沒有價值,那么需要考慮如何自力更生挖掘屬于自己的情報信息,例如搭建內網的大數據分析平臺。
2. 著手準備安全管理平臺
未來十年,企業(yè)在安全建設的投入增長將超過40%,安全管理會像網絡管理一樣普遍和深入。盡早搭建安全管理平臺,把威脅情報、策略控制、風險管理等整個網絡的安全集中統一的管理起來,不失為一個好的主意。
安全管理平臺需要能夠支持全網節(jié)點的策略下發(fā)能力,這就需要解決網絡節(jié)點多品牌產品的兼容性問題,例如瞻博網絡的SDSN解決方案,除了支持瞻博網絡的產品外,逐步會支持第三方的網絡設備策略控制。
3. 讓每一個點都有安全檢測和執(zhí)行能力
這里的每一個點,不僅限于網絡節(jié)點,包括服務器、存儲、PC、工作站、IP音視頻,以及可能接入網絡的所有智能終端等等,零信任安全是安全發(fā)展的必然的模型,為你的每一個點都設置一個私人保鏢吧。
總結
高級威脅已臨,SDSN刻不容緩,SDSN倡導從“網絡安全”到“安全網絡”的轉變。一直以來我們都重點關注威脅帶來的風險,而輕視了降低風險的重要性。攻擊是不擇手段的,比如現在流行的社交媒體攻擊,黑客組織可能通過清理貴公司的垃圾桶,就可能獲取到非常有價值的信息。通過技術手段增加安全性的同時,也要考慮降低風險的投入。一個比喻:應對入室盜竊的威脅,選擇一,可以投資一套閉路監(jiān)控系統,提升安全性,這樣入室盜竊發(fā)生后,可以通過監(jiān)控錄像找到線索嘗試追回;另一種選擇,通過投資更換一套更高級的門鎖,就可以有效降低入室盜竊的風險。
