“善攻者,敌不知其所守;善守者,敌不知其所攻。”——《孙子・虚实篇》
在网络安全的***对抗中,***者往往占据主动地位,***者可以选择有利时机,采用各种技术或社交欺骗战术,掩盖自己的***行为、过程和目标,做到瞒天过海,攻其不备;而防守者则想方设法完善自己的防护体系,力图做到滴水不漏……
然而现实却是,在互联网和数字经济的浪潮下,业务数字化也在迅速发展,企业业务越来越复杂、多变,网络环境越来越开放、高效,且变化极快,数字资产成为了企业的核心资产……这一切都给企业安全带来了新的难题。例如:物理世界和虚拟世界之间的打通,线上和线下的界限的消失;固定的防御边界难以保持,企业面临各种利益驱动、蓄谋已久的***,因而难以防护;且***直接针对核心资产,风险巨大;而对工业控制系统,物联网的***和侵害,则不仅仅针对数字资产,而是可以直接作用到物理空间,对物理世界甚至人身造造成伤害……
在这种形势下,企业传统的基于可信边界的安全防护模式遇到越来越大的挑战:
1、边界防火墙/IPS无法提供数据中心内部的安全保护,并缺乏企业内部“东-西”向的安全防护功能。***者使用以诱骗方式(如:钓鱼邮件,鱼叉***,水坑***)越过企业边界防护,以内部安全薄弱的终端设备为跳板,横向移动,恶意软件可以通过内部网络快速感染其他主机,从内部非关键资产蔓延至企业关键资产(如,重要的服务器),导致严重安全损害。
2、由于业务敏捷性需求,企业数据中心加速向“服务交付”迁移,新业务通过预制备模板快速上线,虚拟机实时迁移,IP地址频繁改变,批量虚拟机按需随时开启等,基础设施的快速变化,导致安全策略无法适应安全需求的变化,使基于静态的安全保护方式无法满足“数字时代”数据中心的敏捷性要求。
3、企业对云架构的需求,快速向混合云,多云架构迁移,在物理机、虚拟机、私有云、公有云共存的状态下何实现统一安全管理也是企业面临的重大挑战。
显然,在这样的情况下,仅仅依靠防火墙、***检测、防病毒、WAF等单一的网络安全防护技术,已不能满足企业安全防护的需求;画地为牢式的网络安全体系,已经不能适应新型安全威胁的***,如:APT***,勒索病毒,未知威胁等。
穷则变,变则通。原有的基于可信边界的PDR安全模型已经不能满足当前安全威胁,数字化转型的要求,自适应安全架构应运而出。
自适应安全架构,是2014年Gartner针对高级别***和当时市场上的安全产品偏重防御和边界的问题,设计了一套安全架构,让人们从防御和应急响应的思路中解放出来,加强相应的监测和响应能力,以及持续的监控和分析,同时也引入了安全预警能力。2016年,自适应安全架构在全球范围内得到了广泛认可,在2016年的十大科技趋势中,自适应安全架构首次名列其中。这段时间就是自适应安全架构1.0时期。
2017年,Gartner自适应安全架构有了三点变化:加入了UEBA(用户和实体行为分析)相关内容,引入了大循环中的小循环体系,加入了合规和策略要求;自适应安全架构进入2.0时期。
2017年9月,Gartner颁布持续自适应风险与信任框架(CARTA),加入了认证体系;自适应安全架构从此进入3.0时期。
从这些发展过程可以看出,这四年来,自适应安全架构不断扩展内涵和外延,表现出了极大的生命力,无论是对安全建设方还是对安全厂商,都有很大的参考价值。安全建设方可以按此架构对整个组织的安全状况进行梳理,构建安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善安全态势,而安全厂商可以根据此架构来规划功能和产品,不断增强和加深自适应的各项安全要求。
传统安全的核心思想是防御和控制,就像是建设一座城墙,希望把***者阻挡在城墙外面,但是“你有张良计,我有过墙梯”,客户投入大量人力、物力建设的“万里长城”,在APT***眼里可能只是一道矮矮的篱笆墙。而且,在数字化时代,企业的业务要具备“敏捷性”——快速、灵活、弹性化是敏捷性的最根本的要求,与传统安全理念讲究的控制与防护是矛盾的,我们经常遇到的“安全不利于业务拓展,安全不利于生产效率”等说法就是这种矛盾的体现。自适应安全架构提出来的就是如何在保证安全的基础上,让企业拥抱数字商业机会:
1、持续高效的检测和响应是自适应安全架构的基础。
2、UEBA加入到自适应安全架构,安全从侧重威胁研究,加入了以“人和实体(终端,服务器设备等)”为中心的行为研究。
3、突出企业资产保护,进一步从与***防护相关的威胁检测和响应,到企业资产(数据,业务运营,安全运营)保护相关的检测和响应。
“无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”——《孙子・九变篇》
不论是洛克希德・马丁公司的KillChain,还是MITER的ATT&CK,都是一种从***者的角度来解析在***企业网络时所采用的策略、战术和技术。但是,对***者的了解和研究往往是滞后一步的,著名的勒索病毒,震网病毒都是在事后被研究、分析的。从一定意义上讲,对于***者的研究是踩着阵亡者的尸体一步一步走来的,代价巨大。
如果能在准确刻画企业业务系统运转过程中的各种要素,以及它们之间的联系,生成很多体现业务运营的内在特征指标,并且对这些指标进行持续的监控和分析,那么无论***者使用了什么漏洞、工具和方法,都会引起这些指标的变化,从而被检测出来。这时企业的安全就不再依赖于对手,而是取决于对自己业务的认知。这也是Gartner将自适应架构引入UEBA,以及把资产作为防护内环的重要因素之一。
全息风险势态感知系统(Onfire)被Gartner定义为“UEBA Driven DCAP“——从字面上理解,就是UEBA驱动的以数据为中心的审计和保护,这个定义体现Onfire的2个特性,一是,以保护企业数据为核心;二是,通过UEBA技术实现对数据的审计和保护。
Onfire通过对网络流量的长期持续采集,从网络原始数据(Meta Data)中,按照时间序列提取“用户,设备,应用,数据”四个维度的信息,实现对业务系统的刻画:
用户维度:Onfire采用用户账号信息(包括:邮件账号,HTTP登录账号,RADIUS登录账号)作为用户标识。Onfire也可以和企业LDAP集成获取用户账号信息,或者采用人工导入方式,导入“IP地址——用户名”对应关系,以此建立业务系统“用户”维度的信息。
设备维度:Onfire数据采集器(HoloFlow)可以采用多种方式获取用户使用的设备的MAC地址(例如:DHCP Snooping方式,SNMP或者ARP查询方式等),采用MAC地址作为用户使用的终端设备的标识。
应用维度:Onfire通过对协议解码,获取网络会话所使用的应用层协议,根据内置的应用服务数据库,标识用户所访问的应用。如:Web网站,邮件收发,云盘,音视频,IM等。
文件维度:Onfire系统可以还原采集器获取的网络流量中的文档文件(如:Word,Excel,PPT,PDF等),例如:邮件附件,HTTP,FTP,SMB上传/下载的文件,对文件内容进行扫描,并根据预定义的敏感信息规则判断文件的敏感级别,为不同敏感级别的文件打标签。以此构建客户业务系统数据维度的信息。
Onfire对上述4个维度进行画像,并将相关的4个维度信息关联,构建以用户和设备为基点的业务系统画像,形成对用户的全息立体刻画,刻画网络中抽象的IP所对应用户和设备,并刻画用户和实体(设备)通过网络访问应用的行为,以及传输文件的行为。
Onfire的全息立体刻画,可以支持任意维度的数据挖掘和追溯,如:从可疑应用维度追溯用户维度、设备维度、文件维度的行为;从敏感文件追溯用户维度、设备维度、应用维度等;或者从可疑用户维度追溯文件维度,应用维度;在“刻画”的基础上,利用UEBA,通过机器学习的方式“捕获”异常的用户和设备,从而定位威胁,即,通过对用户和实体的行为的刻画,以时间轴为基准,采用机器学习技术,对用户和设备行为建立基线,实现多个场景的异常行为发现和告警。最终在***者获取数据之前阻止***。
全息网御科技有限公司从2018年正式进入公司化运营以来,在电信运营商,金融,能源,制造等行业推进以Onfire为核心的安全风险势态感知系统,在数据资产追溯,企业敏感信息合规审计,企业行为审计,高风险应用审计等领域为用户带来了切实的收益。
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率
来源:oschina
链接:https://my.oschina.net/u/4274818/blog/4791690