那么,瞻博网络的软件定义安全网络(SDSN)解决方案如何帮助您做好新IT基础架构环境下的企业信息安全规划的呢?
安全事件盘点
我们简单的盘点一下自2016年下半年以来,全球大型的安全事件:
- 2016年9月,Yahoo被曝5亿用户账户泄露;
- 2016年10月,史上最大的DDoS攻击,恶意软件Mirai控制的物联网设备攻击导致了大半个美国的网络瘫痪;
- 2016年12月,Yahoo再次被曝另外10亿用户账户泄漏;
- 2017年2月,Google宣布攻破SHA1,SHA1加密不再安全;
2017年2月,知名云安全服务商Cloudflare被曝泄漏用户HTTPS网络会话中的加密数据长达数月。
从这些事件可以看出,很多安全问题没有得到足够的重视,比如物联网安全,当我们家用的空气净化器、电饭锅被黑客用于DDoS攻击时,我们甚至都不知道如何去给它设置一个密码。黑客组织在技术上始终保持着领先,战略上始终保持着主动,作为被动防御又缺乏安全专业技术的普通公司,企业信息安全似乎成了一个伪命题了。
有一种观点,认为物联网和企业安全距离还有点远,有的企业网络是完全隔离的内网,比如传统的银行。那么完全和Internet隔离的内网似乎就没有问题了吗?这也是物联网安全没有得到足够重视的原因之一。类似的观点还有,有的企业IT基础架构主要依靠公有云,公有云自身有很强的安全保障,公有云还可以提供很多安全服务,不用担心安全问题。而无数的历史经验证明,没有问题往往意味着更大的隐患。
企业网安全的严峻形势
以Yahoo事件为例,两次被曝出5亿和10亿用户账户泄漏,尚且不知道有没有重叠,如此庞大的用户账户泄漏,为什么Yahoo没能防止,甚至是没有察觉到?一种说法认为,黑客组织采取了一种被称为缓慢出血(Slowbleed)技术,少量的数据难以被察觉的持续流出,经过数周、数月甚至数年时间,流出的数据在外部组合起来得以如此庞大。
从Yahoo事件可以得到几个关键词——高级威胁、持续、内部,而这正是传统的企业网安全模型薄弱的环节。传统的网络安全是在网络的出入口部署安全设备,如防火墙、入侵防护、应用安全控制等等,也就是边界安全模式。
边界安全模式有这样几个特点:
- 认为边界内部是安全的,外部是不安全的;
- 认为流量超出一定阀值是有问题的,持续平稳的流量是正常的;
- 命中已知的漏洞、恶意代码是有风险的,正常的业务流量是安全的。
高级威胁主要的实现方式是通过精心伪装的恶意软件(Malware),并不一定是程序,可能只是一个Word文档,穿过边界到内部主机,再由内部主机主动连接外部的控制主机(C&C Server),因为内部访问外部默认是安全、不加限制的,使得CC主机得到控制权后,就可以为所欲为了。因此,在传统安全模式下,对高级威胁是无力防护的,同样无法防护的还有零日攻击(Zero day attacks)。
对于云安全,公有云提供商的关注点往往在云基础设施的安全性和可提供的安全服务上,对于用户使用云过程中的安全问题,是缺乏关注的,比如典型的“帐号劫持”问题。另外混合云架构会为企业网络带来一个私有云与不同层次的公有云(SaaS、PaaS、IaaS等)之间复杂的连接,如何做好安全控制和降低风险,是一个更大的挑战。
软件定义安全网路
瞻博网络的软件定义安全网络(SDSN)解决方案,提供了一个很好的思路。瞻博网络SDSN倡导从“网络安全”到“安全网络”的转变,也就是无边界安全或者零信任安全模式其核心思想是认为网络中的每一个节点都是独立的安全边界,都可以进行安全威胁的检测和防护动作。我们做一个形象的比喻,就如一栋大楼由只在入口设置安保人员,变成为每一个房间、甚至每一个人设置一个私人保镖保护。
SDSN解决方案由三部分组成:
- 网络基础设施:包括数据中心、园区网、分支机构等所有的网络设备,包括防火墙、路由器、交换机等(物理的和虚拟的)。
- 安全策略控制平台(Policy Engine):对上负责收集威胁情报信息(C&C、GEOIP、Custom等),对下负责下发安全策略至网络节点。
- 云端高级威胁防御系统:上层是瞻博网络的黑科技产品,基于云的高级威胁防御系统Sky-ATP,Sky-ATP是一个全面的威胁情报平台,全流程使用了机器学习(Machine learning)技术,首先包括传统的特征码检测;其次防病毒部分采用多个第三方的杀毒引擎,并整合多方病毒库用于机器学习;以及静态检测和动态检测,检测功能整合了瞻博网络特有的蜜罐技术,可以诱导识别恶意攻击,同时支持云端沙箱(Sandbox)技术,可使深度隐藏的恶意软件现形。
除了自身探测的威胁情报,Sky-ATP系统可以接收来自第三方安全机构的情报,实时共享,同时支持『定制情报』的输入(Custom feeds)。
- SDSN工作流程:以园区网场景为例,出口的SRX防火墙接收到来自Sky-ATP的威胁情报信息,进行实时检测,当发现某主机主动连接某外部的CC服务器时,即上报策略平台PE,PE通过接入层交换机的扩展服务,可以获取受感染主机(Infected host)的MAC地址,PE实时下发ACL到接入层交换机连接该感染主机的接口,实时将该主机拦截(Block)。
SDSN的应用场景还有数据中心、运营商边界网等,包括虚拟化数据中心的虚拟分区间安全控制,运营商边界Cloud CPE设备上部署的虚拟安全服务管控等,本文旨在探讨企业网安全规划的思路,方案部分不再做详细的分享。
值得一提的是前文提到的银行网络问题,视乎和Internet隔离就安全了,同时来自Internet的威胁情报,诸如CC主机信息等对于内网来说也没有价值。事实上对于行业用户来说,需要的是针对自身网络的威胁情报,比如一个Web Server某一天突然主动发起了一个FTP会话,可能就是一个有价值的威胁情报,而这样的情报没有任何外部资源可以提供,这就需要行业用户自己挖掘。
目前有一些安全公司已经在提供用于威胁情报挖掘的大数据平台解决方案,而部分行业客户已经开始部署。自己挖掘数据有一定的滞后性,但经过一定时间的积累,是能够真正起到作用的有效投入。而前文提到的SDSN支持的定制情报特性(Custom feeds),在此场景就可以很好的融合,通过将大数据平台挖掘的情报输入给PE,PE可以进行统一管理,或者实时下发策略给网络节点进行拦截,就成为一个行业专用的实时威胁防护平台。
要点
软件定义安全网络并不只是一个口号,同时带来了一些很好的思路,简单总结如下几点,可以作为企业信息安全规划的参考:
1. 获取威胁情报
在高级威胁面前,作为防护者,技术是永远落后于黑客组织的,诸如精心伪装的Malware、零日攻击问题,利用技术手段很难防护,而通过获得全面的威胁情报,比如黑客组织的CC地址、GEOIP等,Malware虽然做了各种的精心的伪装,但是最终无法伪装其行为,当其卧薪尝胆之后连往外部的CC主机之时,通过策略的联动就可以实时拦截下来,使其前功尽弃。
如果你的网络是专有网络,那么外部的威胁情报可能没有价值,那么需要考虑如何自力更生挖掘属于自己的情报信息,例如搭建内网的大数据分析平台。
2. 着手准备安全管理平台
未来十年,企业在安全建设的投入增长将超过40%,安全管理会像网络管理一样普遍和深入。尽早搭建安全管理平台,把威胁情报、策略控制、风险管理等整个网络的安全集中统一的管理起来,不失为一个好的主意。
安全管理平台需要能够支持全网节点的策略下发能力,这就需要解决网络节点多品牌产品的兼容性问题,例如瞻博网络的SDSN解决方案,除了支持瞻博网络的产品外,逐步会支持第三方的网络设备策略控制。
3. 让每一个点都有安全检测和执行能力
这里的每一个点,不仅限于网络节点,包括服务器、存储、PC、工作站、IP音视频,以及可能接入网络的所有智能终端等等,零信任安全是安全发展的必然的模型,为你的每一个点都设置一个私人保镖吧。
总结
高级威胁已临,SDSN刻不容缓,SDSN倡导从“网络安全”到“安全网络”的转变。一直以来我们都重点关注威胁带来的风险,而轻视了降低风险的重要性。攻击是不择手段的,比如现在流行的社交媒体攻击,黑客组织可能通过清理贵公司的垃圾桶,就可能获取到非常有价值的信息。通过技术手段增加安全性的同时,也要考虑降低风险的投入。一个比喻:应对入室盗窃的威胁,选择一,可以投资一套闭路监控系统,提升安全性,这样入室盗窃发生后,可以通过监控录像找到线索尝试追回;另一种选择,通过投资更换一套更高级的门锁,就可以有效降低入室盗窃的风险。
