內容概覽

• 網絡攻擊已經從早期的泛攻擊演進為利用0-day漏洞、以獲取重大經濟/政治利益為目標、定向持續的高級攻擊。

 

• 隨著企業業務的云化、虛擬化、移動化，網絡邊界被拉伸、模糊甚至消失，傳統的網絡安全架構已不能適應IT架構的變化，無法應對新的高級威脅。

 

• 內部人員的誤用、濫用或惡意行為，越來越成為安全事件頻發的重要原因，內網不再是可信的安全區域，應加強內部人員網絡行為的審計與監控。

 

• 現有網絡安全防護體系基于P2DR模型，以網絡邊界為中心，以特征匹配為核心手段，重在防御，是靜態、被動的安全模型，不能有效應對未知威脅。

 

• 云管端下一代網絡安全架構基于PDFP模型，以異常檢測、智能預測、協同聯動為手段，強調對抗，是動態、主動的安全模型，能夠有效應對未知威脅和APT攻擊。

 

傳統網絡安全防護體系無法應對新的安全威脅

傳統網絡安全理論基于2個核心模型：邊界安全模型，P2DR防御模型。

  
 

隨著組織業務的云化、虛擬化、移動化，傳統的網絡邊界被拉伸、模糊甚至消失，此外，內部人員的誤用、濫用或惡意行為，使內網不再是可信的安全區域。P2DR模型假設信息資產面臨的風險是可以充分評估預知的，然而這種假設在0-day攻擊和APT攻擊面前完全失效。可見，傳統基于邊界防御和已知特征進行防護的安全架構，是一種靜態的、被動的、防御思維的安全模型，已無法應對新的威脅。

PDFP安全模型

針對0-day漏洞、特種木馬和APT等高級威脅，網康科技提出了PDFP安全模型，該模型對于安全環境的理解與傳統P2DR有很多不同，認為：

• IT信息系統永遠存在未知的威脅，無法通過評估獲得充分認知；
• 防御系統無法確保阻止黑客攻擊，網絡、設備、應用一定會失陷（breach）；
• 當前網絡事實上已經失陷，只是損害狀態不為我們感知；
• 內網與外網一樣不安全，內部人員誤用、濫用或惡意的行為每天都在發生；

 

 

 

 

 

 

 

 

 

 

 

云管端下一代網絡安全架構

 

云管端下一代網絡安全架構，是網康科技遵循PDFP模型，率先踐行的應對高級威脅的網絡安全架構。

“端”——指終端設備
包括PC、服務器、智能移動終端，是距離應用系統和數據近的設備，是重要的風險引入點，需要部署殺毒和管控策略（360天擎，天機）；

“管”——可理解為泛化的網絡邊界
除了部署對外的防御設備（下一代防火墻，上網行為管理，WAF等），還應在內網部署行為審計設備，加強內部人員違規行為監控；

“云”——網康云
除了提供云沙箱、云查殺、云信譽評估等基礎服務外，還針對終端和邊界設備上傳的異常日志進行全局關聯分析、異常行為建模分析，使溯源取證與風險預測可視化。

  

云管端聯動是下一代網絡安全架構區別于傳統安全架構的核心能力，三個環節彼此依賴，協同防御。

• 終端設備遇到未識別的灰度文件時，通過云查殺獲得分析結果，第一時間更新本地防護策略；

 

• 終端設備無論訪問內網資源還是互聯網，都需要與邊界設備聯動，進行嚴格的準入準出控制；

 

• 邊界設備（無論是對外防御設備，還是內網審計設備）實時把安全日志、異常行為日志、灰度URL樣本、異常流量日志上傳至云端；

 

• 網康云除了提供實時云信譽查詢服務，還利用外部威脅情報、終端和邊界設備的異常日志，進行大數據分析，做出攻擊預測報警，實現云管端智能協同、主動防御。

 

 

下一代網絡安全架構的5項關鍵能力

為了應對未知威脅和高級威脅，下一代網絡安全架構需要從應用和內容層面深入理解網絡的變化，從全局視角分析各種異常網絡行為之間的關系。我們認為以下5項是下一代網絡安全架構的關鍵能力。

情境感知（context-aware）能力
指利用各種輔助網絡信息分析安全狀態，以做出更準確的安全決定。

威脅情報利用能力
威脅情報之所以備受關注和認可，在于它通過信譽機制（Reputation）提供了準確度很高的威脅信息，比如：惡意的IP，URL，DNS，文件等。有些威脅情報服務還提供攻擊過程的說明，攻擊的目標是什么，以及建議企業如何防御。

內部人員行為審計能力
越來越多的企業組織認識到內控的必要性，但采取的措施限于數據庫審計、終端設備管控、以及SIEM安全日志分析。這些措施的重點放在了業務自身的安全分析，卻忽略了對人的管理，事實上內網安全風險主要是由于人員的誤用、濫用或惡意行為導致的。PDFP安全模型認為內網不再可信，甚至是零信任（zero-trust）網絡，要求對內網人員進行認證識別、行為審計、基線行為建模、異常行為識別報警，降低由于人員行為不當導致的安全隱患。

全網智能協同能力
一次成功的網絡攻擊涵蓋邊界突破、終端感染、滲透平移、服務器漏洞利用等多個步驟，各個步驟彼此依賴，相互配合。大型組織通常部署了多種網絡安全產品，以保護服務器、終端、網絡邊界，然而這些設備/系統基本是孤立運行的，不了解攻擊行為與其它防御點的關系，無法從全局理解正在發生的安全事件，無法形成協同效應。孤島防御容易被繞過，因此需要對終端和邊界設備賦予智能，使他們能夠同步信息，互相配合，以應對不斷變化的IT架構和復雜的網絡風險。

大數據安全分析能力
攻擊者除了突破多道防線，還需要足夠“耐心”才能取得成功，復雜的攻擊可能長達數月甚至幾年。因此對攻擊行為進行跨時空分析，才能看清整個攻擊鏈條。目前SOC或SIEM系統能夠收集各種安全日志，進行基本的統計分析，但還遠不能解決安全事件的可視性和可溯源性問題。主要原因在于數據來源不夠廣泛，沒有引入外部威脅情報；數據粒度不夠精細，缺乏必要的情境數據；時間跨度不夠長久，沒有跨年度的完整日志；分析方法過于簡單，無法洞察攻擊過程，更不能進行預測。面對未知威脅，只有采用云計算和大數據分析技術，才能從根本上解決數據來源廣泛性、數據充分性、分析模型有效性的問題。其中建模分析尤為重要，數據不經有效的分析就永遠是數據，甚至是垃圾數據。除了傳統的統計、聚類、貝葉斯分析外，前沿廠商都在嘗試全局關聯分析、啟發式機器學習等分析模型。

 

云管端安全架構的價值

相比傳統以邊界防護為核心、相互孤立的網絡安全體系，云管端下一代網絡架構具有明顯的優勢。

賦予了終端設備和邊界設備應有的智能，不再依賴本地靜態特征庫/策略庫，可以實時感知網絡威脅的狀態并做出調整，防御能力大幅提升。

云管端聯動機制，使得網絡安全具備了全局可見性，防御方式也從孤島模式演進為協同模式，從而能夠有效防御已知威脅和未知威脅。

網絡安全始終都是大型組織投入的重點，云管端架構使買“安全感”真正變成了買“安全”，實現價值落地，提高了網絡安全投資回報率。

 

分享三個觀點

任何事務發展都有內在的延續邏輯，而非斷崖式替代，分享以下3個觀點。

以邊界防護為中心的安全體系存在固有缺陷，但并非毫無價值，它們能夠很好地應對已知威脅，并發揮著重要作用。但企業組織應該用動態、主動的思維方法重新審視面臨的威脅態勢，并調整安全投入的重點。

云管端架構不是萬能良藥，不能期待解決所有的安全問題。安全問題永遠是人與人之間的智力對抗，道高一尺，魔高一丈，安全的主動權掌握在攻擊者一方，下一代網絡安全架構提供了主動對抗的手段。

安全問題極為復雜，云管端模型預測攻擊的準確度不可能百分之百，需要安全專家介入，結合實際業務特點進行分析判斷，以減少誤報。

 

在線查看《云管端下一代網絡安全架構白皮書》請點擊：http://www.tctysl.com/uploadfile/2015/0701/20150701051005921.pdf

 

下載《云管端下一代網絡安全架構白皮書》請點擊：http://www.tctysl.com/uploadfile/2015/0702/20150702060340875.rar