網(wǎng)絡(luò)安全是一個永遠的話題。攻擊手段在變化，攻擊對象在變化，攻擊技術(shù)也在變化。目前，唯一不變的，就是對惡意攻擊的堅決抵抗和不妥協(xié)。

自從去年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立以來，網(wǎng)絡(luò)安全在國內(nèi)掀起了一股前所未有的熱潮。回首過去，我們看到，在已經(jīng)走過的2014年，信息安全市場正在逐漸成長；再看今朝，我們看到國內(nèi)眾多安全廠商紛紛“摩拳擦掌”布局網(wǎng)絡(luò)安全領(lǐng)域。

近日，網(wǎng)康科技更是重磅推出《云管端下一代網(wǎng)絡(luò)安全架構(gòu)白皮書》，內(nèi)容涉及攻擊者如何突破防御體系，傳統(tǒng)網(wǎng)絡(luò)安全防護體系無法應(yīng)對新的安全威脅、云管端下一代安全架構(gòu)等多方面的分析和研究，是業(yè)界首個針對下一代網(wǎng)絡(luò)安全架構(gòu)展開深入研究的白皮書。

 

傳統(tǒng)網(wǎng)絡(luò)安全防護體系的局限性

    傳統(tǒng)網(wǎng)絡(luò)安全理論遵循一個重要的原則：安全威脅是由具體的安全漏洞導(dǎo)致的，而所有漏洞都是具體存在的，是可識別、檢測的；基于這個假設(shè)，完整的防御體系的核心功能就是對漏洞的精確識別與檢測，在此基礎(chǔ)上，由安全策略驅(qū)動對風(fēng)險進行告警和阻斷，構(gòu)筑清晰明確的安全邊界。這也是為什么很多測評機構(gòu)都將漏報率/誤報率作為衡量安全防護設(shè)備優(yōu)劣的一個重要指標(biāo)。這種安全理論基于一個重要假設(shè) - 假設(shè)信息資產(chǎn)面臨的風(fēng)險是可以充分評估預(yù)知的。而對于沒有明確特征的0-day或APT攻擊，傳統(tǒng)安全理論模型束手無策。近幾年來幾次比較嚴(yán)重的有組織網(wǎng)絡(luò)安全攻擊，如震網(wǎng)病毒、eBay用戶信用卡信息泄露事件，都是利用了傳統(tǒng)安全防御手段無法檢測未知威脅這一致命弱點。事實上，即使安全廠商能夠及時維護足夠全面足夠精確的檢測特征庫，先有攻擊事件后有檢測特征這一事實決定了傳統(tǒng)安全設(shè)備只能是被動的防御設(shè)備。

 

云管端下一代網(wǎng)絡(luò)安全架構(gòu)

云管端下一代網(wǎng)絡(luò)安全架構(gòu)，是網(wǎng)康科技遵循PDFP模型，網(wǎng)康率先踐行的應(yīng)對高級威脅的網(wǎng)絡(luò)安全架構(gòu)。（關(guān)于PDFP安全模型,P2DR防御模型參考后文附錄）。

 

 

 

“云”——網(wǎng)康云

除了提供云沙箱、云查殺、云信譽評估等基礎(chǔ)服務(wù)外，還針對終端和邊界設(shè)備上傳的異常日志進行全局關(guān)聯(lián)分析、異常行為建模分析，使溯源取證與風(fēng)險預(yù)測可視化。

“管”——可理解為泛化的網(wǎng)絡(luò)邊界

除了部署對外的防御設(shè)備（下一代防火墻，上網(wǎng)行為管理，WAF等），還應(yīng)在內(nèi)網(wǎng)部署行為審計設(shè)備，加強內(nèi)部人員違規(guī)行為監(jiān)控；

“端”——指終端設(shè)備

包括PC、服務(wù)器、智能移動終端，是距離應(yīng)用系統(tǒng)和數(shù)據(jù)最近的設(shè)備，是重要的風(fēng)險引入點，需要部署殺毒和管控策略（360天擎，天機）；

 

下一代網(wǎng)絡(luò)安全架構(gòu)5大核心關(guān)鍵能力

為了應(yīng)對未知威脅和高級威脅，下一代網(wǎng)絡(luò)安全架構(gòu)需要從應(yīng)用和內(nèi)容層面深入理解網(wǎng)絡(luò)的變化，從全局視角分析各種異常網(wǎng)絡(luò)行為之間的關(guān)系。以下5項是下一代網(wǎng)絡(luò)安全架構(gòu)的關(guān)鍵能力。

情境感知（context-aware）能力

安全產(chǎn)品必須能夠識別用戶、應(yīng)用、內(nèi)容，并根據(jù)時間、地點、頻率等信息進行模型分析，比如，在一個普通的網(wǎng)絡(luò)環(huán)境，連續(xù)幾天檢測到夜間2點開始有主機連接國外URL，則很可能是發(fā)生了泄密行為。

威脅情報利用能力

威脅情報是第三方專業(yè)安全機構(gòu)提供的高級服務(wù)，對于企業(yè)組織防護最新的已確認(rèn)的網(wǎng)絡(luò)攻擊很有幫助。一個典型的應(yīng)用：威脅情報提供了Command & Control 服務(wù)器的IP地址，防火墻對于與該IP發(fā)生的任何連接可直接阻斷。

內(nèi)部人員行為審計能力

PDFP安全模型認(rèn)為內(nèi)網(wǎng)不再可信，甚至是零信任（zero-trust）網(wǎng)絡(luò)，要求對內(nèi)網(wǎng)人員進行認(rèn)證識別、行為審計、基線行為建模、異常行為識別報警，降低由于人員行為不當(dāng)導(dǎo)致的安全隱患。

全網(wǎng)智能協(xié)同能力

孤島防御容易被繞過，因此需要對終端和邊界設(shè)備賦予智能，使他們能夠同步信息，互相配合，以應(yīng)對不斷變化的IT架構(gòu)和復(fù)雜的網(wǎng)絡(luò)風(fēng)險。

大數(shù)據(jù)安全分析能力

面對未知威脅，只有采用云計算和大數(shù)據(jù)分析技術(shù)，才能從根本上解決數(shù)據(jù)來源廣泛性、數(shù)據(jù)充分性、分析模型有效性的問題。其中建模分析尤為重要，數(shù)據(jù)不經(jīng)有效的分析就永遠是數(shù)據(jù)，甚至是垃圾數(shù)據(jù)。除了傳統(tǒng)的統(tǒng)計、聚類、貝葉斯分析外，前沿廠商都在嘗試全局關(guān)聯(lián)分析、啟發(fā)式機器學(xué)習(xí)等分析模型。

 

云管端安全架構(gòu)的價值

相比傳統(tǒng)以邊界防護為核心、相互孤立的網(wǎng)絡(luò)安全體系，云管端下一代網(wǎng)絡(luò)架構(gòu)具有明顯的優(yōu)勢。

賦予了終端設(shè)備和邊界設(shè)備應(yīng)有的智能，不再依賴本地靜態(tài)特征庫/策略庫，可以實時感知網(wǎng)絡(luò)威脅的狀態(tài)并做出調(diào)整，防御能力大幅提升。

云管端聯(lián)動機制，使得網(wǎng)絡(luò)安全具備了全局可見性，防御方式也從孤島模式演進為協(xié)同模式，從而能夠有效防御已知威脅和未知威脅。

網(wǎng)絡(luò)安全始終都是大型組織投入的重點，云管端架構(gòu)使買“安全感”真正變成了買“安全”，實現(xiàn)價值落地，提高了網(wǎng)絡(luò)安全投資回報率。

附錄：

1、傳統(tǒng)安全方法論——P2DR防御模型&邊界安全模型

傳統(tǒng)的安全防護措施是基于P2DR防御模型構(gòu)建起來的，這種模型有一個前提，首先對信息系統(tǒng)的風(fēng)險進行全面評估，然后制定相應(yīng)的防護策略通過檢測網(wǎng)絡(luò)流量和行為，與預(yù)設(shè)策略進行匹配，如果觸發(fā)防護策略，則認(rèn)為發(fā)生了網(wǎng)絡(luò)攻擊，響應(yīng)系統(tǒng)就執(zhí)行預(yù)設(shè)動作阻止攻擊，并進行報警和恢復(fù)處理。

 P2DR以策略為核心的防御模型 

 

2、下一代安全方法論——PDFP安全模型

網(wǎng)康科技提出了PDFP安全模型，該模型對于安全環(huán)境的理解與傳統(tǒng)P2DR防御模型有很多不同，威脅的預(yù)測（Prediction）能力成為PDFP模型核心安全組件，安全的起點應(yīng)該（Detection）開始，通過各種檢測手段獲取大量用戶和應(yīng)用的行為數(shù)據(jù)之后，像法醫(yī)取證（Forensic）一樣進行關(guān)聯(lián)分析和溯源，還原出隱藏在大數(shù)據(jù)背后的威脅真相，之后再針對性地部署防護（Protection）措施，并進一步反饋和加強預(yù)測能力，形成安全問題的閉環(huán)。

PDFP安全模型圖

了解白皮書更多詳情，請點擊鏈接：

http://www.tctysl.com/news/show-2015-834.html