首页 > 关于安博通 > 新闻中心
工信部网安学堂:基于“零信任+”的流量威胁管控实践
2020-07-16
124

作为可视化网络安全技术创新者,安博通提供的“基于‘零信任+’的流量威胁管控实践”课程入选工信部网络安全在线培训平台(简称“网安学堂”)。

 

1.jpg

 

“零信任”是一个安全术语也是一个安全概念,简单来说,就是不相信任何人,除非网络明确知道接入者的身份,否则谁也无法接入。本课程结合等保要求,思考总结“零信任”在关键信息基础设施等业务场景的应用,希望能给各位带来些许启发和帮助。

 

(以下为课程精要,阅读时间约为5分钟。)

 

安全是一个过程

 

2.jpg

 

对网络安全运维管理的现状进行分析,我们总结了这张成熟度曲线图,它充分体现了“以结果为导向”的安全心态。

 

有一些安全从业者希望一劳永逸,只解决合规问题就好,一旦出现安全事件,就会产生“求解药”的心态。态势感知与SOC概念的火热,也让一些从业者更多关注“知彼”,而忽略了“知己”,比如没有建立完整的内网资产清单、不清楚所有的资产漏洞和脆弱性。

 

此时,一味强调防御的结果,在面对新型攻击时会疲劳,甚至是徒劳。

 

3.JPG

 

安全观念正在不断演进,诚然“合规”依然是网络安全产业的主要动力,但安全能力也成为了越来越重要的衡量标准。剖析安全的本质,我们认为:网络安全是一个持续的过程。

 

所谓过程,即在某一个时间与空间点,安全只反映攻防对抗的暂时状态,终极安全结果很难达到。面对不断变化的新型攻击时,很难找到一蹴而就的解决方案,防守方同样需要不断发展、不断更新。只要保证过程持续安全,则结果更加趋向安全。

 

水滴石穿,最柔软的水恰蕴含最强大的力量。网络安全更是一种无形的、柔性的能力,可融入到任何网络、系统或业务中。全局安全的前提是信息跨平台流动,各组件保持关联协同,共同确保过程中每一阶段的安全。

 

安全将会从“以结果为导向”转变为“以过程为导向”,数据及数据分析能力的对抗,贯穿着整个过程。

 

4.JPG

 

近年来,安全架构也在演进中。安全自适应架构(ASA)定义安全保护是一个连续的过程,业界基于ASA已有大量落地实践。

 

持续自适应风险与信任评估战略(CARTA)更是一个庞大的体系,其中包括大数据、人工智能、行为分析、威胁检测、防护评估等方面。CARTA强调对风险和信任的评估分析,分析的过程就是寻求平衡的过程。

 

5.JPG

 

在安全架构的变化中,可以看到安全能力的演进。也就是等保2.0中的关键思想:三化六防,体系化、常态化和实战化。

 

上图中,整体即构筑纵深防御体系,覆盖所有保护对象;主动即防患于未然,消祸于无形;精准即精细化管理,精细化施策;动态即持续性监测,自动化处置。

 

动态防护的发展驱动力是数据分析,我们的目标是超越静态的规则和有限的关联性,转向更多的数据源、更先进的机器学习与可视化技术。

 

同时,还可以将威胁和攻击模型作为安全架构的一个维度。建立可能攻击列表,排序展示防护力最弱的攻击路径,合并展示产生相同结果的攻击路径,使安全架构设计与资产可能面临的威胁相匹配。

 

零信任,从内到外的防护

 

安全圈中有一句经典的话:防火墙不是万能的,但没有防火墙是万万不能的。这句话既说出了防火墙的重要性,也说出了它的局限性。

 

一直以来,我们专注于边界防御,而准入用户可以广泛地访问内部资源。因此,内网未经授权的横向移动,是运维者面临的最大挑战之一。边界防火墙可以阻止来自Internet的攻击,但在检测和阻止内网攻击方面无能为力。传统防护的失效是“零信任”产生的原因。

 

“零信任”是不信任吗?在网络中应用零信任架构(ZTA),是否意味着组织机构不信任员工?其实不然,应用ZTA是承认人人都会犯错,比如误点电子邮件中的恶意链接。

 

ZTA的目的是消除信息系统中的不确定性,实施精确的访问权限决策,只让“需要知道”的人访问数据资源,实现从内到外的保护。

 

传统从外到内的方式,即针对外部攻击的防护,主要关注攻击暴露面。而“零信任”作为从内到外的保护方式,必须清楚什么是业务中最重要的部分,我们称之为保护面。保护面和暴露面的不同视角,反映了访问侧和攻击侧的不同防护思路。

 

6.JPG

 

在这里,我们对比了在身份鉴别和访问控制方面,等保三级要求与零信任架构的对应关系。

 

身份一直是数据泄露的主要原因,如果攻击者盗取身份并登录,而系统不检查身份的真假,那么数据就很容易外泄。身份也是零信任的核心特征,网络中存在高价值数据时,访问这些数据的身份必须高度确定。

 

零信任架构被依赖应用于身份管理、资产管理、应用身份验证、网络分段和威胁情报功能,其中增加了对系统和应用中用户行为、访问操作的监控。

 

攻击者必须执行特权操作或访问资源才能实现其目的。理论上,所有的攻击(包括内部攻击),都可以通过监控此类活动来捕获。

 

对于关键信息基础设施,监控并记录特权活动是关键,特别是当计算、存储、网络、数据库、应用程序和安全管理间的界限变得模糊时。零信任网络访问解决方案是覆盖大量用户,监控访问活动的良好基础。

 

7.JPG

 

与现有的网络安全防护措施相辅相成,零信任架构(ZTA)可以降低企业机构的总体风险,并抵御常见威胁。但同时,ZTA也存在一些独特的安全威胁。

 

针对上图中的安全威胁,我们提出了“零信任+”的设想,这一设想主要分为两个部分。

 

基于“零信任+”的流量威胁管控

 

第一个“+”指缓解相关威胁。

 

硬件可控是计算机底层需要缓解的威胁,可采用国产化芯片,包括CPU、内存、存储等。

 

软件可信基于双体系架构,从底层芯片开始构建主动防御系统,这是等保2.0中着重提出的可信计算。

 

威胁可视在了解“谁在网络上”的基础上,进一步确认“为什么访问数据”和“使用数据做什么”,能够监控并确认访问行为是否合规、合理。

 

这也引出了第二个“+”,与其他技术的融合。

 

任何攻击都会留下痕迹,攻击行为总会造成网络通信的异常。如何从大量的数据中找出异常通信数据?我们基于“零信任+”提出了流量威胁管控平台。

 

8.JPG

 

平台架构分为四层:网络基础架构、基础安全防护、高级威胁分析全流程防护和可视化展示。

 

相比传统的流量威胁分析系统,平台融合应用微隔离、攻击面收敛、权限最小化等方法,实现更精准的应用控制;数据来源更丰富,包括主机、网络、访问控制关系;从监测到控制,包含了更充分的管控手段;从对外防御到内外兼具,确保所有行为符合规范。更重要的是,平台帮助用户从面向安全事件往面向安全运维转变。

 

9.jpg

 

在上述安全架构下,我们提供流量威胁管控的整体解决方案。

 

事前,对资产脆弱性与暴露面的关系进行量化评估,实现防御的收敛和优化,并对网络路径、主机资产进行加固。

 

事中,通过已知和未知威胁、网络侧和主机侧的关联,实现精准攻击链检测,可进行告警、封堵等响应。

 

事后,通过对路径和全流量的捕获,实现对主机行为、网络行为的全面回溯分析与取证还原。

 

从而帮助用户优化安全策略、收敛攻击路径、保护重要资产,用安全能力驱动更清晰、更快速的决策,创造更大的安全核心价值。

 

10.JPG

 

在安全运营过程中,首先对系统自身的攻击面进行分析,通过资产盘点、脆弱性排查、暴露风险分析,辅以威胁情报数据,对风险排序,并通过漏洞修复、补偿控制、安全加固等手段予以响应,从而持续可视化评估收敛网络攻击面,缓解网络风险。

 

同时,通过“零信任”先验证再访问的控制,将应用隐藏在访问代理后,进一步缩减攻击面。

 

11.JPG

 

在威胁监测与自动响应过程中,通过AI检测、网络检测、主机检测,进行多维度的大数据关联分析,实现精准事件分类、自动化编排,从而提升检测精度加速调查响应。

 

12.JPG

 

在策略变更和事件响应阶段,让策略变更全流程自动化,通过策略智能运维,持续满足合规要求并控制安全风险。

 

流量安全分析的两个实践

 

13.JPG

 

下面介绍本方案的两个实践,第一个是通过网络端口流量分析,快速发现勒索病毒等异常流量,确认其影响范围并加以控制。

 

在政务网、企业内网、校园网等场景,经常会遇到如下问题:当反馈有异常时,如何快速了解网络端口的流量数据?发现攻击、异常、病毒时,如何查询受影响的范围?

 

本方案提供目标端口数据统计功能,可以在超大流量网络中,实时监控查看TOP10端口的流量详情、构成比例和访问次数,查看其中是否有异常端口,判断网络流量整体情况。

 

当发现异常的端口流量数据后,可以通过会话分析、流量回溯快速定位受影响的主机,及时响应。

 

实践价值:快速诊断端口整体情况,定位异常影响范围,大幅加快故障修复、异常处置速度,减少后续损失。

 

14.JPG

 

再看另一个案例。某单位的数据中心共有400多台服务器,涉及多个部门、业务、管理人员,管控较混乱。

 

部署本方案后,首先发现未知应用流量大;其次,在未知应用中,端口22的流量排名靠前,数量超过1万多条。

 

打开未知流量的会话列表,发现源IP都为X.X.111.24,目的IP遍布全球多个国家,会话连接类型都为半连接。

 

使用报表中的IP地址功能,查找源IP的流量情况,发现前一天的流量很大,上行流量达3.29G、下行35M、会话数6041万条,明显异常。

 

针对这一问题,通过进一步检索,发现X.X.111.24是内网的服务器A,但大部分时间该服务器没有数据流量。

 

综合判断,服务器A对多个国家多个目的IP的TCP端口进行扫描,疑为服务器下线后无人管理,成为僵尸主机。最终对该服务器进行封堵和加固,形成了半自动化的响应闭环。

 

“零信任+”是一个安全理念,也是一种安全框架。本课程基于“零信任+”的架构和方法,结合实践应用,介绍了满足等保要求的基础上,如何对流量威胁进行综合管控。希望能让各位安全从业者有所收获,在此表示感谢!

 

欢迎扫描下图二维码进入“网安学堂”小程序,搜索专家姓名“李源”或课程名称“零信任”,在线学习完整课程~

 

15.png