变化如此之快的信息安全行业不仅让局外人难以理解,即便业内人士对于某些正在发生的急转直下的趋势也时常目瞪口呆。这不,去年大家还觉得SIEM是个高大上难做的产品,毕竟全球范围内做得好的一双手数得过来;而今年已经很明显,每个略有规模的国内安全厂商,都会自行研发一套SIEM在市场上叫卖,很快此细分市场就会变得拥挤。这现象背后有三条关键驱动力,其一自然是从上而下推动态势感知所造就的诱人预算;其二是数据分析已经成为安全产品发展不可或缺的基础,迟早要搭上这趟列车;其三是开源的数据存储和分析基础平台的成熟度终于达到可用级别,技术壁垒大幅降低。这其中先进技术积累的重要性常常被忽视,事实上只有第一条并不能造就SIEM市场万马奔腾的局面,第二三两条发挥的作用更大。本篇就以纵深防御为例阐述说明先进技术对安全理念的落地有多么重大的影响。
新概念总需要新技术支撑才能落地
过去十几年间,国内安全行业对于技术领先并不是非常重视,很多从业者大讲特讲独有模式、客户关系、项目运作、资质壁垒、事件驱动,连带不少投资者也都被误导。不错,没人否认这些因素的重要性,但时代已经改变:随着数字经济快速发展,信息安全复杂度指数级上升,早已不是个人英雄主义能应对的,只有管理优异的集团研发能力才能确立长期竞争优势。忽悠的特征就是砸一堆潮流名词和很多方块的架构图给你看,但永远见不到详细设计和Demo。没有到位的技术积累,概念炒得再火热,总归有被人发现裸泳的时候。
信息安全行业长期存在一个有趣现象,某些特定名词听起来十分高大上,仿佛讲出来立刻显著提高逼格,但细究起来却总是语焉不详,实施落地便如镜中花水中月一般看不清摸不到:历史久远的当属上世纪九十年代提出的纵深防御,中期有本世纪初兴起的蜜罐蜜网,近来毫无疑议是炒作火热的自适应防御。这些概念自洽是没问题的,局部实验看起来也有效果,津津乐道也大有人在,但奇怪的是,你从来听不到企业环境大规模实际部署的成功案例。 究其原因,实在是养育这些概念的技术土壤并不肥沃,无法茁壮生长出令人满意的产品。
推动安全发展的原动力是新技术,不是概念。
纵深防御旨在多个层次防线上使用互相独立的不同防护手段,使每一层都能在前一层安全控制失效或漏洞被利用时提供冗余,从而达到阻止攻击的效果。早在上世纪九十年代就有论文面世对付刚刚引起广泛注意的病毒肆虐。纵深防御被业界人士每隔一段时间便拿出来说说,尝试应用部署也很多,效果也有,但实际效果总是不够诱人,最后往往不了了之。虽然概念十分清晰直观,但业界并没有广泛深入研究过,为什么纵深防御总是达不到理论描述的满意程度,究竟如何才能改进功效,到底需要哪些关键成功因素。现在让我们一起透过纵深防御的本质去看看所需的先进技术。
纵深防御需要相互独立的检测机制
边界防护设备和终端防护软件都使用一个相同的杀毒引擎能叫纵深防御吗?能绕过NGFW的免杀木马,在终端上绕过同一套杀毒引擎也轻而易举。边界设备使用的威胁情报库未包含的C&C域名,使用同一情报来源的终端agent也无法识别。物理上看起来具备纵深空间,实际在逻辑上毫无纵深效果。传统手段依赖于签名特征的静态技术,只对已知攻击有效且检测规则高度类似,难以保证防御方法的相互独立性,效果差强人意。即使在多个层次全都部署防护,如果检测手段同质性严重,显然达不到为上一层提供冗余的效果。
依靠传统安全产品堆叠的纵深防御,无论专家如何美化如何鼓吹,仍是海市蜃楼般的幻象,这便是过去纵深防御雷声大雨点小的根本原因。改变此局面的便是这几年发展起来的不依赖特征签名的下一代检测技术,例如用户和实体行为分析UEBA、网络流量分析NTA等。新一代安全检测技术,都是基于高级数据分析能力,无一例外。毋庸置疑,能够超越传统特征签名手段,在多个层次上提供相互独立的检测机制,目前的选择就是高级数据分析能力。当然也许在不久的将来会有更多新技术出现。大家很快就会看到,Gartner在定义新安全产品类别时,机器学习肯定会作为必备能力出现。前一段热炒的Xshell木马,回传盗取账号数据所使用的DNS隐蔽隧道,无论是在网络还是终端上,使用机器学习早就可以轻易发现。因此,每一层防御中内嵌机器学习引擎,将会是未来实现纵深防御的产品的标准配置。
纵深防御每层所处环境不同,能提供的数据也不尽相同,计算能力也天差地别:网络侧设备无法获得终端侧进程信息,互联网出口边界设备很难获得内网设备间通讯信息,终端侧不能提供海量数据关联计算能力,大数据安全分析平台也受到很多制约。想研发适用所有层次的一揽子解决方案完全不现实。网关设备检测流量虽然能发现Xshell所使用的DNS隐蔽隧道,但定位具体威胁仍有大海捞针的感觉,只有借助终端上的检测手段才可以辅助定位进程,事半功倍。根据每层的特点,有的放矢设计对应的检测手段,扬长补短,充分发挥数据分析的作用,才能将纵深防御切实落地,达到较好效果。
纵深防御需要纵深分析。
纵深防御每层的检测手段都需要自足完备
端点侧轻量级agent采集信息传回云端处理分析、再接受云端指令处置的产品设计,虽然目前还有厂商大力推销,但很快便无法逃脱被淘汰的命运。囿于现有技术水平,笔者想不出有什么工程上的办法,可以保证大规模部署时能兼顾稳定可靠与响应速度。笔者自己在设计EDR产品时,第一反应对此架构就深恶痛绝。采集数据云端管理和大数据分析自然是必需的,但检测手段的自足完备,是新一代安全防护体系无法绕开的根本关键成功因素。任何严重依赖与云和大数据平台通讯的端点和内网防护手段,都不可能在效率和效果上达到商业可用。这种方式严重违背经济规律,与发展趋势背道而驰:端点计算能力的成本,理所当然会远远低于网络管道和分布式数据存储平台的成本。完成相同任务,显然成本低的解决方案更有优势。
去年底火热起来的边缘计算概念有异曲同工之妙。纵深防御每层所使用的高级数据分析,必须能在本地运行,无需借助云端计算,即可发挥绝大部分功效。笔者从来认为集中计算有一万种存在的道理,大数据安全分析平台亦是不可或缺。但是,端点侧能完成的数据分析,就不要传回中央大脑了。毕竟高水平运动员还要通过重复枯燥的训练缩短反射弧响应时间,以获取竞争优势。上文提到终端检测Xshell回传隐蔽隧道便可立刻定位进程,迅速发现威胁应用程序。在安全领域,节约时间提高效率,便意味着降低风险,减少潜在损失。
自足完备的检测手段,对自动化编排和自适应架构都会产生无可争辩的正面作用。仿佛事事请求后台经理审批的前台客服,毫无判断力和决策力,显然不具备自适应处理工作的能力,并没有达到前台应具备的素质要求,效率低下,也不可能实现自动化流程快速应对客户询问。自动化编排已然大势所趋。在前端置入智能决策,尽可能多地无需人工干预解决简单问题,自动化完成响应处置,只把复杂任务留给安全团队人员,是提高安全效率的必由之路。
对纵深防御来讲,无处不在的机器学习支撑的无处不在的自足完备的纵深分析,是令其重焕生机的唯一途径。轻量化高性能机器学习引擎的出现,使人工智能被广泛应用于信息基础设施中的任何地方,正是推进纵深防御的大好时机。
例如,传统网络流量分析NTA构建于大数据平台上,需要在企业网络内部署流量数据采集设备,汇总终端产生的流量数据,集中存储并处理后,才能使用开源机器学习算法库进行分析,进而发现异常流量和入侵迹象。当终端离开企业网络,例如移动至星巴克咖啡上网时,便丧失了此检测能力,且因为缺少数据导致无法对此段时间内终端行为实施调查分析。实现机器学习引擎的轻量化小型化后,针对场景优化算法并实现代码,降低其对运算能力的要求,使之可被嵌入至终端实时运行,不间断在终端本地检测NetFlow、DNS、和PCAP全包等网络流量数据,从而在终端上实现NTA。这便可当作自足完备的纵深防御的组件之一。
纵深防御需要远程快速调查和响应能力
在军事上,布置纵深防御首先要拥有足够的空间。正如上图所示,作战前要认真规划各支部队的部署位置,谋定而后动。而企业信息基础设施本身在逻辑上就是纵深环境。无需刻意划分防线,只要在能运行安全防护手段的设备和网络中尽可能多地部署,自然就能达到纵深效果。这是自然而明显的优势,不用担心没有足够空间用于规划。但也带来了不小的困难:纵深防御理应包含纵深应急响应能力,如何在远离边界的不同纵深防线层次上采取有效处置行动,至关重要。
缺少应急响应能力,就不是真正的防御。
随着SIEM的普及,边界设备的管理已有切实可行的办法。但是,边界总是会被突破的,真正的战场,往往不是那些专用安全设备,而是业务部门所使用的大量终端和区域子网等等,如果对此束手无策的话,纵深防御便如同瘸了一只腿。
随着端点数量增长迅猛,设备多样化和接入复杂化趋势明显,终端频繁被入侵且分布广泛,给应急响应团队的日常工作造成了很大障碍。把所有终端日志汇总到大数据,已经被证明是不可能完成的任务。终端数据查询和分析需要全新的处理架构。准确定位并调查失陷设备,缩短响应时间并提升效率,已成为最迫切的目标。应运而生的新一代端点应急能力包括近实时响应、P2P迅捷通讯、远程调查取证、历史数据查询、自动化批量处置、资产发现、用户行为分析、端点网络流量检测、以及大规模威胁猎捕等。这些功能不仅弥补了传统防护的欠缺,使检测+响应成为可能,更为纵深防御提供了强有力的技术基础。
纵深防御非常重要,对安全行业未来发展有指导意义并占据重要理论位置;而其构成又十分复杂,需要通盘考虑详细设计,更需要新一代技术如机器学习的支撑。同样,蜜罐欺骗和自适应安全等,没有虚拟化技术的成熟,没有软件定义网络的灵活,没有机器学习检测能力,没有自动化响应流程,是不可能做到大规模部署的产品化程度。总而言之,先进技术对未来安全行业发展的重要性日渐突出。
本文只是个引子,若读者感兴趣想了解更多内容,如:
- 当每一层与其他层协同工作时,纵深防御尤其强大
- 纵深防御和态势感知是天作之合
- 纵深分析使自适应防御成为可能
- 纵深防御拥有其它体系无可比拟的战略和战术优势
请关注出席即将到来的演讲:
纵深分析:无处不在的机器学习使纵深防御重焕生机
Analytics In-Depth: Make Machine Learning Ubiquitous to Reinvent Defense In-Depth
9月13日 14:00
中国互联网安全大会 ISC 2017
大数据与威胁分析论坛