像黑客一樣思考:微分段的好處

責(zé)任編輯:editor006

2017-02-10 16:52:39

摘自:E安全

如果我們能從過(guò)去幾年媒體報(bào)道的一系列數(shù)據(jù)泄露事件中學(xué)到一二,惡意攻擊者對(duì)數(shù)據(jù)中心(“駐留”(Dwell Time)黑客在這些環(huán)境中受益)的廣泛活動(dòng)一直是組織機(jī)構(gòu)遭受破壞程度的主要因素

如果我們能從過(guò)去幾年媒體報(bào)道的一系列數(shù)據(jù)泄露事件中學(xué)到一二,惡意攻擊者對(duì)數(shù)據(jù)中心(“駐留”(Dwell Time)黑客在這些環(huán)境中受益)的廣泛活動(dòng)一直是組織機(jī)構(gòu)遭受破壞程度的主要因素。駐留時(shí)間越長(zhǎng)(數(shù)周、數(shù)月、數(shù)年),訪問(wèn)次數(shù)越多,受害者遭受的損壞就越大。

惡意攻擊者的能力不僅是獲得關(guān)鍵資產(chǎn),還會(huì)在數(shù)據(jù)中心附近自由走動(dòng)而不被發(fā)現(xiàn)。接下來(lái)幾年,預(yù)計(jì)網(wǎng)絡(luò)安全支出將達(dá)近1000億美元,這仍有些讓人難以置信。未來(lái)幾年,人們將會(huì)在網(wǎng)絡(luò)安全上大量支出,但卻無(wú)法阻止惡意攻擊者自由出入網(wǎng)絡(luò)和應(yīng)用中心內(nèi)部。

任何規(guī)模的組織機(jī)構(gòu)可以通過(guò)一件重要的事幫助應(yīng)對(duì)該挑戰(zhàn):更好地分割內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)營(yíng)。這是大多數(shù)IT和安全團(tuán)隊(duì)目前為止沒(méi)有采取的關(guān)鍵步驟。即使在今天,巨額網(wǎng)絡(luò)安全支出和注意力仍集中在外圍。事實(shí)上,今年早些時(shí)候,NSA特定入侵行動(dòng)辦公室(Tailored Access Operations,TAO)的團(tuán)隊(duì)負(fù)責(zé)人Rob Joyce在Usenix Enigma安全大會(huì)上發(fā)表精彩講話時(shí)傳遞了一條簡(jiǎn)單信息:對(duì)任何重要網(wǎng)絡(luò)進(jìn)行分段。

那么,為什么沒(méi)有組織機(jī)構(gòu)行動(dòng)起來(lái)?為什么不能像黑客一樣思考并采取行動(dòng)應(yīng)對(duì)威脅?

事實(shí)證明,基于傳統(tǒng)網(wǎng)絡(luò)技術(shù)(交換機(jī)、路由器、防火墻等)的微分段(Microsegmentation),雖然很有價(jià)值,但會(huì)增加數(shù)據(jù)中心運(yùn)營(yíng)的復(fù)雜性和風(fēng)險(xiǎn)。執(zhí)行起來(lái)非常困難。許多大型組織機(jī)構(gòu)使用數(shù)以百萬(wàn)計(jì)基于IP地址的防火墻規(guī)則,使得他們的安全政策在復(fù)雜性和脆弱性方面僅次于聯(lián)邦稅法。如何轉(zhuǎn)化成數(shù)據(jù)中心內(nèi)部?

為什么不能從黑客身上吸取教訓(xùn)?黑客不會(huì)突然入侵?jǐn)?shù)據(jù)中心,他們往往會(huì)尋找一個(gè)漏洞,然后離開(kāi)。這就意味著,具有廣泛基礎(chǔ)的分段在效果上將受限。互補(bǔ)方法是驅(qū)動(dòng)分段接近應(yīng)用程序,甚至接近物理或虛擬服務(wù)器,這類(lèi)方法可以降低內(nèi)部威脅和橫向攻擊擴(kuò)散。如果工作負(fù)載/應(yīng)用程序被感染,并且其它應(yīng)用程序沒(méi)有很好地分段,惡意黑客可以迅速擴(kuò)散(Target、美國(guó)人事管理局和索尼影業(yè)遭受的攻擊便以這樣的方式開(kāi)始)。只有分段到工作負(fù)載/應(yīng)用程序才能防止/減少風(fēng)險(xiǎn)。

目前尤其突出的是,應(yīng)用程序變得越來(lái)越分散、動(dòng)態(tài)、異構(gòu)、混合。簡(jiǎn)單而言,許多現(xiàn)代N-層應(yīng)用程序不在一個(gè)服務(wù)器上運(yùn)行一個(gè)框架。一個(gè)應(yīng)用程序甚至?xí)鐜资畟€(gè)數(shù)據(jù)中心。這樣一來(lái),怎么能通過(guò)防火墻保護(hù)?

內(nèi)部分段方法必須適應(yīng)環(huán)境的變化(自旋向上、向下、移動(dòng)),并增加新計(jì)算格式的動(dòng)態(tài)性,例如,Linux容器只能運(yùn)行幾秒鐘完成進(jìn)程。并且,Linux容器必須在混合環(huán)境下運(yùn)作。

數(shù)據(jù)中心微分段的好處在于減少惡意攻擊者進(jìn)行通信和移動(dòng)的攻擊面。通過(guò)鎖定所有未授權(quán)的通信,同樣可以限制大部分探測(cè),使惡意攻擊者難以在整個(gè)數(shù)據(jù)中心橫向擴(kuò)散。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)