實(shí)現(xiàn)基于意圖的網(wǎng)絡(luò)安全(IBNS)需要計(jì)劃、考慮和增量實(shí)現(xiàn)
影響網(wǎng)絡(luò)安全的技術(shù)在理想世界中如何互動(dòng),怎樣與我們網(wǎng)絡(luò)中的設(shè)備共享信息,如何按需求采取緩解動(dòng)作?這些理論上的東西,面對(duì)快速發(fā)展的聯(lián)網(wǎng)系統(tǒng),又將如何改善我們的整體信息安全?
最終,這一切都將落腳到信息上——無(wú)論存在分布網(wǎng)絡(luò)中的哪個(gè)角落,新的、重要的、異常的東西都能被自動(dòng)有效地識(shí)別出來(lái),這種能力可以用“IBNS”,即“基于意圖的網(wǎng)絡(luò)安全”這個(gè)詞來(lái)概括。
IBNS的具體含義是什么呢?簡(jiǎn)言之,IBNS就是對(duì)網(wǎng)絡(luò)中部署的各種安全設(shè)備上搜集來(lái)的信息進(jìn)行分析的過(guò)程。單個(gè)安全解決方案已經(jīng)可以產(chǎn)出大量互不關(guān)聯(lián)的孤立數(shù)據(jù),更不用說(shuō)大規(guī)模的復(fù)雜的安全系統(tǒng)了。
但是,隨著我們同質(zhì)互聯(lián)安全網(wǎng)絡(luò)的建成,我們便可以開始將這些收集來(lái)的海量信息關(guān)聯(lián)起來(lái)。這種集成就是IBNS的精髓,因?yàn)樗墒刮覀儼研畔⒋笊较鳒p成小土包,然后就可隨著網(wǎng)絡(luò)和威脅態(tài)勢(shì)的變化實(shí)時(shí)自動(dòng)精煉安全了。
該集成方法的另一個(gè)好處,是可以提供一致的方法,通過(guò)通用命名、可靠數(shù)據(jù)、有效威脅排序等等,關(guān)聯(lián)和組織此類信息。這還只是第一步。在著手實(shí)現(xiàn)IBNS之前,我們真心需要理解和定義數(shù)據(jù)重要性的途徑,并有一套一致的通用的方法來(lái)描述之。
關(guān)于IBNS,有兩種完全迥異的看待方式:
第一種是從公司擁有者和安全策略負(fù)責(zé)人的角度出發(fā)。這位要能夠方便地定義或更新公司意圖,而安全策略和相關(guān)基礎(chǔ)設(shè)施要能翻譯該信息,并自動(dòng)實(shí)現(xiàn)合理又充分的響應(yīng)。比如說(shuō),安全策略應(yīng)能夠自動(dòng)限制系統(tǒng)只能訪問(wèn)被授權(quán)的信息和服務(wù)。當(dāng)然,這要求我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)上更為準(zhǔn)確。如果我們繼續(xù)采用拓荒時(shí)期那種“您隨意”的態(tài)度對(duì)待我們的網(wǎng)絡(luò),實(shí)現(xiàn)起來(lái)的困難無(wú)疑會(huì)大上許多。
第二種,也是較新的一種看待方式,涉及重新思考我們解決安全問(wèn)題的方式。打造集成響應(yīng)安全網(wǎng)絡(luò)的關(guān)鍵組件,是實(shí)現(xiàn)能自動(dòng)評(píng)估和確定系統(tǒng)活動(dòng)是否正常或符合意圖的安全工具——也正因此,一組被稱為基于意圖的安全實(shí)踐才冒了頭。再次強(qiáng)調(diào),對(duì)此類方法的簡(jiǎn)化版描述就是,這是能夠解決并自動(dòng)響應(yīng)下列問(wèn)題的方法:系統(tǒng)正在做的事務(wù)是否是該用戶希望該系統(tǒng)所做的?
創(chuàng)建能真正提供IBNS的系統(tǒng),有很多事要做:
從物理角度(平臺(tái)/OS)知道該系統(tǒng)是什么;知道該系統(tǒng)通常被用來(lái)干什么;知道該系統(tǒng)以前干了什么;知道該系統(tǒng)現(xiàn)在正在做什么;知道誰(shuí)正在使用該系統(tǒng);知道系統(tǒng)什么時(shí)候發(fā)生了改變。隨著我們的安全部署更加全面,我們實(shí)時(shí)理解和觀察系統(tǒng)活動(dòng)的能力也得到了大幅提高,不再局限于以前孤立的,只有邊界防護(hù)的安全部署。
尤其是,向虛擬系統(tǒng)和容器的遷移,也使得實(shí)現(xiàn)IBNS更加簡(jiǎn)單直接了,因?yàn)榻o定系統(tǒng)的意圖動(dòng)作數(shù)量被減少了,而且它們變得更簡(jiǎn)單且更細(xì)粒度了。
類似的概念可應(yīng)用到物聯(lián)網(wǎng)上,因?yàn)镮oT設(shè)備通常只有非常有限的行為集和/或意圖通信。理解這些應(yīng)該能使我們觀察到偏離了這些行為的異常動(dòng)作。比如,銷售終端系統(tǒng)(PoS)通常只與公司內(nèi)部環(huán)境或給定區(qū)域里的少量系統(tǒng)通信。如果突然間這些終端系統(tǒng)開始與其他地方的系統(tǒng)通信了,那這行為就需要加以阻止并展開后續(xù)調(diào)查了。
想象一下典型的零售銀行分支機(jī)構(gòu)——通常會(huì)有很多基于意圖的安全方法應(yīng)用到該物理層級(jí);柜臺(tái)柜員、ATM機(jī)和辦公室一般都是隔離良好的。如果你等著跟辦公室里的人談貸款之類業(yè)務(wù),等待區(qū)通常都遠(yuǎn)離柜員(你的意圖很明確,就是在等辦公室里的高級(jí)人員)。柜員和ATM機(jī)周圍的公共區(qū)也常被明顯的安全攝像頭無(wú)死角覆蓋。柜員抽屜里滿是現(xiàn)金的日子早已遠(yuǎn)去,因?yàn)楝F(xiàn)金如今都被鎖在安全的地方,有需要的時(shí)候才供應(yīng)。這些都可以被看作是基于意圖的安全,盡管是物理世界中的。
想將這種有效策略應(yīng)用到我們的網(wǎng)絡(luò)世界,就要重思考我們計(jì)劃、設(shè)計(jì)、組織和部署我們網(wǎng)絡(luò)架構(gòu)的方式。確定自家公司基礎(chǔ)設(shè)施是否準(zhǔn)備好轉(zhuǎn)向IBNS策略,可以考慮以下事項(xiàng):
了解自家網(wǎng)絡(luò)中含有關(guān)鍵數(shù)據(jù)的設(shè)備:在哪兒?做什么?為什么在那兒?上面授權(quán)運(yùn)行了什么應(yīng)用?可以和其他什么設(shè)備通信?了解或嘗試了解終端用戶在用的設(shè)備類型,以及這些設(shè)備的正常行為;實(shí)現(xiàn)在創(chuàng)建安全執(zhí)行策略時(shí)能利用動(dòng)態(tài)數(shù)據(jù)的系統(tǒng)(靜態(tài)五元組規(guī)則就讓它快速逝去吧)。實(shí)現(xiàn)IBNS這種事,花個(gè)周末部署幾臺(tái)設(shè)備或平臺(tái)是辦不到的。這需要計(jì)劃、考慮和增量實(shí)現(xiàn)。但是,最終結(jié)果必將值回票價(jià),不為別的,就為了把我們老舊的、靜態(tài)配置的、從來(lái)跟不上時(shí)代的、高維護(hù)的防火墻部署方法給淘汰掉也好啊。
至此,還有個(gè)小尾巴尚未解決,就是IDS風(fēng)格的信息分析方法——大多數(shù)基于SIEM解決方案的一部分。為處理IBNS所需大量數(shù)據(jù),我們得實(shí)現(xiàn)下一代SIEM技術(shù)和實(shí)時(shí)威脅饋送,比如網(wǎng)絡(luò)威脅聯(lián)盟(CTA)提供的服務(wù)。集成安全系統(tǒng)將能看到并關(guān)聯(lián)取自網(wǎng)絡(luò)中各個(gè)角落的信息,確定意圖,在出現(xiàn)異常的時(shí)候自動(dòng)識(shí)別并響應(yīng)。