ISC2018觀察:以網路安全滑動標尺模型淺談ISC
網路安全滑動標尺模型(The Sliding Scale of Cyber Security)是2015年美國系統網路安全協會(SANS)首次提出,將企業在應對外部攻擊時的五個資訊保安能力階段,分別是架構建設、被動防禦、積極防禦、威脅 情報以及 進攻反制(略 ) 。
安全 能力的構建離不開 產品 的支撐,結合本次 會議 的論壇、展廳等內容, 試圖 從 網路 安全滑動標尺模型的角度 嘗試著 進行一次總結 :
1、架構安全
“現在我們一隻腳已經邁入數字時代,但我們的安全信任機制還停留在工業時代。”重構網路安全信任機制是本屆會議印象最深的關鍵詞之一。
1) 區塊鏈技術
區塊鏈技術是這次會議的熱點,來自柏林工程和經濟應用科學大學的教授Katarina Adam帶來了題為《區塊鏈如何加強網路安全的防護》的主題演講,她主張運用區塊鏈技術為網路安全方向提供一些能力,在建立信任機制時,可以使用區塊鏈技術,這是讓人耳目一新的觀點,既然現在網路信任機制要創新,為什麼不試試區塊鏈呢,這個技術本來就是解決信任機制的,這是一個從構建架構安全能力 的 點上給出的方向。
但同時也帶來了區塊鏈安全和用區塊鏈技術做安全的很繞口的問題,都是新技術,到底先解決那個問題呢?
2 ) 零信任網路體系登場
《零信任網路》一書的作者Evan Gilman發表了《零信任網路:在不信的世界構建可信網路》的演講,向與會者展示了什麼是零信任網路,如何通過零信任網路構建可信網路,"基於零信任的身份安全理念,架構及實踐"、"現代身份管理與訪問控制"無不印證一個時代的來臨,“8 0%以上的攻擊都是來自於內部 機器 , 內部 角色,但不是 內部員工 , 憑證 被盜取,身份被盜用 充斥整個 內網 , 許可權 授權 過大,許可權 一 成不變 難以 根除 ” , 都說明 了 舊的身份管理體系在當今數字時代需要變革,架構安全信任機制需要重新 梳理, 要 求變,未來零信任網路架構會是一個新的架構。
3 ) 關口前移
360企業 安全集團 總裁吳雲坤在他的演講當中提到,做安全要同步規劃,同步建設,同步運營,要將關口前移,是指把安全保障前移到資訊化的早期。這樣做會形成一個很好的結果:
"把安全內嵌到系統中,而不是建設完成之後外在修補,這樣可以從本質上提高安全保障能力"
安全規劃和安全架構從時間點上高度一致,一個組織的安全能力最初一定來自於好的規劃,安全架構則是好的規劃的關鍵點,架構安全還是從規劃階段做起更好
4) 微分段技術
加州大學伯克利分校電子工程與計算機系教授、Corelight公司創始人Vern Paxson強調"在企業網路安全防禦體系當中需要考慮兩點。其一是可見度,它能夠使我們清楚地瞭解到企業的網路環境情況,檢測威脅,減緩威脅,有效減少損失;其二則是對於各種情況的控制度。事前事後的分析越多,可見度也會隨之提升"另一位嘉賓也在他的演講裡強調了微分段技術被作為取代防火牆的技術,這些概念的提出,也從基礎架構層面上給出了一些防護和減小損失的建議,我認為也是架構安全的一個創新點,在做安全架構時結合微分段技術,更能做到精細化的控制和運維。
總之,架構安全在本次的會議上雖然沒有很明確的主題詞,但參會嘉賓的觀點和方向還是能看出來一些傳統安全架構需要改變的思想的。
2、被動防禦
1)被動安全能力的構建,一直是傳統安全的聚焦點
在本次的展廳中也有涉及,在參展的過程中,廠商呈現出在特定領域更為專注的趨勢,沒有講大規模解決方案的,都是聚焦在一些新方向上,其中,雲安全,資料安全的廠商佔比較多,一些新的方向和更為細化的場景較多比如移動安全,身份認證,資料庫防火牆等,展廳的情況也能從3 60 企業 安全集團董事長齊向東 的演講中得到驗證。
"未來對360企業安全影響更大的,不是現在和我們體量相當的一些公司,而是 一些 1 00-200人的公司, 這些真正從技術上進行創新的公司舉全公司之力,在整個網路安全市場裡頭選擇單點進行深度突破,他們一定能夠獲得強大的競爭優勢。這些公司應該是我們的激勵者,不斷地給我們敲警鐘。"
2 ) 第二個方面傳統安全領域的產品走向
一些參展的傳統廠商圍繞著自己 的核心產品,一方面在做 提升 產品質量的工作,讓產品能夠進入到更多的 關鍵 場景中, 另一方面 圍繞著產品的 核心能力,逐漸向更高的能力方向上進行 構建 ,在參展過程中基本都提到威脅情報,安全監測等方向。
3 ) 高中低位能力中的被動防禦
"低位能力相當於人的“五官和四肢”。它位於架構安全和被動防禦階段,通過部署終端、邊界等安全產品,實現資料的生產和採集,負責聽、看、聞、嘗、取,以及在大腦指揮下采取動作行動。"
綜合,被動安全能力的構建一方面展現出傳統安全能力的升級,為產品插上大資料翅膀,另一方面是產生了很多解決特定領域安全問題的創新性企業。
3、積極防禦
積極 防禦 也可以稱為 主動防禦, 主動 防禦的前提是 主動監測 和有效檢測, 在 展廳內 印象 最深的不是出現了多少個安全產品,而是出現了螞蟻金服 安全 應急 響應 中心、平安 集團 安全應急 響應 中心,360補天眾測平臺等單位 的 入駐 ,他們 一方面 向 參會者 展現 自身 安全 應急的能力,另一方面 在“ 找人”, 還 出現了平安 集團 安全應急響應中心 對 漏洞明碼標價的情況, 看來S RC已經被眾多甲方接受, 數了一下最少 有7個網際網路公司的安全 應急 響應中心出現在了 展廳 上, 如何 實現主動監測和有效檢測,這些中心給出了最直觀的答案 “人 是最重要的 ”。結合 本次會議的 兩 個論壇, 有《關鍵 資訊基礎設施 安全 保護與專門人才選撥培養高峰論壇》 、 《 中國 網路安全產業人才培養體系建設論壇》 兩個 論壇都提到了人才培養的重要性, 以前 做 安全 是 合規 驅動, 但引入了 眾測模式,將 為企業 安全 插上 了事件驅動 引擎 , 挖 自己的洞 讓 別人無洞可挖 。
4、威脅情報
構建 威脅情報能力, 這是本次 會議 最熱的 關鍵詞之一, 《安全 的複雜與複雜的安全》 肖新光從 一次網路攻擊入手, 直觀的 解析了 網路 攻擊發起過程中的 技術 、人員組成和武器裝備, 而清華 大學教授段海 新《端到 端安全通訊協議的理想與 現實》中的 研究結果 揭露 很多我們不曾 見到 的隱藏 殺機 ,兩位 大 咖的分享, 資料翔實 、 邏輯 清晰, 讓人 震撼,這也 為建設 威脅情報能力提供了最直觀的 證據 ,我們需要這些情報, 這些 情報如何能為企業提供服務變為了 最為 關注的 話題。
威脅 情報在實踐過程中的落地引起了參會者的 興趣 , 相比以前, 問題也從簡單的 問“ 視覺化介面 是 怎麼實現的 ” ,變成了“ 你們 威脅情報是怎麼 生產 的、 怎麼 保證準確性等問題” ,簡單 統計一下,一 半 以上的 參展者 都提 到了 威脅情報在解決方案中的地位,這個領域真的是 燎原 之勢。
(本 文作者: 360企業 安全技術 專家 劉 磊)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。