從1986年世界上第一個(gè)流行計(jì)算機(jī)病毒C-Brain的誕生算起，信息安全發(fā)展已經(jīng)走過(guò)了30個(gè)年頭。其間，無(wú)論是安全威脅還是ICT技術(shù)應(yīng)用都發(fā)生了巨大的變化。

從終端訪問(wèn)互聯(lián)網(wǎng)的隨機(jī)病毒感染，到基于網(wǎng)絡(luò)以及WEB弱點(diǎn)而主動(dòng)發(fā)起的網(wǎng)絡(luò)攻擊，再到近來(lái)利用零日漏洞的有針對(duì)性的APT滲透，可以說(shuō)黑客攻擊手段趨于高級(jí)化、智能化，目標(biāo)性更強(qiáng)。與此同時(shí)，經(jīng)濟(jì)全球化、競(jìng)爭(zhēng)加劇以及專業(yè)分工協(xié)作，ICT發(fā)展從單機(jī)時(shí)代，到互聯(lián)網(wǎng)時(shí)代，再到如今以BYOD、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)為特征的全聯(lián)接時(shí)代，企業(yè)和組織正在使用更加敏捷開放的系統(tǒng)，從而提高效率、開拓創(chuàng)新、增加生產(chǎn)力。而這也造成了一些新的漏洞和安全隱患，當(dāng)今的攻擊旨在利用我們高度互聯(lián)的ICT基礎(chǔ)架構(gòu)的弱點(diǎn)。

威脅在變，ICT環(huán)境在變，面對(duì)如此嚴(yán)峻的形勢(shì)，信息安全如何應(yīng)對(duì)?本文從技術(shù)方案角度給出在新的威脅趨勢(shì)、ICT環(huán)境下，信息安全防護(hù)應(yīng)該采取的變革舉措。

“腳踏兩張網(wǎng)”的安全防護(hù)

基于邊界的防護(hù)模型由來(lái)已久。在過(guò)去，我們的企業(yè)網(wǎng)絡(luò)都是有明確的物理邊界的，主要是互聯(lián)網(wǎng)邊界以及內(nèi)網(wǎng)PC終端邊界。物理邊界內(nèi)相對(duì)比較可控，只要在這兩類邊界設(shè)卡監(jiān)控，做好攻擊以及泄密防護(hù)，企業(yè)網(wǎng)絡(luò)的安全就有了基本的保障。

BYOD的引入打破了這個(gè)局面，移動(dòng)設(shè)備既能夠訪問(wèn)內(nèi)網(wǎng)又能脫離內(nèi)網(wǎng)自由訪問(wèn)互聯(lián)網(wǎng)，導(dǎo)致原來(lái)的內(nèi)網(wǎng)物理邊界蕩然無(wú)存。這種“腳踏兩張網(wǎng)”的特點(diǎn)會(huì)帶來(lái)兩個(gè)安全問(wèn)題：一個(gè)是泄密，企業(yè)數(shù)據(jù)通過(guò)BYOD終端暴露在互聯(lián)網(wǎng)上，很容易泄漏;一個(gè)是攻擊，BYOD在公司外無(wú)安全保障的互聯(lián)網(wǎng)環(huán)境里遭到感染的幾率很高，當(dāng)BYOD接入內(nèi)網(wǎng)時(shí)，這些威脅很容易被帶入內(nèi)網(wǎng)發(fā)起攻擊。問(wèn)題的核心是，由于沒(méi)有明確的邊界以及歸屬，無(wú)法用基于邊界防護(hù)的思想來(lái)解決BYOD安全問(wèn)題。

對(duì)于BYOD的防泄密，業(yè)界主要采用安全沙箱技術(shù)，本質(zhì)上是一種基于邏輯邊界的隔離技術(shù)。通過(guò)這種技術(shù)，在BYOD終端設(shè)備上創(chuàng)建獨(dú)立的安全存儲(chǔ)區(qū)，保證企業(yè)應(yīng)用數(shù)據(jù)封閉隔離，而個(gè)人互聯(lián)網(wǎng)應(yīng)用是無(wú)法訪問(wèn)到的。通過(guò)與企業(yè)后端系統(tǒng)建立應(yīng)用專屬VPN，數(shù)據(jù)直接在本地應(yīng)用層開始加密，防止本地網(wǎng)絡(luò)層竊取，同時(shí)防止不安全的互聯(lián)網(wǎng)環(huán)境的通信竊聽。

對(duì)于BYOD的防攻擊，大家可能會(huì)想到在園區(qū)網(wǎng)絡(luò)的接入邊界點(diǎn)做防護(hù)。由于BYOD的移動(dòng)性，在園區(qū)內(nèi)網(wǎng)隨地接入，引入內(nèi)網(wǎng)的威脅路徑并不固定，而企業(yè)不可能在每個(gè)接入點(diǎn)都部署安全設(shè)施，復(fù)雜性和設(shè)備成本都是難以承受的。其實(shí)這還是深受基于邊界防護(hù)思想的影響。當(dāng)前一個(gè)針對(duì)性的解決方案就是基于網(wǎng)絡(luò)構(gòu)建安全資源池，將不安全的終端或用戶流量引入進(jìn)行安全清洗。通過(guò)安全資源池化，安全設(shè)備的部署不受物理邊界限制，按需靈活調(diào)用安全能力，同時(shí)也提高了安全資源利用率。事實(shí)上，這種方案不僅適用于BYOD場(chǎng)景，對(duì)于不安全的訪客、啞終端、物聯(lián)終端等難以基于邊界防護(hù)的場(chǎng)景都能做到很好的防護(hù)。

基于大數(shù)據(jù)的全網(wǎng)安全協(xié)同

現(xiàn)在我們的網(wǎng)絡(luò)里已經(jīng)部署了多“兵種”安全設(shè)施，像防火墻、入侵檢測(cè)、防毒墻、流量監(jiān)控、日志審計(jì)系統(tǒng)等等。但每一種只能在各自的領(lǐng)域發(fā)揮作用，解決單點(diǎn)問(wèn)題，而且這些傳統(tǒng)檢測(cè)技術(shù)往往基于靜態(tài)簽名，只能識(shí)別已知攻擊特征，對(duì)付APT這種利用零日漏洞、逃逸檢測(cè)、動(dòng)態(tài)持續(xù)性的高級(jí)未知威脅已經(jīng)顯得力不從心。事實(shí)上，在近來(lái)全球發(fā)生的重大信息安全事件中，多數(shù)都具備APT的特征，如著名的Google極光攻擊泄漏、席卷工業(yè)界的Stuxnet震網(wǎng)攻擊、RSA SecureID竊取攻擊等。魔高一尺，如何道高一丈?

面對(duì)高級(jí)威脅，必須采取高級(jí)防御措施。沙箱檢測(cè)與大數(shù)據(jù)分析技術(shù)已經(jīng)被證明是對(duì)付高級(jí)威脅的有效手段。這方面，一些先進(jìn)的安全廠商已經(jīng)走在了前列。從大部分APT攻擊序列看，往往需要終端主動(dòng)或被動(dòng)下載惡意文件，APT檢測(cè)沙箱是一種模擬終端環(huán)境的文件惡意行為分析技術(shù)。當(dāng)然檢測(cè)效果如何，關(guān)鍵還是看沙箱能模擬的操作系統(tǒng)、瀏覽器、文件系統(tǒng)、文件類型的豐富性以及惡意行為特征的質(zhì)量。而隨著大數(shù)據(jù)分析技術(shù)的逐漸成熟，通過(guò)感知威脅情報(bào)、日志、事件、網(wǎng)絡(luò)流等全情境的安全信息，進(jìn)行大數(shù)據(jù)的建模與整合分析來(lái)發(fā)現(xiàn)異常行為也被一些企業(yè)嘗鮮采用。它的獨(dú)到之處是幾乎能看到網(wǎng)絡(luò)中所有發(fā)生的行為，基于正常模型以及離散行為關(guān)聯(lián)分析來(lái)從中尋找異常的蛛絲馬跡。需要說(shuō)明的是，這種技術(shù)不僅有助于發(fā)現(xiàn)APT，還可以識(shí)別其它一些泄密、離散的惡意行為。

至此，我們通過(guò)整合全網(wǎng)的安全信息，找到了識(shí)別APT等高級(jí)威脅的方法。但是如何阻止這些高級(jí)威脅呢?具有流量制動(dòng)能力的往往是網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)，比如終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備。這就需要大數(shù)據(jù)安全平臺(tái)能夠與這些控制點(diǎn)進(jìn)行聯(lián)動(dòng)，通過(guò)告知控制點(diǎn)惡意行為的用戶信息或者流量特征，由控制點(diǎn)來(lái)進(jìn)行阻斷或者隔離防護(hù)。如此，通過(guò)基于大數(shù)據(jù)的全網(wǎng)安全協(xié)防，才能有效識(shí)別并抵御高級(jí)威脅。

安全工程師的春天，運(yùn)維部署簡(jiǎn)化

安全固有的復(fù)雜性，使得安全管理和運(yùn)維對(duì)專業(yè)性要求很高。全聯(lián)接時(shí)代，無(wú)論是終端類型、接入方式、用戶角色都是多種多樣，接入場(chǎng)景愈發(fā)復(fù)雜，加上不同接入設(shè)備的配置風(fēng)格不一，使得基于IP/VLAN接入控制策略變得異常復(fù)雜;對(duì)于網(wǎng)絡(luò)中主打的安全設(shè)施下一代防火墻，為了做到精細(xì)化的控制，從由IP、端口、協(xié)議的四層配置，增加到用戶、應(yīng)用、內(nèi)容、威脅、位置的七層配置，隨之而來(lái)的管理維度和復(fù)雜度也大為增加。另一方面，大數(shù)據(jù)時(shí)代海量日志事件的淹沒(méi)以及安全的不可見，導(dǎo)致安全危機(jī)處理決策支撐不足，管理者難以進(jìn)行快速準(zhǔn)確的研判，運(yùn)維人員無(wú)法準(zhǔn)確識(shí)別真正的高危安全事件并及時(shí)響應(yīng)?，F(xiàn)實(shí)情況下，企業(yè)的安全團(tuán)隊(duì)人員往往還編制不足，靠人工手動(dòng)機(jī)械的部署運(yùn)維根本力不從心，這就要求安全部署和運(yùn)維能夠盡量自動(dòng)化，簡(jiǎn)化安全。

對(duì)于策略部署，采用智能化的策略組件是一個(gè)解決之道。管理員只要將接入源組和訪問(wèn)目的組定義好，并設(shè)定他們之間的安全策略，系統(tǒng)會(huì)自動(dòng)翻譯并下發(fā)到各個(gè)接入設(shè)備;通過(guò)預(yù)置的模板以及流量學(xué)習(xí)自動(dòng)調(diào)整優(yōu)化策略，可以輕松駕馭下一代防火墻。這種智能化的安全策略，將管理員配置工作由數(shù)小時(shí)/數(shù)天降到分鐘級(jí)，大大簡(jiǎn)化安全部署。

對(duì)于安全運(yùn)維，可以通過(guò)態(tài)勢(shì)感知和可視化來(lái)提高管理和運(yùn)維效率。安全監(jiān)控平臺(tái)通過(guò)全網(wǎng)日志事件采集、上下文感知和自動(dòng)分析計(jì)算評(píng)估，宏觀上全面、準(zhǔn)確地呈現(xiàn)全網(wǎng)安全狀況，支撐管理者決策;微觀上呈現(xiàn)APT攻擊、數(shù)據(jù)泄漏等關(guān)鍵安全事件，并融合資產(chǎn)環(huán)境信息，冒泡高優(yōu)先級(jí)安全事件，加速運(yùn)維人員響應(yīng)速度。

結(jié)束語(yǔ)

不管信息安全怎么演進(jìn)和改變，我們的初心不變，那就是：安全要促進(jìn)業(yè)務(wù)、為業(yè)務(wù)服務(wù)，而不應(yīng)成為前進(jìn)道路上的絆腳石。而所有這些變革也正是為了達(dá)成一個(gè)使命：讓安全更敏捷地為業(yè)務(wù)服務(wù)。