自從去年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立以來(lái)，網(wǎng)絡(luò)安全在國(guó)內(nèi)掀起了一股前所未有的熱潮?；厥走^(guò)去，我們看到，在已經(jīng)走過(guò)的2014年，信息安全市場(chǎng)正在逐漸成長(zhǎng)；再看今朝，我們看到國(guó)內(nèi)眾多安全廠商紛紛“摩拳擦掌”布局網(wǎng)絡(luò)安全領(lǐng)域。

近日，網(wǎng)康科技更是重磅推出《云管端下一代網(wǎng)絡(luò)安全架構(gòu)白皮書》，內(nèi)容涉及攻擊者如何突破防御體系，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系無(wú)法應(yīng)對(duì)新的安全威脅、云管端下一代安全架構(gòu)等多方面的分析和研究，是業(yè)界首個(gè)針對(duì)下一代網(wǎng)絡(luò)安全架構(gòu)展開深入研究的白皮書。

云管端下一代網(wǎng)絡(luò)安全架構(gòu)白皮書

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的局限性

傳統(tǒng)網(wǎng)絡(luò)安全理論遵循一個(gè)重要的原則：安全威脅是由具體的安全漏洞導(dǎo)致的，而所有漏洞都是具體存在的，是可識(shí)別、檢測(cè)的；基于這個(gè)假設(shè)，完整的防御體系的核心功能就是對(duì)漏洞的精確識(shí)別與檢測(cè)，在此基礎(chǔ)上，由安全策略驅(qū)動(dòng)對(duì)風(fēng)險(xiǎn)進(jìn)行告警和阻斷，構(gòu)筑清晰明確的安全邊界。這也是為什么很多測(cè)評(píng)機(jī)構(gòu)都將漏報(bào)率/誤報(bào)率作為衡量安全防護(hù)設(shè)備優(yōu)劣的一個(gè)重要指標(biāo)。這種安全理論基于一個(gè)重要假設(shè) - 假設(shè)信息資產(chǎn)面臨的風(fēng)險(xiǎn)是可以充分評(píng)估預(yù)知的。而對(duì)于沒有明確特征的0-day或APT攻擊，傳統(tǒng)安全理論模型束手無(wú)策。近幾年來(lái)幾次比較嚴(yán)重的有組織網(wǎng)絡(luò)安全攻擊，如震網(wǎng)病毒、eBay用戶信用卡信息泄露事件，都是利用了傳統(tǒng)安全防御手段無(wú)法檢測(cè)未知威脅這一致命弱點(diǎn)。事實(shí)上，即使安全廠商能夠及時(shí)維護(hù)足夠全面足夠精確的檢測(cè)特征庫(kù)，先有攻擊事件后有檢測(cè)特征這一事實(shí)決定了傳統(tǒng)安全設(shè)備只能是被動(dòng)的防御設(shè)備。

云管端下一代網(wǎng)絡(luò)安全架構(gòu)

云管端下一代網(wǎng)絡(luò)安全架構(gòu)，是網(wǎng)康科技遵循PDFP模型，網(wǎng)康率先踐行的應(yīng)對(duì)高級(jí)威脅的網(wǎng)絡(luò)安全架構(gòu)。（關(guān)于PDFP安全模型,P2DR防御模型參考后文附錄）。

云管端下一代網(wǎng)絡(luò)安全架構(gòu)圖

“云”——網(wǎng)康云

除了提供云沙箱、云查殺、云信譽(yù)評(píng)估等基礎(chǔ)服務(wù)外，還針對(duì)終端和邊界設(shè)備上傳的異常日志進(jìn)行全局關(guān)聯(lián)分析、異常行為建模分析，使溯源取證與風(fēng)險(xiǎn)預(yù)測(cè)可視化。

“管”——可理解為泛化的網(wǎng)絡(luò)邊界

除了部署對(duì)外的防御設(shè)備（下一代防火墻，上網(wǎng)行為管理，WAF等），還應(yīng)在內(nèi)網(wǎng)部署行為審計(jì)設(shè)備，加強(qiáng)內(nèi)部人員違規(guī)行為監(jiān)控；

“端”——指終端設(shè)備

包括PC、服務(wù)器、智能移動(dòng)終端，是距離應(yīng)用系統(tǒng)和數(shù)據(jù)最近的設(shè)備，是重要的風(fēng)險(xiǎn)引入點(diǎn)，需要部署殺毒和管控策略（360天擎，天機(jī)）；

下一代網(wǎng)絡(luò)安全架構(gòu)5大核心關(guān)鍵能力

為了應(yīng)對(duì)未知威脅和高級(jí)威脅，下一代網(wǎng)絡(luò)安全架構(gòu)需要從應(yīng)用和內(nèi)容層面深入理解網(wǎng)絡(luò)的變化，從全局視角分析各種異常網(wǎng)絡(luò)行為之間的關(guān)系。以下5項(xiàng)是下一代網(wǎng)絡(luò)安全架構(gòu)的關(guān)鍵能力。

情境感知（context-aware）能力

安全產(chǎn)品必須能夠識(shí)別用戶、應(yīng)用、內(nèi)容，并根據(jù)時(shí)間、地點(diǎn)、頻率等信息進(jìn)行模型分析，比如，在一個(gè)普通的網(wǎng)絡(luò)環(huán)境，連續(xù)幾天檢測(cè)到夜間2點(diǎn)開始有主機(jī)連接國(guó)外URL，則很可能是發(fā)生了泄密行為。

威脅情報(bào)利用能力

威脅情報(bào)是第三方專業(yè)安全機(jī)構(gòu)提供的高級(jí)服務(wù)，對(duì)于企業(yè)組織防護(hù)最新的已確認(rèn)的網(wǎng)絡(luò)攻擊很有幫助。一個(gè)典型的應(yīng)用：威脅情報(bào)提供了Command & Control 服務(wù)器的IP地址，防火墻對(duì)于與該IP發(fā)生的任何連接可直接阻斷。

內(nèi)部人員行為審計(jì)能力

PDFP安全模型認(rèn)為內(nèi)網(wǎng)不再可信，甚至是零信任（zero-trust）網(wǎng)絡(luò)，要求對(duì)內(nèi)網(wǎng)人員進(jìn)行認(rèn)證識(shí)別、行為審計(jì)、基線行為建模、異常行為識(shí)別報(bào)警，降低由于人員行為不當(dāng)導(dǎo)致的安全隱患。

全網(wǎng)智能協(xié)同能力

孤島防御容易被繞過(guò)，因此需要對(duì)終端和邊界設(shè)備賦予智能，使他們能夠同步信息，互相配合，以應(yīng)對(duì)不斷變化的IT架構(gòu)和復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

大數(shù)據(jù)安全分析能力

面對(duì)未知威脅，只有采用云計(jì)算和大數(shù)據(jù)分析技術(shù)，才能從根本上解決數(shù)據(jù)來(lái)源廣泛性、數(shù)據(jù)充分性、分析模型有效性的問題。其中建模分析尤為重要，數(shù)據(jù)不經(jīng)有效的分析就永遠(yuǎn)是數(shù)據(jù)，甚至是垃圾數(shù)據(jù)。除了傳統(tǒng)的統(tǒng)計(jì)、聚類、貝葉斯分析外，前沿廠商都在嘗試全局關(guān)聯(lián)分析、啟發(fā)式機(jī)器學(xué)習(xí)等分析模型。

云管端安全架構(gòu)的價(jià)值

相比傳統(tǒng)以邊界防護(hù)為核心、相互孤立的網(wǎng)絡(luò)安全體系，云管端下一代網(wǎng)絡(luò)架構(gòu)具有明顯的優(yōu)勢(shì)。

賦予了終端設(shè)備和邊界設(shè)備應(yīng)有的智能，不再依賴本地靜態(tài)特征庫(kù)/策略庫(kù)，可以實(shí)時(shí)感知網(wǎng)絡(luò)威脅的狀態(tài)并做出調(diào)整，防御能力大幅提升。

云管端聯(lián)動(dòng)機(jī)制，使得網(wǎng)絡(luò)安全具備了全局可見性，防御方式也從孤島模式演進(jìn)為協(xié)同模式，從而能夠有效防御已知威脅和未知威脅。

網(wǎng)絡(luò)安全始終都是大型組織投入的重點(diǎn)，云管端架構(gòu)使買“安全感”真正變成了買“安全”，實(shí)現(xiàn)價(jià)值落地，提高了網(wǎng)絡(luò)安全投資回報(bào)率。

附錄：

1、傳統(tǒng)安全方法論——P2DR防御模型&邊界安全模型

傳統(tǒng)的安全防護(hù)措施是基于P2DR防御模型構(gòu)建起來(lái)的，這種模型有一個(gè)前提，首先對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行全面評(píng)估，然后制定相應(yīng)的防護(hù)策略通過(guò)檢測(cè)網(wǎng)絡(luò)流量和行為，與預(yù)設(shè)策略進(jìn)行匹配，如果觸發(fā)防護(hù)策略，則認(rèn)為發(fā)生了網(wǎng)絡(luò)攻擊，響應(yīng)系統(tǒng)就執(zhí)行預(yù)設(shè)動(dòng)作阻止攻擊，并進(jìn)行報(bào)警和恢復(fù)處理。

P2DR以策略為核心的防御模型

2、下一代安全方法論——PDFP安全模型

網(wǎng)康科技提出了PDFP安全模型，該模型對(duì)于安全環(huán)境的理解與傳統(tǒng)P2DR防御模型有很多不同，威脅的預(yù)測(cè)（Prediction）能力成為PDFP模型核心安全組件，安全的起點(diǎn)應(yīng)該（Detection）開始，通過(guò)各種檢測(cè)手段獲取大量用戶和應(yīng)用的行為數(shù)據(jù)之后，像法醫(yī)取證（Forensic）一樣進(jìn)行關(guān)聯(lián)分析和溯源，還原出隱藏在大數(shù)據(jù)背后的威脅真相，之后再針對(duì)性地部署防護(hù)（Protection）措施，并進(jìn)一步反饋和加強(qiáng)預(yù)測(cè)能力，形成安全問題的閉環(huán)。

PDFP安全模型圖

了解白皮書更多詳情，請(qǐng)點(diǎn)擊鏈接：

http://www.netentsec.com/news/show-2015-834.html