数据驱动安全架构升级---“花瓶”模型迎来V5.0
Jackzhai
三、“花瓶”模型V5.
“花瓶”模型V5.0是从安全事件防护的角度,设计安全保障架构的。事前制定策略,部署防护措施,提高攻击门槛,阻断常规的入侵攻击;事中监控,动态检测渗透防护体系的入侵者,通过分析业务状态的异常,流量的异常,网络行为的异常,以及对各种恶意代码的检测,从多个角度展示安全态势与行为的关联分析,及时发现攻击者,并及时阻断攻击者的破坏行为;事后进行溯源、取证、合规性分析,一方面震慑违规者,另一方面是改进防护策略,调整防护措施,进入下一轮的攻防循环。
全面的监控,与多角度的审计分析,都离不开大量的日志、流量数据,收集的数据越丰的富(覆盖全、时间久),基于大数据的分析就越精准。面对海量的数据采集、存储、检索,需要在安全管理中心建立一个专门处理海量数据的“数据湖”,作为数据的管理仓库。
“花瓶”模型提供的是基于“防护-监控-审计-平台”的“三线一中心”的防护架构,覆盖了攻防对抗互动的整个过程。下面介绍“三线一中心”上可以选择的安全技术措施:
1、 防护体系:
防护体系主要的目的是提高入侵者进入的门槛,建立用户访问的控制机制,传统的访问控制策略多数是本地管理,随着等级保护标准V2.0的推出,安全策略集中管理、统一下发成为趋势,这促进了边界安全措施的安全策略统一描述语言的诞生,包括主机操作系统、安全设备、安全中间件等。
网络虚拟化模糊了网络的边界,一些企业的网络甚至与互联网都不在有明确的边界,所以,“花瓶”模型原有的五大边界也发生了改变。按网络分层抽象的理解,分为物理边界与虚拟边界:
a) 物理边界:有明确的物理连接,网络分为端、网、服务三个部分
(1) 网:物理网络,与传统的网络相同,其边界分为
安全域边界:域边界成为安全区域隔离的主体,采用传统的安全隔离方式
NGFW、IPS、AV
WAF
网闸:双向、单向
数据交换区:数据共享交换平台
AP/AC:无线WiFi网络的接入网关
4G/5G等移动网接入网关
业务代理边界:应用层的代理网关
VPN:基于加密技术的链路协议通道
CASB:云计算服务代理访问
运维堡垒机(隔离运维人员直接接触服务器)
(2)服务器:面向服务的控制
服务器安全加固
统一安全策略管理(与SOC)
(3) 终端:
终端安全管理(网络准入、非法外联、介质管理、软件安装管理、补丁管理…)
统一安全策略管理(与SOC)
信息加密中间件:端到端加密控件
b) 虚拟边界:网络虚拟化,也包含虚拟的端、网、服务三部分
(1)网:即业务流边界,通过对信息系统流量的引导控制,建立信息系统之间的虚拟边界
(2) 虚拟机:信息系统的服务支撑部分,虚拟机是可以动态迁移的,但其外部可访问的URL是确定的
(3)虚拟桌面:访问信息系统服务的方式很多,大致可分为两类
远程虚拟桌面:即瘦终端模式,处理功能在远程
本地容器式安全运行环境:即胖终端中运行一个应用安全环境
安全浏览器
终端虚拟机
应用容器
手机APP
(4) 流量引导技术:虚拟网络的边界建立离不开流量的引导与控制,一般通过通信协议实现,需要在虚拟交换机与物理交换机上同时支持。在虚拟化平台上目前常用的方式如下:
SDN
VPC
VXLAN
NVGRE
2、 监控体系:
监控体系是为了应对那些渗透到网络内部的入侵者,他们通过了边界安全措施的检查,伪装成“合法用户”,具备业务信息系统的访问权限。监控措施就是发现这些入侵者的“异常”行为、“破坏”活动,并进行及时阻断。因此,监控体系就是安全运营、应急处理、事件追踪的基础支撑部分。
监控系统包括两个基本部分,数据采集与关联分析,信息采集的越充分、越具体,分析才会更有效,显然,足够多的信息采集,意味着需要海量数据的处理能力。
a) 信息采集:网络安全需要采集的信息分为三类:
(1)安全事件:安全事件的生成一般是发现恶意代码,发现网络攻击行为,或者是发现异常访问行为。安全事件来自于多个方面,主要是安全措施检测或阻断的记录:
病毒蠕虫检测系统,如AV、主机防病毒等
木马入侵检测系统,如IDS、主机IDS等
网关阻断攻击日志,如DDOS、CC攻击、SQL注入等
高级威胁检测系统,如沙箱发现恶意文件等
信息系统的安全中间件,如口令暴力破解、资源异常使用、敏感信息的异常访问等安全事件输出
(2)状态信息:网络安全是以保护网络核心资产为目标的,这些资产的状态变化就必须随时掌握,包括如下几个方面:
服务状态:业务信息系统的服务状态,如用户状态、服务能力、流量、存储空间等;
设备状态:提供服务的设备自身状态,可以是物理设备,也可以是各种功能的虚拟机;
链路状态:即网络连通状态;
终端状态:终端是用户所在,也常常是入侵者藏身的地点;
(3) 漏洞信息:自身的脆弱性信息。漏洞是多方面的,包括对已知漏洞的内部发现,以及外部威胁信息中新漏洞信息的关联;
b) 关联分析:采集数据是为了发现、定位入侵者。为了适应高级威胁的入侵态势,以及海量数据的现状,在传统安全检测的基础上,很多高级、多维的关联分析技术相继出现:
(1) 网络异常行为检测:从流量中提取的多元原始访问信息,如IP、URL、DNS等信息,通过大数据关联聚合,形成访问者行为轨迹;
(2) 流量异常检测:从流量中提取多元原始访问信息,按业务系统聚合,形成业务访问分布图,分析业务的异常波动,发现DDOS、CC、蠕虫等攻击;
(3)高级威胁检测:发现高级入侵者是监控体系的核心目标所在,目前主要的方法是从两个维度进行的:
文件沙箱:对网络的可执行文件进行黑白名单分类,即确认是恶意的放入黑名单,确认是好的放入白名单。未知的文件可以通过文件指纹(如MD5值)等方式检测,未知的文件则送入文件沙箱检测系统,通过虚拟机建立文件运行的环境,让未知文件释放运行,通过配置的恶意型模型,对其行为是否恶意进行判定,并放入黑白名单库中,以后就可以直接用文件指纹检测了;
行为模式匹配:先分析入侵者常见的入侵行为模型,再通过对网络行为记录进行大数据模式匹配分析,发现入侵者的恶意行为;
c) 威胁情报关联:安全监控需要知己知彼,前三项检测是对内部安全动态的了解,威胁情报是为外部安全动态的了解。由于网络安全已经成为国家战略,应对高级威胁就不可能闭关自守,威胁情报是一个体系化的系统措施,涉及内容较多,其关键是获取的威胁情报信息如何对整个安全保障体系所用:
(1)威胁情报种类:哪些情报是有用的,我们需要哪些威胁情报信息
新漏洞信息
新型入侵技术、新型防护技术信息
新安全补丁信息
外部尤其是同行业内的攻击事件
新发现的恶意代码特征
黑客组织信息,或者是对我威胁方的信息,如行业竞争者
恶意IP地址、恶意URL地址
钓鱼网站URL地址
敏感信息曝光
(2)威胁情报格式:威胁情报的处理自动化,即“机读”威胁情报(威胁指示器IOC)
(3)威胁情报处理:收到的威胁情报,可以落实为不同的处理方式
安全策略下发:如新补丁发布,安排网络内打补丁工作;发现新漏洞,没有补丁时可以部署虚拟补丁措施;发现恶意IP地址,在边界网关部署ACL,禁止网络内用户访问该IP;
信息通报:如新攻防技术、安全事件,通告相关部门,提高大家安全意识;
受害情况分析:如僵尸控制服务IP地址,可以扫描网络行为记录,发现网络内有多少终端访问该IP,即已经被该僵尸控制;如钓鱼网站URL地址,通过网络内访问该URL的记录,可以给出网络内有多少终端已经访问钓鱼网站,有可能被入侵了;
泄密事件预警:发现被曝光的敏感信息属于内部业务系统,说明该系统发生泄密事件,立即部署清查活动,发现泄密源;
d)安全态势:监控系统需要一个展示平台,将动态信息实时展示出来,以图形图像等方式展示其各种元素之间的关联关系,还可以发挥人的高度概括、抽象的能力,发现其中隐含的关联关系,这也是安全分析中常用的手段之一。把采集的信息与分析的结果按照安全管理者关注的框架展示出来,就是常说的安全态势。安全态势感知是对安全信息采集、分析、展示、预测等的总体称谓。因此,安全态势需要一个描述安全态势的指标体系,即表征用户关注的安全态势的关键要素,有这些要素的动态数据,组合成安全态势视图。一般安全态势有多个视图,如资产状态、事件影响、事件追踪、情报关联等。
3、 信用体系
信用体系是对网络用户的一系列安全管理措施,其核心就是确定是谁,是否有权做,做法是否合规,最终落实到用户的行为审计。“花瓶”模型V5.0增加对合规行为的动态分析,不仅仅是事后取证,而且可以在用户行为进行中,及时关联分析,并动态追踪该用户目前在哪里,在干啥。
信用体系的构建分为如下几个部分:
a) 身份认证:身份认证是信任体系的基础支撑,是跨层建设的安全服务系统。
(1) 鉴别技术:账户口令、动态口令、生物特征、数字证书、电子芯片…
(2) 多因子:多种鉴别技术组合,对重要信息的访问,还可以追加鉴别机制
(3) 网络漫游:移动接入与多屏合一的业务发展,需要用户单点登录(SSO)认证与网络漫游支持
b) 授权控制:判断用户是否可以访问,依据授权管理。由于网络资源较多,应用增加速度较快,分立的授权管理难以支撑网络安全运营,集中的授权管理,分布式的用户访问控制机制是未来的方向;
c) 行为日志:有了身份认证、授权管理,就可以确定某人的行为是否被授权允许。行为日志是用户的行为记录,是事后取证的依据,是用户行为防抵赖的保障措施;
d) 基于大数据的合规性检测:单个看一个行为,不合规,未授权,则访问控制机制直接拒绝。多个合法的行为组合起来,却不一定是合法的,这要看用户实现业务的结果。基于大数据的合规性检测,就是发现内部人员违规操作的行为,或者是内部人员被冒充,执行冒充者的指令行为。
(1) 用户行为检测:是各种不同业务系统的访问行为关联分析,从用户访问的时间、顺序、访问内容与数量等,分析其动机,发现其异常;
(2) 流程合规检测:是对业务流程操作的行为关联分析,从用户操作的时间、顺序、动作等,分析是否符合流程操作规范,从而发现操作异常;
e) 行为取证:发现的异常行为、违规行为都要能获取其完整的行为证据链。行为取证可以复现入侵者的攻击的场景,从而分析流程、管理中的漏洞,为安全策略的完善提供建议。
4、 安全管理中心
安全管理中心的作用是提供公共的安全集中管理与服务。即是网络安全运维、安全应急指挥、事件跟踪处理的平台,同时也是用户常用软件的服务中心。与传统的安全管理中心不同的是,由于采集的数据量庞大,需要建立数据湖(数据仓库)处理海量数据,包括数据的采集、存储、检索。
a) 安装软件仓库:软件仓库服务统一提供各种软件安装,不仅方便日常安装使用,而且既可以统一做兼容性测试,又避免软件被“污染”,控制木马的传播;
(1) 补丁软件:以云服务模式提供补丁管理服务,包括系统、设备、应用等补丁;
(2) 常用应用软件:以云服务模式提供常用软件的安装版,尤其是终端软件;
b) 数据湖:即数据层,采集的原始数据分为三类:
(1) 事件:从各种安全设备报上来的安全事件
(2) 日志:从各系统、设备报上来的状态、操作等
(3) 配置:安全设备当前的安全配置,即目前的安全策略
对原始数据进行实时分析,生成新的数据,也有三类:
(1) 统计数据:进行各种统计的数据
(2) 关联分析:规则分析、模式匹配等产生的新数据
(3) 挖掘数据:进行各种大数据分析挖掘出的新数据
c) 安全管理平台:管理层,提供安全管理平台的各项功能
(1) 资产管理:机房的设备好管理,难度大的是终端,尤其是那些移动终端的管理。很多用户都希望对接入网络的终端可以及时发现,这是发现内网攻击者的有效策略之一;NFV技术的使用,很多设备软件化,动态生成与销毁很容易,快速、高效管理更是需要;
(2) 态势展示:用户关心的态势指标体系可视化展示,同时也是监控体系的工作台,应急指挥、辅助领导决策的指挥台;
(3) 事件处理:安全运维的基本工作,即安全事件的跟踪、溯源、处置流程;
(4) 安全策略:安全策略的统一下发,这项功能比传统SOC有较大提升,即可以针对终端,如Windows/Linux等下发加固策略,对NGFW批量下发访问控制策略,对IDS/流量采集下发重点监控的临时安全策略;
(5) 运维管理:日常的安全运维工作,如人员变动、配置变更、新系统上线、设备更换等,还包括值班处理、安全通告、违规处罚等管理职能;
(6) 补丁管理:补丁管理是安全运维重要的一项工作,包括补丁兼容性测试、批量补丁下发、虚拟补丁部署等。
“花瓶”模型V5.0的三条安全线,是相互配合的,相互支撑的。防护体系是门槛,是防护基线,建立基于“空间”的纵深防御体系;监控体系是针对高级入侵,发现那些透过防护体系进入到网络内部的入侵者,通过多角度、多时空的信息关联,发现攻击者的异常;信任体系是针对网络内部用户的安全管理,发现内部攻击者,发现违规操作者,建立基于用户的网络信任体系。
“花瓶”模型V5.0适应网络新应用模式,防御体系分化为物理网络层与虚拟网络层,同时向应用层转移,向用户边界---终端转移;扩大了监控体系的粒度与覆盖面,强化了身份认证与授权,与业务系统更加紧密地结合。因此,“花瓶”模型V5.0不仅更加适合“国家网络安全法”第33条要求的“三同步”设计原则,而且更加适合基于云计算、物联网等新型IT基础架构的安全保障设计。
四、小结
“花瓶”模型伴随着信息安全已经经历了风雨十年,为众多网络安全保障方案的设计提供了便利,是方案设计者最佳的参考模型之一。V5.0版本的发布,让“花瓶”模型融入了最新的安全攻防理念,整合了最新的安全技术手段,不仅适合传统的网络信息系统使用,而且适合基于新型IT基础架构的信息系统,与云计算的虚拟化技术、大数据处理技术、移动互联应用无缝结合,将是售前工程师为用户设计符合等级保护标准2.0的安全保障方案的最佳参考模型。