|
【导读】:安全是一个博弈对抗的过程,网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客攻击的方法,提升安全防护的能力和效率。 黑客攻击手段日益精进、多变是不可否认的现实,如今,我们不敢妄言有哪个安全产品是永远不会被攻破的。 易霖博提示:只有“知己知彼”,思想上抢先一步了解攻击者的能力、意图、手段,才能在行动中占得先机,提前构建有针对性的防护措施,避免引发灾难。 在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。因此,掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹,以此作为防范依据就会大大提升防范的效果。 ★ 一 、概述
一类是人的过失性,这与人总会有疏漏犯错误有关;另一类是人因某种意图,有计划地采取各种行动,破坏一些信息和信息系统的运行程序,以达到某种破坏目的,这种事件称为信息攻击。 受到攻击的一方当然不会束手待毙,总会采取各种可能反抗这一行为(包括预防、应急措施),力图使对方攻击难以凑效(或弱化至最小),以减小己方的损失,以至惩处(或反攻)对方等,这种双方对立行动事件称为信息攻防对抗。 信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略。所以可以利用博弈论来研究攻防矛盾及其最优防御决策等信息安全攻防对抗难题。我们认为信息安全博弈论将在网络攻防对抗领域发挥重要作用,是未来信息安全很有前途的研究方向。 利用演化博弈论研究信息安全的攻防问题,建立了信息安全攻防的博弈模型,并分析了攻防双方的复制动态及进化稳定策略;把网络攻防双方建模为二人非合作博弈模型,并给出了攻防博弈模型的形式化描述,用此模型来研究网络攻防双方的矛盾冲和最优决策; 将信息安全看作企业与人侵者之间的一个博弈,企业使用信息安全技术的目标是最小化入侵者带来的损失,企业的信息安全投资收益依赖于入侵的程度,而入侵者入侵的收益依赖于被发现的可能性,入侵者被发现的可能性依赖于信息安全技术。 将不完全信息动态博弈引入到网络攻防的分析过程,讨论了均衡策略的存在性,完善了网络攻防对抗模型。 2、信息安全攻防对抗的特点 真正的安全不是单方面的,也不是静态的,而是基于社会大背景下的一种信息对抗方式,是一个动态的过程。 (1)攻防不对称性: 攻防不对称性主要体现在攻防技术、攻防成本、攻防主体、攻防信息的不对称性上。如攻防技术的不对称方面体现在如下两个方面: ①每个防御措施必定针对一个漏洞或者攻击技术,但并非每个漏洞或者攻击形式都存在相应的有效防御,同一漏洞可能存在很多种攻击方式,增加了对攻击行为的预测难度,相对于攻击知识,防御措施总是有一定滞后。 ②虽然是从攻防对抗中获取知识,但由于攻守地位的不同,防御者需要掌握所有的攻击技术和漏洞信息才能达到与攻击者相平衡。 (2) 不完全信息: 在信息安全中,信息是指一切与攻防有关的知识,包括信息网络系统脆弱性知识、攻防参与者的攻防能力知识、过去的攻防行动和结果以及外界环境的作用等。受身份和自身角色的影响,攻防双方对于博弈信息的了解是不对称的。防御方能够准确、具体和全面地了解网络状态和网络拓扑结构,相反,攻击者虽然在攻防对抗知识上有自身的优势,但在目标系统信息获取上往往还只是一个盲目搜索和攻击试探的过程;而防御者虽然熟悉自己的安防系统,但却无法预测攻击在何时、何地以何种方式进行,只能全面考虑所有可能的攻击,针对存在的弱点处处设防、时时警惕。 (3) 合理性: 在博弈中,如果参与者积极寻找使自己博弈优势最大的办法,那么在某种意义上说博弈是合理的。在网络安全模型中假设攻防双方具有相近的知识也是合理的。攻击者选择最有效的方法进攻,而防御者也总是希望以最好的方法防御,攻击者和防御者在博弈期间都希望自己的行为达到最大的成效,因而他们是合理的参与者。 4) 重复博弈: 在信息安全攻防中,攻防双方是不断地重复博弈的。攻击促进了防御的发展,防御技术的发展也刺激了攻击者不断寻找新的攻击方法。 防御者成功的原因在于:总结到的攻击方法在攻击者所拥有的攻击方法中所占比例大,并且防御方法比攻击方法更复杂。 攻击者成功的原因在于:在老的攻击方法失效之前发明新攻击方法,同时其复杂性必须能够保证新攻击方法层出不穷。 ★ 二、 信息安全攻防博弈模型 1、信息安全博弈模型要素一个完整的博弈模型通常包括参与者、战略、信息、行动、效用(支付)五个基本要素: (1) 参与者(Player): 参与人,或称局中人,是参与博弈的直接当事人,是博弈的决策主体和策略制定者,其通过选择行动(战略)以最大化自己的支付水平。在信息安全攻防对抗中,如同一切博弈理性人,防御方在作为一个理性人进行决策时,其考虑的是己方的安全利益最大化,而攻击方决策时,考虑的是使得攻击效益最大化,这与博弈论中的参与人定义正好相符。 (2) 战略(Strategies): 战略是参与者在给定信息集的情况下的行为规则,它规定参与者在何种情况下采取何种行动。对于攻防双方的战略表示,具体说就是攻击与防御策略的选择规则。在攻防博弈模型中,攻防双方的策略和最优策略求解可表示为多种形式,而且动态博弈过程中需在对大量博弈策略的组合进行选择和判断后,即进行策略空间的合理检索,才能求解得出博弈方的均衡策略解。 (3) 信息(information): 对于环境、其他参与人的特征和行动的知识。信息集(informationset)是博弈论中描述参与人信息特征的一个基本概念,可以被理解为参与人在特定时刻有关变量值的知识,一个参与人无法准确知道的变量的全体属于一个信息集。 共同知识(commonknowledge)是与信息有关的重要概念。“共同知识指的是所有参与人知道,并且所有参与人知道所有参与人知道…”的那部分知识。除共同知识外,参与人还不同程度地享有私人信息,这也同时构成了博弈双方的不确定信息。 (4) 行动和行动序列(Sequence): 行动是参与人在博弈的某个时空点的决策变量。行动可能是离散的或者连续的,但它一定是有序的。即参与者采取行动都存在顺序(Sequence)。在动态博弈中,同样的参与人,同样的行动集合,行动的顺序不同,每个参与人的最优选择就不同,博弈的结果就不同 在采取行为前的信息量不同,因此其最终结果与静态博弈结果不相同。信息安全攻防过程中,攻防双方的纳什均衡有时不止一个,而只有一种情况在实际中会发生。 (5) 效用函数(Utility): 效用函数是指在特定的战略组合下参与人得到的确定效用水平,或者是指参与人得到的期望效用水平。任何参与人的目标都是选择战略,使得其期望效用函数最大化。 博弈论最重要的一个特征就是强调个体理性,即在给定约束条件下,追求个体效用函数的最大化。而同时任何个体效用水平不仅取决于自己的战略选择,而且取决于所有其他参与人的战略选择。 2、攻防博弈的一般模型 博弈论模型是对各种现实生活状况抽象概括,可为探讨博弈论在信息安全攻防中应用的可行性提供理论基础。由于网络拓扑异构、应用平台异构、防御者和攻击者的类型差异等诸多原因给网络信息带来了极大的不确定性、模糊性和不完整性,而且攻防双方对于网络环境和对方行为等信息的获取方法存在客观差异,它们的博弈过程属于不完全信息动态博弈,其相应得到的均衡为精炼贝叶斯均衡。根据博弈理论,精炼贝叶斯均衡是在不完全信息的情况下,重复多次静态博弈得到的结果,结合贝叶斯均衡、子博弈精炼均衡和贝叶斯推断方法可计算得到问题的解。 根据上述博弈模型的五要素,构建了开放式的网络攻防博弈的一般模型,如图1所示。 3、信息安全攻防博弈模型 信息安全攻防博弈模型就是描绘攻防双方通过控制相关的攻防技术与管理而展开博弈的过程,博弈的是信息系统的脆弱性。 攻击方与防御方的策略相互影响、互动是攻防对抗模型的基本假定。作为攻击方,通过提高攻击能力运用各种攻击技术,发现、利用对方网络系统的脆弱性,增加防御方网络系统的安全风险,增大攻击成功的可能性,但同时也受防御方和环境影响而存在不确定性;fg为防御方,通过提高防御水平运用各种防御技术发现、弥补己方网络系统的脆弱性以降低安全风险并减小受攻击的可能性,但同时也受攻击方和环境影响而存在不确定性。 根据攻防双方的上述博弈过程,构建信息安全攻防对抗模型,如图2所示。博弈过程不仅是对抗双方选择策略进行博弈的过程,也是不断获取并修正信息,甚至改变(调整)效用的过程,因此可以说是一个带有对抗性质的实时动态决策过程。 回归信息安全本源,源于信息及力量的不对称下攻防双方的非合作博弈,信息优势将改变局势,实现精准乃至降维打击。 此次尝试从攻击者视角出发结合攻击链模型、钻石模型、自适应模型、安全防御象限等概念探讨互联网环境下完善信息安全弹性防御体系理念的一些思考。 随着对信息安全要求的不断提高和能力进化,需将安全防护的哨岗从内部向外扩散,进一步关口前移。 具体表现在:从攻击者思维开展防护工作,基于攻击链模型优化防御体系,根据钻石模型开展攻击者分析,综合攻击链及钻石模型开展情报驱动的主动防御。在防御体系建设中,配合高层明确风险接受度及依据人财物圈定信息安全防御能力滑动象限,有所为有所不为。最后,在安全运营中辅助开展毒性测试以增强组织防御的强韧性以至于自适应升级,保证安全生态体系保持自适应进化。以下,就从攻击者视角出发,基于主流网络网络安全模型架构进行介绍,得出基于攻击链模型构建纵深弹性自适应网络安全防御体系的原则及几点思考。 ★ 三、 主流网络安全模型框架 1、基于攻击视角的攻击链模型及防御方法信息安全是基于攻防双方力量不均衡和信息不对称的博弈,春秋时期的《孙子兵法》及1944年的冯·诺依曼均对如何排兵布阵进行过论述。虽然对手信息在变,但预测对手行为和尽可能多的掌握对手信息会让战局处于相对优势,即所谓未知攻,焉知防。 为此,从攻击者角度出发的攻击链(Intrusion Kill Chain)模型就有借鉴意义。该模型由美国洛克西德·马丁公司于2011年提出,指网络空间攻击行为分为七个步骤(图1)。包括侦查探测(Reconnaissance)、制作攻击工具(Weaponization)、将工具投送到目标(Delivery)、释放代码(Exploitation)、成功安装并控制(Installation)、主动外联(Command &control)、远程控制及扩散(ActionsonObjectives),如下图所示: 攻击链模型精髓在于明确提出网络攻防过程中攻防双方互有优势,攻击方必须专一持续,而防守方若能阻断/瓦解攻击方的进攻组织环节,即成功地挫败对手攻击企图。 同时,其提供了一种纵深防御的概念,即在攻击最终造成损失的七步中,任何一步的察觉或者阻挡均能有效阻止和阻断。意即,即使发现了被攻破,在造成最后的损失前,还是有机会进行补救,该模型部分参照不完全信息动态博弈(精炼贝叶斯均衡),就算被攻击后的亡羊补牢,也为时未晚。 2、钻石模型的应用 攻防不仅是以一种双方力量博弈的艺术,也是攻守双方转化与情报、能力的积累变换过程,如果将攻击分为7步对应到攻击链模型上,钻石模型则是建立在每步单个攻击事件上,是攻击链模型的细化落地。应通过分析穿透攻击行为看到背后的对手,进而开展攻击者画像和受害者关联,而非每次应急就事论事。 根据犯罪学中的罗卡交换定律,“凡两个物体接触,必会产生转移现象”,意即现场一定会留下相应痕迹,为此,要了解犯罪的动机、机会和手段。塞尔吉奥·卡尔塔吉龙(Sergio Caltagirone)提出的钻石模型(The Diamond Model)是针对以上挑战提出的一个分析模型,用于将攻击方,攻击使用的基础设施,攻击方法(能力)和受害者四个因素通过一个菱形进行关联。 每个事件有四个基本元素,对手、能力、基础设施及受害者。四者的关系布置成菱形,因此得名“钻石模型”。元特征描述了元素互相作用的时间先后,在攻击链中的阶段,是否成功,方向和方法归类,所用资源等。 简单来说,钻石模型解释攻击者(对手)运用基础设施(IP、域名等),通过掌握的功能技术,攻击受害者。受害者在受到攻击后,以自己为支点(Pivoting),将功能和基础设施联系起来,通过攻击路径翻转找到攻击者。 以木马攻击为例。①受害者中马,经过排查发现恶意软件②通过技术能力对木马软件分析,定位僵尸网络控制域名③通过对域名解析,定位远控端IP④反转,通过远控IP查询网内其余中马主机⑤逆向反转,通过远控IP追踪远控主机。 通常情况下,将对手和受害者划入一个象限,以此来思考攻击方和受害方的关联关系。将功能和基础设施划入一个象限,以此来关联技术能力上的关联。通过人的关联和技术能力(习惯手法)的关联对攻击方进行画像以及定位更多受控设备。 3、基于攻击链和钻石模型产生的威胁情报开展主动防御 攻击链和钻石模型各有特色,相辅相成。攻击链模型着重描述过程,详细介绍七步攻击的阶段,为每个阶段提取指标,并开展跨阶段跟踪,钻石模型直接补充了攻击链分析中每一步具体实现,使用结构化指标来定义和了解对手的活动,有利于知识积累。两者结合在一起,不仅能完成应急,而且能形成知识沉淀和威胁情报,理解攻击者意图。 主动防御(The Active CyberDefense Cycle)采取了使用前两个模型产出的威胁情报和攻击者信息,将攻击特征在组织内部进行消化,分四步完成,第一步应用威胁情报,对攻击行为特征在组织内部开展回溯梳理,查找未发现受害者;第二步开展安全监控,对威胁情报内容进行建模或特征提取,作为组织资产输入到防护设备中;第三步开展应急响应,将情报应用后监控和发现的新的威胁进行处置;第四步开展针对外部威胁的系统脆弱性加固。主动防御的优势在于通过攻击者的攻击开展自我提高。 以攻击链的投送恶意软件阶段开展钻石分析后形成的威胁情报进行的主动防御为例,如上图,显示了开展钻石模型分析后通过基础设施分析能力,对攻击者特征、远控IP等形成了威胁情报,主动防御体系根据威胁情报对系统开展闭环修复,增强了系统的健壮性,利用自身应急产出开展安全增强,也同时符合应急处置中调查,归类,遏制,分析,追踪,恢复六步走原则。 另外,将威胁检测及情报处理能力落地,最直接的效果就是降低平均威胁检测时间(MTTD)和平均威胁响应时间(MTTR),这一点对安全运营工作非常重要,直接涉及KPI考核。 4、基于TCP/IP分层协议的安全防护开放系统互连参考模型 (简称OSI)为开放式互连信息系统提供了一种功能结构的框架。它从低到高分别是:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。根据不用层所用协议的不同,安全防护可以从传输层和应用层分别实现,从而达到不同的应用效果。传输层包括传统IPS、包过滤防火墙等,而应用层则主要针对WEB层面,解决OWASP列出的主要WEB攻击类型。 不同的网络模型,就要从不同的网络安全形态开展部署。去除掉物理安全,实际上需要根据OSI协议部署不同方式。在安全架构模型中,应注意此问题,有的单位为了合规驱动,仍在部署的传统IDS实际上已无法满足需求,此处的部署方法在后面会提到。 5、自适应安全架构自适应安全架构(AdaptiveSecurity Architecture,简称ASA)是由Gartner在2014年提出的安全体系,类似于PDCA的戴明环理念,强调以持续监控和分析为核心,将防御、检测、响应、预测四个方面结合起来,自适应不同系统基础形态和业务系统变化,能够持续的自我进化,自我调整来适应新型、不断变化的攻击类型。
自适应安全架构中,右上方防御包括预防攻击的现有策略产品和进程;右下方的检测用于发现、监测和确认、遏制攻击行为;左下方的响应表示调查、修复检测能力(或外部服务)发现的问题;左上方预测值是安全服务机构可以从外部检测黑客行动的能力。 太阳底下没有新鲜事,信息安全的的ASA架构也趋同于PDR响应模型,即保护,检测,响应模型,但其优点是加入了对威胁情报的引入和使用。 6、PDR与P2DR模型(基于时间维度的检测响应体系)防护-检测-响应(PDR)模型是基于时间的可证明的安全模型,其概念是防护(Protection)及其防护时间Pt(系统在黑客攻击下的存活时间)、检测(Detection)及其检测时间Dt(黑客攻击开始到被发现时间)、响应(Response)及其响应时间Rt(从发现攻击到做出有效响应的时间)。 任何安全防护措施都是基于时间的,超过该段时间,防护措施就可能被攻破。该模型的基本思想是承认信息系统中存在漏洞,正视系统所面临的威胁,通过适度的防护并加强检测,落实安全事件响应,保障系统安全。
安全状态: Pt>Dt+Rt S安全(系统S的防护时间Pt大于攻击及响应事件,系统安全);非安全状态:Pt<Dt+Rt,S是不安全的,系统暴露风险敞口事件Et=(Dt+Rt)-Pt。从攻击检测响应事件看,攻击存活时间Pt对应的是黑客攻击能力,不好把握。所以对检测时间Dt和恢复响应时间要求就越来越高,就像3中间提到的威胁情报引入会降低MTTD和MTTR一样,采用自动化手段能显著降低响应时间(Rt)。 PDR模型的扩展包括PPDR以及PPDRR模型,其中PPDR模型增加了策略(policy);而跟进一步演化的PPDRR模型增加了恢复环节,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。 7、MTD模型移动目标防御(MTD, moving targetdefense)是一种全新的防御理念,通过积极主动地改变目标状态,变换暴露在敌人面前的攻击面来削减攻击者有效发动攻击的能力。现有的移动目标防御机制方法中,攻击面变换频率通常依据管理者经验,缺乏理论基础,因此很难达到 可用性—安全性—开销 的平衡。对防御者来说,防御效果会受到变换频率的影响:目标攻击面变换越快,防御开销越大,但同时防御效果越好。然而,过于频繁的变换会导致系统性能下降甚至损害可用性;目标攻击面变换越慢,防御开销相应减少但同时防御效果会相对下降,系统被攻破的概率增大,一旦攻击成功,造成服务损失则得不偿失。因此,如何决定攻击面变换的时机、优化变换频率,获得可用性—安全性—开销 的平衡,这是一个值得深入研究的重要方向。 现有MTD 攻击面变换通常采用3 种策略:预设固定时间间隔、使用可调时间间隔和异常事件驱动的变换。当前研究多是采用单一策略,而且前2 种研究占多数。并且通常采用基于时间间隔(包括预设固定时间间隔和使用可调时间间隔)的变换策略,其中大部分时间触发机制是状态无关的,因此此类策略驱动下的攻击面变换往往缺乏针对性,没有做到可用性—安全性—开销 优化平衡。第三种方式的机制的防御效果完全依赖于检测机制的准确率和时效性,由于对异常事件的人为定义不一定准确和完善,且对异常事件进行检测可能会存在遗漏和延迟。 移动目标防御(MTD)是当今最具影响力的安全创新机会。在过去的几年里,国际上针对移动目标防御的研究一直是非常重视。 美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术,美国空军准备在2020年前大范围应用MTD技术解决安全问题。2016年美国第一个MTD技术的专利被颁发。之后国外学者针对MTD技术撰写了大量论ttps://obamawhitehouse.archives.gov/sites/default/files/microsites/ostp/fed_cybersecurity_rd_strategic_plan_2011.pdf
8、网络安全滑动标尺模型 由于安全工作不好量化,是以风险和合规作为驱动的源头,企业安全工作做的好不好,处于哪个阶段不好界定。为此,参考网络安全活动标尺模型(The Sliding Scale of Cyber Security)对安全水平进行断代具有参照意义。该模型是罗伯特RobertM. Lee月2015年在美国系统网络安全协会(SANS)网站首次提出,其有点类似于信息安全CMMI能力成熟度模型,他将企业在应对外部攻击时的五个信息安全能力阶段,分别是架构建设、被动防御、主动防御、智能分析和反击威慑。其核心是在原有IATF框架的基础上,强调“威慑”概念,将防御、威慑和利用结合成三位一体的信息安全保障/网络空间安全(IA/CS))。
上图将一个机构信息安全阶段进行了详细描述。第一阶段是基础架构阶段,解决的是从无到有的问题。第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。第四阶段为智能学习,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。第五阶段指利用技术和策略对对手进行反制威慑。
上图表明,安全建设是循序渐进的过程,基础架构和下层建筑是性价比高的行为。而基础层不做好,上层的智能分析和情报引入会造成资源浪费在误报和低级事件上。信息安全也要基于RIO视角权衡投入产出比,统筹考虑需要考虑人员的的投入与成本之间的估算。落实到具体工作中,人少钱不够,要说服管理层接受风险或购买保险。 9、信息安全建设的“马斯洛需求”层次赵彦在《互联网企业安全高级指南》中将企业的安全水平参照SANS滑动象限和能力成熟度模型结合马斯洛需求层次划分了5层,具体是:
第一层:通过一些较为基础的安全措施,做到了基础的访问控制,交付的系统不含有明显的高危漏洞。但对于复杂的安全事件,自身没有独立处理的能力,必须依赖于外部厂商。 第二层:有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商。但在安全建设上缺乏思路,大多依赖商业产品或照搬已有的安全模式。 第三层:安全建设呈现初步的系统化,覆盖全生命周期,开发和运维环节有必要的控制流程,主要的系统在架构上都会考虑安全方案,检测和防护手段能因地制宜。 第四层:除了基础架构,应用,数据等技术层面安全能做到全生命周期系统化建设,业务层面安全问题得到系统化解决方案。安全此时不止关注技术层面的攻防对抗,也关注业务形式的安全及黑产的对抗。 第五层:安全建设进入最佳实践阶段,不依赖现有安全机制,也不依赖于厂商的安全产品,自身建设安全。严重的安全事件几乎很少发生,大多数精力用于优化现有系统的检测和拦截率。 基于以上从攻击者角度的模型,网络模型,强调持续改进的自适应模型和基于时间维度的PDR模型,可以从不同的角度对企业构建防御体系进行参考。而安全滑动象限及安全的马斯洛需求层次则为安全水平进行断代。不同关注点和建设阶段均可在其中找到锚定坐标。下面,浅谈几点互联网安全防护的原则及其成因。 ★ 四、基于攻击链模型构建纵深弹性自适应网络安全防御体系 1、基于攻击链路径构建纵深防御(深度防御DEEP DENFENSE)体系在传统企业中,通过设置多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能被其他防线弥补或纠正,即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生的。 纵深防御,一是补短板,是从不同层面的建设,包括从做操作系统,网络,边界等。二是说不同的产品有不同的分工。
纵深防御从攻击链的七步对应出来,按照时间维度,从事前监测,事中遏制及阻断,事后跟踪及恢复三个方面进行阐述。
主要原则有三个,一是在攻击链的不同阶段,部署不同防护策略,以实现互补。二是基于OSI模型,在网络层、应用层分别部署以展现。三是尽管同一防护内容,在不同层次防护效果不一样,譬如对于SQL注入,在WAF层面,WEB日志,RASP和SQL层面效果差距很大。 基于此,基于攻击视角,结合威胁情报的的纵深防御架构应该实现的架构是
2、安全防护体系应异构并具备强韧性
首先,通过毒性测试及反馈机制,构建系统弹性及强韧性。毒物兴奋效应( hormesis)是从医学中起源,16 世纪Paracelsus 的名言“剂量决定毒物”,即所有物质都是有毒的,只和剂量大小有关。《反脆弱》纳西姆·尼古拉斯·塔勒布把事务在应对波动、压力等环境后变的更强还是更弱分为脆弱性、强韧性、反脆弱性三类。脆弱性可以理解为一成不变的架构,在遇到风险时无法变通应对,会造成信息安全事件被动应对,四处救火,修修补补。强韧性指信息系统在遇到外界变动时具备冗余性,在单点被攻破的情况下仍能保持正常运转。而反脆弱则说明信息系统安全水平在外界刺激下增强,具备免疫力并自我进化,例如人类婴儿水痘防疫或佛学的涅槃重生。 基于此,信息系统应不定期开展低微剂量毒性测试(自测评及渗透测试),根据系统反馈开展定点修补;定期开展众测及业务连续性(BCP)测试,通过中等剂量外界刺激,促进安全架构重构及进化,具备反脆弱性。
其次,防守异构是基于完全信息静态博弈中攻守平衡原理 基于攻防双方力量的博弈,就算防御方力量大于攻击方并且相同条件下占优,攻防双方无论怎么排兵布阵,按最优方式排列,获胜的概率也是相等,均为50%,从整体战略看,是典型的弱者战胜强者。如下图:在有两条攻击路径(A、B)的情况下,守方三个师,攻击方两个师,两条路。兵力相等情况下,守方赢。 上图的结论是:攻击方最佳策略是集中优势兵力,而防守方最佳策略是兵力分散化。基于此,应构建多样化防御体系。同时,分散后对管理效能提出了更高的要求,采取分散策略的前提是:有效分散,即保证分散后单独防守能力不低于分散前,否则会适得其反。
3、信息交换,构建安全生态圈互联网先驱凯文.凯利(KK)也多次强调生态圈与自适应进化概念,对信息安全来说,亦提倡构建安全生态圈。生态圈宜从基础物理层、计算存储环境、网络边界、架构安全、外部供应链、威胁情报、舆情等多个层面进行综合考量,建立信息安全领域生态圈,生态圈的发展跟随业务不断进化,具备自适应能力。 信息安全生态圈构建理论依据之一:比较优势理论。古典经济学家李嘉图提出了比较优势理论,意指对比于斯密的绝对优势,即使某一国各种产品生产效率均占劣势,通过交换的强弱各方也可以获得超额收益。其落地体现为,各企业信息安全机构以及行业主管部门联合起来,开展威胁情报及信息专项交换,获得效率的增量提升。 信息安全生态圈构建理论依据之二:供应链安全。供应链安全反复被提但依旧形势严峻。随着专业分工的不断发展,软件模块化,插件化形势进一步成为主流,在近年来的信息安全事件中,多次暴露出开源软件严重漏洞及CMS后台权限被社工,或者第三方提供产品漏洞。对应方案一是对供应链加强管理,定期评审或采信第三方对供应链的安全评级。二是考虑采用风险转移措施,采用第三方对供应链进行专题管理,并签立对赌协议。
信息安全生态圈构建理论依据之三:基于威胁情报及态势开展升维防御。
从防御角度来说,开展升维防御。就像二维世界里的贪吃蛇永远不可能知道三维世界一样。防守方可以利用外部威胁情报造成信息不对称,对攻击方开展升维防御。举例来说,传统邮箱防御是基于暴破行为,一般需要同一IP触发5次或以上,才能触发防御规则,如采用威胁情报,可以将单次暴破行为即定义为违规。同时,不光使用自身防御过程中产生的威胁情报,还要通过外部威胁情报的引入,对传统防护设备如邮箱防护、防火墙、IPS、WAF进行赋能。
★ 五、信息安全防御有必要关注的几点 1、知己知彼,百战不殆,梳理清楚自己的资产随着业务的发展,特别是云计算平台及移动互联网时代的到来,线上发布流程不断变化,业务在未经过充分测试的情况下灰度发布。如不掌握详尽的资产信息,一是发生问题无法快速应对定位,盲人摸象;二是外部风险情报到来后无法精准处置,胡子眉毛一把抓,造成精力分散和过度应对。 实际情况中,至少应掌握两类资产,一是系统资产,包括但不限于网络拓扑结构、业务逻辑架构、物理部署位置、系统数据流等,同时对资产的不光有内部报送,也应辅助扫描机外部探测。二是管理资产,包括但不限于组织架构图,研发、运维、供应链信息,保障及监管单位流程。 有了这两类信息,出了事情,知道找谁,系统在哪儿,做什么,做到快速应对。最好的验证方法是开展业务连续性测试(BCP),按期(最少一年一次)通过该过程一是验证了系统资源,同时将业务人员和管理层进行意识统一。 2、随着手段的增多,系统会出现创造性失灵,类似明斯基时刻,安全不再有效信息安全要预防黑天鹅,更要关注灰犀牛。黑天鹅(塔勒布《黑天鹅》)指的是突发事件,意即突现一类新技术,传统安全完全无效。而灰犀牛是对黑天鹅理论的补充和延展,对当下混乱无序与不确定性下的大概率危机的描述。凯文凯利(KK)在《失控》中将各种质量控制手段和反馈手段综合起来,可证明随着各种防控手段的综合应用,综合防御能力会出现1+1>2的情况。但根据热力学第二定律,宇宙的熵会随着时间的流逝而增加,由有序向无序,最终进入热寂(创造性失灵并且无法定位故障点),这是大概率的系统性风险或明斯基时刻。 “不谋全局者,不足谋一隅”,在做好安全技术和管理日常运行和储备的同时,需要具备前瞻性,以战略眼光,全局角度审视安全。 3、信息安全从BCP出发,符合实际,不是一味的绝对安全,具备四个意识信息安全具体工作中,也应。如此安全一定要和企业的整体战略、规模、成本结合起来,实事求是做安全。具有核心意识,向单位业务核心业务靠拢,保障核心权益;具有大局意识,从整体的信息系统发展角度出发而非只从狭隘的安全角度出发,为了安全不顾业务;具备看齐意识,向行业、国内、国际的顶端安全理念看齐,不是夜郎自大,也不是闭门造车。具有政治意识,保证安全工作和信息化工作的合规和合法,规避法律风险。 4、运用动态安全迭代上升安全思路信息安全是一个螺旋迭代的PDCA过程,不要想着一步到位,随着认识的不断积累,能力的提升,视野的扩展,对安全的认识是逐步上升的。还有一点,就是随着业务的发展,安全防护的理念是动态变化的,而不是一成不变的。不要试图用不变的架构来应对所有问题。同时,知识也是需要不断升级的。就像计算机系统安全历经通讯、操作系统、应用系统、纵深防御四个发展阶段一样。虽然无法承诺永远都不出一起安全事件,但应确保在把时间纬度拉长的情况下安全风险是趋于收敛的。
应建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力,最终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。 5、信息安主动迎接云、大数据和区块链等新技术就像互联网的出现,电商颠覆了传统业态一样。新技术不断出现,分布式、大数据、云架构下业务形态发生了改变,传统的基于边界和主机的架构不再适用。在建设云安全过程中,有两个主流方向。对于大型金融机构,采用自建私有云方法,这样一是划算,二是自主可控。对于中小金融机构,则可从成本角度出发,轻资产,重应用,多采购外包方式采购第三方主流私有云平台,实现经济效应。安全体系应主动变革,从基础设施(IAAS)、操作系统(PAAS)、软件服务(SAAS)三个层面主动设计应对,从基础层、虚拟化层和应用层做好分层设计,系统隔离和应用隔离,同时,将安全作为服务向应用系统提供。
云安全时代的到来会带来一种变革,业务的入口更集中,安全相对来说也变的更集中,一旦云安全单点突破,造成的损失几何级上升。但云安全时代的好处在于将力量分散的安全能力进行聚合,能力越大,责任就越多,对安全人员提出了更高的技术要求,知识升级和安全理念的更新。构建统一的认证接口平台实现整体的访问控制与协议栈收敛,以业务逻辑为基础开展软件定义边界的隔离,最后基于数据的流动,在边界和各租户间开展大数据安全及隐私保护。 6、安全管理设计与运营并重 信息安全工作由于其不直接产生经济效应,在信息系统中处于相对弱势,行业自嘲CSO在没出事情的时候没什么用,出了事情就证明真没什么用,业界戏称,重保期间准备三样宝,预案、检讨和辞呈。 为此,为证明信息安全已经合理规划并的确做过,必须遵循适度谨慎(DUE CARE)和适度勤勉(DUE DELIGEOUS)准则。在安全管理设计上逻辑严密,体系架构合理并可实现,在安全运行上要注意留存记录及证据,以便回查。这样,在应急处置和安全事件调查中,以证明从制度和运营的合理性,避免造成人为重大疏忽甚至渎职。 还有非常重要的一点,向内做好用户风险警示,向管理层和监管层就安全风险预期达成一致,加强沟通,设立合理安全目标。安全的目标不是消灭所有的风险,是指经过安全的架构设计和管理落地,将信息安全风险控制在“可接受”范围内。 本文参考孟祥宏老师的《信息安全攻防博弈研究》吕毅老师的《从攻击视角构建弹性信息安全防御体系》,作者在此表示感谢。 |
|
|
来自: kaller_cui > 《网络空间作战》
1、信息安全问题发生的原因
