您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
數(shù)字化轉(zhuǎn)型下的網(wǎng)絡(luò)安全與彈性
在疫情肆虐的背景下,網(wǎng)絡(luò)攻擊活動(dòng)日益猖獗;2020年底曝出的年度供應(yīng)鏈APT攻擊事件中,美國(guó)眾多政府機(jī)構(gòu)、安全和IT公司淪陷。在日益復(fù)雜的網(wǎng)絡(luò)攻擊面前,沒(méi)有任何機(jī)構(gòu)可以幸免。增強(qiáng)網(wǎng)絡(luò)彈性,打造快速的恢復(fù)能力日益受到關(guān)注。
網(wǎng)絡(luò)安全策略的重點(diǎn)從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪?qiáng)網(wǎng)絡(luò)彈性:既然入侵不能避免,考慮維持業(yè)務(wù)正常運(yùn)營(yíng),從攻擊中快速恢復(fù)過(guò)來(lái)才是更現(xiàn)實(shí)的選擇。
作為網(wǎng)絡(luò)安全行業(yè)的風(fēng)向標(biāo),將于5月份舉辦的RSAC峰會(huì)宣布以“彈性(RESILIENCE)”作為今年大會(huì)的主題。在此前,普華永道網(wǎng)絡(luò)安全與隱私業(yè)務(wù)負(fù)責(zé)人克里斯·莫里斯在世界經(jīng)濟(jì)論壇上撰文指出,每個(gè)企業(yè)都應(yīng)該將網(wǎng)絡(luò)彈性作為當(dāng)前的重中之重。
這表明網(wǎng)絡(luò)彈性已得到網(wǎng)絡(luò)安全產(chǎn)業(yè)界的共同關(guān)注,將對(duì)網(wǎng)絡(luò)安全創(chuàng)新乃至信息化帶來(lái)越來(lái)越重要的影響。
一、網(wǎng)絡(luò)彈性的產(chǎn)生背景
彈性(Resilience或Resiliency,也可譯為“韌性”)的概念起源于力學(xué)和社會(huì)生態(tài)等領(lǐng)域,后來(lái)被引入工程領(lǐng)域。近年來(lái),美國(guó)軍方要求在預(yù)算有限和作戰(zhàn)條件不確定的條件下,其武器裝備應(yīng)具備保證功能持續(xù)穩(wěn)定的能力、抗干擾能力、受損后能得到有效恢復(fù)的能力以及快速適應(yīng)不斷變化的條件的能力,從而對(duì)武器裝備提出了彈性的要求。此后,彈性得到美國(guó)軍方乃至美國(guó)聯(lián)邦政府的高度重視。
由于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的多樣性、復(fù)雜性和不可預(yù)見(jiàn)性,保證網(wǎng)絡(luò)空間絕對(duì)的安全是不現(xiàn)實(shí)的。因此,網(wǎng)絡(luò)安全的工作重點(diǎn)逐漸從阻止網(wǎng)絡(luò)事故的發(fā)生轉(zhuǎn)向緩解事故帶來(lái)的危害,網(wǎng)絡(luò)彈性的概念就出現(xiàn)了。網(wǎng)絡(luò)彈性是從攻防對(duì)抗的角度來(lái)考慮系統(tǒng)的特性,認(rèn)為網(wǎng)絡(luò)攻擊(尤其是APT攻擊)是防不住的;在這種情況下,保護(hù)系統(tǒng)的重點(diǎn)應(yīng)從抵御攻擊轉(zhuǎn)變?yōu)楸U蠘I(yè)務(wù)連續(xù)性。
美國(guó)發(fā)布了多個(gè)跟網(wǎng)絡(luò)彈性有關(guān)的規(guī)劃和正式報(bào)告。2018年,美國(guó)防部在《國(guó)防部網(wǎng)絡(luò)戰(zhàn)略2018》中提出“提升美國(guó)關(guān)鍵基礎(chǔ)設(shè)施彈性”的戰(zhàn)略途徑;此后不久,白宮發(fā)布了美國(guó)的《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》,提出了“管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提升國(guó)家信息和信息系統(tǒng)的安全與彈性”的目標(biāo)。
隨著美國(guó)政府的推動(dòng),網(wǎng)絡(luò)彈性在國(guó)際學(xué)術(shù)界和工程界得到了廣泛的重視。2019年11月27日,NIST正式發(fā)布SP 800-160(卷2)《開(kāi)發(fā)網(wǎng)絡(luò)彈性系統(tǒng)—一種系統(tǒng)安全工程方法》。該報(bào)告是NIST SP 800-160(卷1)《系統(tǒng)安全工程》的第一個(gè)支持文件,它是NIST采用系統(tǒng)工程方法構(gòu)建網(wǎng)絡(luò)安全能力的重要里程碑,也代表著網(wǎng)絡(luò)彈性的權(quán)威技術(shù)文件。
二、網(wǎng)絡(luò)彈性的框架與實(shí)現(xiàn)步驟
網(wǎng)絡(luò)彈性跟任務(wù)保證、網(wǎng)絡(luò)安全防護(hù)、業(yè)務(wù)連續(xù)性、備份恢復(fù)等相關(guān),網(wǎng)絡(luò)彈性的定義就是從關(guān)鍵基礎(chǔ)設(shè)施彈性(2010)、國(guó)家安全系統(tǒng)彈性(2014)、關(guān)鍵基礎(chǔ)設(shè)施安全與彈性(2013)、網(wǎng)絡(luò)空間彈性(2010)等術(shù)語(yǔ)中歸納出來(lái)的。
NIST SP 800-160(卷2)將網(wǎng)絡(luò)彈性定義為:預(yù)防、抵御、恢復(fù)和適應(yīng)施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。該報(bào)告提出了一個(gè)完整的網(wǎng)絡(luò)彈性結(jié)構(gòu),包括目的、目標(biāo)、技術(shù)、實(shí)現(xiàn)途徑、設(shè)計(jì)準(zhǔn)則等。這個(gè)結(jié)構(gòu)指導(dǎo)系統(tǒng)工程師從風(fēng)險(xiǎn)管理策略出發(fā),根據(jù)威脅或攻擊的影響來(lái)制定網(wǎng)絡(luò)彈性解決方案。
網(wǎng)絡(luò)彈性的目的是使系統(tǒng)具有預(yù)防、抵御網(wǎng)絡(luò)攻擊的能力,以及在遭受網(wǎng)絡(luò)攻擊后能夠恢復(fù)和適應(yīng)的能力。該報(bào)告對(duì)以上四個(gè)目的進(jìn)行細(xì)化,提出了阻止或避免、準(zhǔn)備、持續(xù)、限制、重構(gòu)、理解、轉(zhuǎn)移、重新架構(gòu)等8個(gè)具體目標(biāo),用于說(shuō)明系統(tǒng)應(yīng)該實(shí)現(xiàn)的功能。該報(bào)告列舉了14類技術(shù)、49種方法供系統(tǒng)工程師采用。該報(bào)告提出了5條戰(zhàn)略性設(shè)計(jì)準(zhǔn)則,用于描述組織的風(fēng)險(xiǎn)管理策略,并進(jìn)一步細(xì)化為14條結(jié)構(gòu)化設(shè)計(jì)準(zhǔn)則。
NIST SP 800-160(卷2)對(duì)以上內(nèi)容作了詳細(xì)的說(shuō)明,并使技術(shù)、方法、設(shè)計(jì)準(zhǔn)則與目的、目標(biāo)、系統(tǒng)生存周期階段等建立了對(duì)應(yīng)關(guān)系,從而形成嚴(yán)密的技術(shù)體系。
其它機(jī)構(gòu)也對(duì)網(wǎng)絡(luò)彈性也提出了類似的定義和技術(shù)體系。例如,IDC采用NIST的網(wǎng)絡(luò)安全框架來(lái)表示網(wǎng)絡(luò)彈性。在《網(wǎng)絡(luò)彈性重要性與實(shí)現(xiàn)之路》一文中,普華永道網(wǎng)絡(luò)安全與隱私業(yè)務(wù)負(fù)責(zé)人克里斯·莫里斯分享了實(shí)現(xiàn)網(wǎng)絡(luò)彈性的五個(gè)步驟。
( 1 ) 了解資產(chǎn);
( 2 ) 了解供應(yīng)鏈;
( 3 ) 保持良好安全習(xí)慣;
( 4 ) 制定恢復(fù)計(jì)劃;
( 5 ) 開(kāi)展網(wǎng)絡(luò)攻擊演習(xí)。
綜合來(lái)看,NIST SP 800-160(卷2)所提出的框架是最全面完整的。
三、網(wǎng)絡(luò)彈性的應(yīng)用
彈性的理念和方法已經(jīng)在美國(guó)軍方和安全部門(mén)得到廣泛應(yīng)用。例如,2013年,美國(guó)國(guó)土安全部在《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》(NIPP)中提出要保障關(guān)鍵基礎(chǔ)設(shè)施的安全和彈性。2019年11月,美國(guó)國(guó)土安全部和國(guó)務(wù)院共同參與發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性指南》,總結(jié)了美國(guó)采用的關(guān)鍵基礎(chǔ)設(shè)施安全和彈性的方法,分享了過(guò)去15年美國(guó)所吸取的經(jīng)驗(yàn)教訓(xùn),以推動(dòng)提高美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全和彈性能力。
網(wǎng)絡(luò)彈性的概念和技術(shù)方法出現(xiàn)以后,迅速得到了各方的高度關(guān)注和積極響應(yīng)。咨詢機(jī)構(gòu)Ponemon Institute和IBM Resilient從2015年開(kāi)始,每年在全球開(kāi)展網(wǎng)絡(luò)彈性的調(diào)查。在2019年,他們調(diào)查了全球104992名IT和IT安全人員,收集到了3655份調(diào)研表。在這份調(diào)研中,只有54%的受訪者表示他們的網(wǎng)絡(luò)彈性水平很高,這個(gè)指標(biāo)快速在近三年得到快速增長(zhǎng)。
受訪者所在機(jī)構(gòu)在2019年的平均網(wǎng)絡(luò)安全預(yù)算為1160萬(wàn)美元,其中31%(360萬(wàn)美元)用于網(wǎng)絡(luò)彈性活動(dòng)。
2020年3月26日,蘭德公司在官網(wǎng)發(fā)布了《度量網(wǎng)絡(luò)安全與網(wǎng)絡(luò)彈性》的報(bào)告,提出了可以用來(lái)衡量美國(guó)空軍任務(wù)或系統(tǒng)在網(wǎng)絡(luò)競(jìng)爭(zhēng)環(huán)境中表現(xiàn)的指標(biāo)框架和評(píng)分方法。這份報(bào)告以紅藍(lán)方兵棋推演的方式,為大家呈現(xiàn)了網(wǎng)絡(luò)攻擊中持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)彈性的重要性,并通過(guò)決策、文化和人員來(lái)詳細(xì)分析了正確使用這種衡量標(biāo)準(zhǔn)的方法。
我國(guó)的專家學(xué)者也在跟蹤網(wǎng)絡(luò)彈性的研究應(yīng)用進(jìn)展情況,部分網(wǎng)絡(luò)安全企業(yè)開(kāi)展了探索性的工作。例如,奇安信集團(tuán)提出的“面向泛終端的網(wǎng)絡(luò)安全彈性防御解決方案”,被收錄進(jìn)第6屆世界互聯(lián)網(wǎng)大會(huì)的領(lǐng)先科技成果集。
奇安信集團(tuán)基于其網(wǎng)絡(luò)安全產(chǎn)品和技術(shù),以“內(nèi)生安全”理念為核心,構(gòu)筑了協(xié)同自動(dòng)化、響應(yīng)敏捷化、風(fēng)險(xiǎn)度量化、權(quán)限動(dòng)態(tài)化、防護(hù)資源化和監(jiān)測(cè)廣角化的基本策略,提出面向泛終端的網(wǎng)絡(luò)安全彈性防御解決方案。
方案覆蓋云、管、端的安全擴(kuò)展性需求,提供對(duì)內(nèi)風(fēng)險(xiǎn)管控和對(duì)外威脅響應(yīng)兩類核心能力,具體包括以下五個(gè)系統(tǒng):
( 1 ) 泛終端彈性安全防護(hù)。針對(duì)傳統(tǒng)桌面終端,及新興的移動(dòng)終端、IoT終端、工業(yè)終端等各類異構(gòu)的終端,提供終端安全防護(hù)和監(jiān)測(cè)響應(yīng)能力,實(shí)現(xiàn)終端發(fā)現(xiàn)、資產(chǎn)管理、設(shè)備準(zhǔn)入、多網(wǎng)切換、終端審計(jì)、病毒查殺、環(huán)境感知與威脅檢測(cè)和響應(yīng)等功能,并能夠通過(guò)控制中心對(duì)網(wǎng)絡(luò)中終端進(jìn)行集中管理、配置、維護(hù),達(dá)到提升泛終端復(fù)雜環(huán)境整體網(wǎng)絡(luò)安全防護(hù)能力的目的。
( 2 ) 軟件定義彈性安全網(wǎng)絡(luò)。針對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境,提供可信鏈路的建立和管控以及惡意流量清洗的能力,實(shí)現(xiàn)安全自動(dòng)組網(wǎng)、安全選路、安全策略下發(fā)、爬蟲(chóng)檢測(cè)與保護(hù)、Web攻擊檢測(cè)與防護(hù)、DDoS攻擊檢測(cè)與防護(hù)功能,達(dá)到為用戶提供整體網(wǎng)絡(luò)環(huán)境安全彈性防護(hù)的目的。
( 3 ) 云平臺(tái)彈性安全資源池?;谠朴?jì)算平臺(tái),以安全即服務(wù)的形式,通過(guò)調(diào)度虛擬化防火墻、虛擬WAF、抗拒絕服務(wù)攻擊、虛擬入侵防御、虛擬VPN主機(jī)防護(hù)等安全組件,為云租戶提供訪問(wèn)控制、風(fēng)險(xiǎn)評(píng)估、攻擊防護(hù)、安全審計(jì)等云安全防護(hù)能力,并統(tǒng)一提供安全組件的自動(dòng)化部署、授權(quán)自動(dòng)分發(fā)、日志統(tǒng)一收集配置、安全能力彈性伸縮、開(kāi)放接口等功能。
( 4 ) 自適應(yīng)彈性安全訪問(wèn)控制系統(tǒng)。由可信訪問(wèn)控制臺(tái)、可信應(yīng)用代理、可信API代理、可信環(huán)境感知等組件構(gòu)成,通過(guò)對(duì)人、終端和系統(tǒng)的實(shí)體身份化,為用戶訪問(wèn)應(yīng)用,應(yīng)用和服務(wù)之間的API調(diào)用等各場(chǎng)景提供縱深的動(dòng)態(tài)可信訪問(wèn)控制機(jī)制,解決泛終端接入、多方人員接入、混合計(jì)算環(huán)境下的數(shù)據(jù)安全訪問(wèn)及共享的問(wèn)題。
( 5 ) 可編排彈性安全監(jiān)測(cè)與響應(yīng)系統(tǒng)。充分發(fā)揮網(wǎng)絡(luò)威脅情報(bào)的驅(qū)動(dòng)作用,實(shí)施精準(zhǔn)化、針對(duì)性防御行動(dòng);及時(shí)發(fā)現(xiàn)潛藏在其網(wǎng)絡(luò)中的安全威脅,對(duì)入侵途徑及攻擊者背景的研判與溯源;通過(guò)自動(dòng)化或半自動(dòng)化工具、流程和策略,進(jìn)行自動(dòng)化安全事件的響應(yīng)和預(yù)防,加快事件響應(yīng)的速度。
以上五個(gè)系統(tǒng)中,前三個(gè)覆蓋云、管、端的安全擴(kuò)展性需求,后兩個(gè)提供對(duì)內(nèi)風(fēng)險(xiǎn)管控和對(duì)外威脅響應(yīng)的核心能力。五大系統(tǒng)之間由開(kāi)放接口進(jìn)行協(xié)同,具有開(kāi)放、自組織、動(dòng)態(tài)特性,以適應(yīng)信息系統(tǒng)復(fù)雜多變的場(chǎng)景。
四、總結(jié)
隨著數(shù)字化轉(zhuǎn)型的加速,將增加對(duì)IT的依賴,需要更強(qiáng)的網(wǎng)絡(luò)彈性。否則,就會(huì)面臨很高的業(yè)務(wù)中斷風(fēng)險(xiǎn)。實(shí)現(xiàn)彈性要求系統(tǒng)建設(shè)者擱置不可滲透的舊防御觀念,而是假定遭受攻擊將不可避免,必須采取措施進(jìn)行阻止、響應(yīng)并從攻擊中恢復(fù),從而保障業(yè)務(wù)的連續(xù)性,避免遭受重大數(shù)據(jù)泄露等損失。
網(wǎng)絡(luò)彈性與從信息系統(tǒng)全局出發(fā)、構(gòu)筑內(nèi)生安全能力建設(shè)不謀而合:兩者都是從大系統(tǒng)出發(fā),基于攻防視角,綜合考慮了信息化業(yè)務(wù)系統(tǒng)的防護(hù)功能與網(wǎng)絡(luò)安全產(chǎn)品的防御能力,使二者協(xié)同工作并貫穿系統(tǒng)全生命周期,形成內(nèi)生安全能力,逐步逐層化解網(wǎng)絡(luò)攻擊威脅,保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)行和關(guān)鍵功能的實(shí)現(xiàn)。內(nèi)生安全無(wú)疑是實(shí)現(xiàn)網(wǎng)絡(luò)彈性的重要途徑。
原文來(lái)源:虎符智庫(kù) 作者鄭新華