隨著聯網裝置的增加,安全威脅的**變得更為廣泛。預計到2023年連網裝置達到200多億,而這些聯網裝置的型別也將更加多樣性。大量智慧型終端訪問企業內部資料的需求,以及移動辦公、byod的興起,對於企業安全防護帶來新的挑戰。
攻防態勢嚴重失衡
在網際網路+時代,接入裝置數量的增長,黑客攻擊的入口增多,防範的難度也隨之疊加。分析顯示,當前安全威脅態勢的特點有三大表現,首先企業公有雲、私有雲的應用,雲化趨勢迫使形勢越來越複雜。其次,攻防時間嚴重失衡,黑客入侵的週期非常短,75%的攻擊在一天內破譯,而檢測以及修復漏洞,需要幾天、幾個星期甚至上月的時間。第三,資源短缺,受成本因素影響,企業it安全預算相對缺乏,專業的安全運維人員缺乏,迫使企業需要利用更少的資源,更快地解決嚴重的威脅。
其中,首要解決的是攻防時間失衡問題。從入侵到發現再到修復的全過程,入侵階段是以分鐘來計算,攻擊成本非常低。對於防守者,發現入侵環節可能需要幾個月甚至幾年的時間。甚至一些大的銀行、大型連鎖零售商,其入侵事件在一年多之後,被**公布或者出現黑市資訊交易,方才知道被攻擊,可見發現入侵的環節存在短板。
同樣,由於安全開發人員不足,發現入侵後的修復時間也遠高於攻擊時間。普遍的修復時間需要一周以上,甚至需要花費幾個月的時間完全清理掉被攻擊的痕跡,時間的失衡是阻礙安全防禦的關鍵。
在此基礎上,黑客的攻擊是多渠道的,比如傳送釣魚郵件,網頁欺詐頁面、u盤感染等方式。然而預算有限的企業通用的安全策略,僅在關鍵點部署必要裝置,其他的點無法防範,因此採用安全防範的措施都是孤立防護。
讓安全架構協同互聯
那麼,如何讓安全策略變得完善?讓安全架構具備通過過去的事物進行學習和自適應的能力。簡單說,就是變被動攻擊為主動防禦,一方面盡可能的提高黑客攻擊的成本,延長攻擊的週期;另一方面,在攻破後採用更短的時間發現和修復,從而縮小攻擊產生的影響。
英特爾安全事業部北亞區售前技術總監鄭林先生
因此,一旦發現威脅,需要將威脅情報共享給其他的安全裝置,而安全廠商間也需要開放合作,實現威脅情報共享。協作的安全架構即安全裝置之間要協同、互聯,從黑客活動裡面獲得實時洞察力。基於這個理念,intel security在去年發布了資料交換層(dxl),這個資料交換層。不管黑客試圖攻擊哪個點,一旦觸發了某乙個安全手段,企業閘道器通過引擎發現有可能是危險的,同時會將威脅情報傳遞到端點,傳遞給郵件閘道器,即便防火牆、ips還沒有發現這一特徵,其他元件也可以從web安全閘道器得到這個情報,更新本地的知識庫。
而隨著安全產品的增加,基於api的整合方式凸顯不足。如果利用上百個安全產品,通過點到點不同產品之間用不同的api整合,其中任何乙個產品變動或技術更新,這個api將面臨重寫,api效率不足。
api整合方式效能不足正轉向協作性的通訊架構dxl生態,dxl是新的通訊架構,採用開放標準,只要遵循這種標準,基於任何廠商的產品之間都可以互聯互通,在生態系統裡共享資訊。目前加入dxl生態都是一些賽門鐵克、forescourt等國外廠商,未來也將聯合國內廠商,共同完善dxl生態。
構建多維度生態體系
當前黑客們之間的合作井井有條,產業鏈已經是分工合作,這也就要求安全廠商之間以更開放的心態緊密合作。單打獨鬥很難與黑客進行抗衡,開放和合作是未來三到五年的乙個大的趨勢,也是對企業使用者的有力保障。
在生態系統方面,intel security(mcafee)不僅有協作性的通訊架構dxl,同時基於威脅情報等聯盟,打通新的安全互聯的生態系統,這裡面有邁克菲的解決方案,包括邁克菲為主導的安全合作團體sia(security innovation alliance)創新聯盟,聯盟成員為intel security的業務比較互補的公司,產品可由 epo統一管理,目前該聯盟有一百多家廠商。
而基於威脅情報合作,intel security 構建cta(cyber threat alliance)聯盟, 主要由安全業務與mcafee比較相近的廠商組成的聯盟,交換威脅情報。通過這種開放的生態系統,以及威脅情報交換的機制,再加上intel security自身具備的針對未知的威脅分析的技術,能夠形成這麼乙個開放整合的安全系統。不管客戶系統是部署在雲端,還是在本地,以及安全產品和裝置的型別與**商,intel security都能夠統一地進行威脅情報交換,形成聯防的體系。相信這樣開放的生態也將不斷完善使用者的安全體驗,提公升安全防禦效率。
安全架構設計
安全是個相對的,安全是一種平衡。隨著企業將更多的業務託管於混合雲之上,保護使用者資料和業務 變得更加困難。本地基礎設施和多種公 私有雲共同構成的複雜環境,使得使用者對混合雲安全有了更高的要求。混合雲安全能力體現在以下幾方面 網路和傳輸安全 通過安全域劃分 虛擬防火牆 vxlan 等軟體定義網路進行 ...
如何理解Xen sHype ACM安全架構
shype acm安全框架雖然從2005年就提出,但後來ibm沒有再繼續跟進 完善相關策略,僅有的 te和chinese wall策略過於簡單,無法適應企業應用需求。因此才會出現shype acm從xen 3.0左右整合到官方原始碼,在xen 4.2開始就被廢棄,由美國 局nsa提出的xsm fla...
系統安全架構包括什麼
伺服器 作業系統都要用正規的高質量的,安裝防毒軟體防火牆,使用攻擊檢測系統。開發程式的時候,應當事先知道並在 層面處理大部分常見的安全問題。mybatis就使用 比使用 能規避掉很多sql注入攻擊。大致三種方法,在filter中驗證http referer欄位,在請求位址中新增token並驗證,在h...