「善攻者,敵不知其所守;善守者,敵不知其所攻。」——《孫子・虛實篇》
在網路安全的攻防對抗中,攻擊者往往佔據主動地位,攻擊者可以選擇有利時機,採用各種技術或社交欺騙戰術,掩蓋自己的攻擊行為、過程和目標,做到瞞天過海,攻其不備;而防守者則想方設法完善自己的防護體系,力圖做到滴水不漏……
然而現實卻是,在網際網路和數字經濟的浪潮下,業務數位化也在迅速發展,企業業務越來越複雜、多變,網路環境越來越開放、高效,且變化極快,數字資產成為了企業的核心資產……這一切都給企業安全帶來了新的難題。例如:物理世界和虛擬世界之間的打通,線上和線下的界限的消失;固定的防禦邊界難以保持,企業面臨各種利益驅動、蓄謀已久的攻擊,因而難以防護;且攻擊直接針對核心資產,風險巨大;而對工業控制系統,物聯網的攻擊和侵害,則不僅僅針對數字資產,而是可以直接作用到物理空間,對物理世界甚至人身造造成傷害……
在這種形勢下,企業傳統的基於可信邊界的安全防護模式遇到越來越大的挑戰:
1、邊界防火牆/ips無法提供資料中心內部的安全保護,並缺乏企業內部「東-西」向的安全防護功能。攻擊者使用以誘騙方式(如:釣魚郵件,魚叉攻擊,水坑攻擊)越過企業邊界防護,以內部安全薄弱的終端裝置為跳板,橫向移動,惡意軟體可以通過內部網路快速感染其他主機,從內部非關鍵資產蔓延至企業關鍵資產(如,重要的伺服器),導致嚴重安全損害。
2、由於業務敏捷性需求,企業資料中心加速向「服務交付」遷移,新業務通過預製備模板快速上線,虛擬機器實時遷移,ip位址頻繁改變,批量虛擬機器按需隨時開啟等,基礎設施的快速變化,導致安全策略無法適應安全需求的變化,使基於靜態的安全保護方式無法滿足「數字時代」資料中心的敏捷性要求。
3、企業對雲架構的需求,快速向混合雲,多雲架構遷移,在物理機、虛擬機器、私有雲、公有雲共存的狀態下何實現統一安全管理也是企業面臨的重大挑戰。
顯然,在這樣的情況下,僅僅依靠防火牆、入侵檢測、防病毒、waf等單一的網路安全防護技術,已不能滿足企業安全防護的需求;畫地為牢式的網路安全體系,已經不能適應新型安全威脅的攻擊,如:apt攻擊,勒索病毒,未知威脅等。
窮則變,變則通。原有的基於可信邊界的pdr安全模型已經不能滿足當前安全威脅,數位化轉型的要求,自適應安全架構應運而出。
自適應安全架構,是2023年gartner針對高階別攻擊和當時市場上的安全產品偏重防禦和邊界的問題,設計了一套安全架構,讓人們從防禦和應急響應的思路中解放出來,加強相應的監測和響應能力,以及持續的監控和分析,同時也引入了安全預警能力。2023年,自適應安全架構在全球範圍內得到了廣泛認可,在2023年的十大科技趨勢中,自適應安全架構首次名列其中。這段時間就是自適應安全架構1.0時期。
2023年9月,gartner頒布持續自適應風險與信任框架(carta),加入了認證體系;自適應安全架構從此進入3.0時期。
從這些發展過程可以看出,這四年來,自適應安全架構不斷擴充套件內涵和外延,表現出了極大的生命力,無論是對安全建設方還是對安全廠商,都有很大的參考價值。安全建設方可以按此架構對整個組織的安全狀況進行梳理,構建安全建設方案,盡量選擇覆蓋自適應能力更全的廠商來改善安全態勢,而安全廠商可以根據此架構來規劃功能和產品,不斷增強和加深自適應的各項安全要求。
傳統安全的核心思想是防禦和控制,就像是建設一座城牆,希望把攻擊者阻擋在城牆外面,但是「你有張良計,我有過牆梯」,客戶投入大量人力、物力建設的「萬里長城」,在apt攻擊眼裡可能只是一道矮矮的籬笆牆。而且,在數位化時代,企業的業務要具備「敏捷性」——快速、靈活、彈性化是敏捷性的最根本的要求,與傳統安全理念講究的控制與防護是矛盾的,我們經常遇到的「安全不利於業務拓展,安全不利於生產效率」等說法就是這種矛盾的體現。自適應安全架構提出來的就是如何在保證安全的基礎上,讓企業擁抱數字商業機會:
1、持續高效的檢測和響應是自適應安全架構的基礎。
2、ueba加入到自適應安全架構,安全從側重威脅研究,加入了以「人和實體(終端,伺服器裝置等)」為中心的行為研究。
3、突出企業資產保護,進一步從與攻擊防護相關的威脅檢測和響應,到企業資產(資料,業務運營,安全運營)保護相關的檢測和響應。
「無恃其不來,恃吾有以待之;無恃其不攻,恃吾有所不可攻也。」——《孫子・九變篇》
不論是洛克希德・馬丁公司的killchain,還是miter的att&ck,都是一種從攻擊者的角度來解析在攻擊企業網路時所採用的策略、戰術和技術。但是,對攻擊者的了解和研究往往是滯後一步的,著名的勒索病毒,震網病毒都是在事後被研究、分析的。從一定意義上講,對於攻擊者的研究是踩著陣亡者的屍體一步一步走來的,代價巨大。
如果能在準確刻畫企業業務系統運轉過程中的各種要素,以及它們之間的聯絡,生成很多體現業務運營的內在特徵指標,並且對這些指標進行持續的監控和分析,那麼無**擊者使用了什麼漏洞、工具和方法,都會引起這些指標的變化,從而被檢測出來。這時企業的安全就不再依賴於對手,而是取決於對自己業務的認知。這也是gartner將自適應架構引入ueba,以及把資產作為防護內環的重要因素之一。
全息風險勢態感知系統(onfire)被gartner定義為「ueba driven dcap「——從字面上理解,就是ueba驅動的以資料為中心的審計和保護,這個定義體現onfire的2個特性,一是,以保護企業資料為核心;二是,通過ueba技術實現對資料的審計和保護。
onfire通過對網路流量的長期持續採集,從網路原始資料(meta data)中,按照時間序列提取「使用者,裝置,應用,資料」四個維度的資訊,實現對業務系統的刻畫:
**使用者維度:**onfire採用使用者賬號資訊(包括:郵件賬號,http登入賬號,radius登入賬號)作為使用者標識。onfire也可以和企業ldap整合獲取使用者賬號資訊,或者採用人工匯入方式,匯入「ip位址——使用者名稱」對應關係,以此建立業務系統「使用者」維度的資訊。
**裝置維度:**onfire資料採集器(holoflow)可以採用多種方式獲取使用者使用的裝置的mac位址(例如:dhcp snooping方式,snmp或者arp查詢方式等),採用mac位址作為使用者使用的終端裝置的標識。
onfire對上述4個維度進行畫像,並將相關的4個維度資訊關聯,構建以使用者和裝置為基點的業務系統畫像,形成對使用者的全息立體刻畫,刻畫網路中抽象的ip所對應使用者和裝置,並刻畫使用者和實體(裝置)通過網路訪問應用的行為,以及傳輸檔案的行為。
onfire的全息立體刻畫,可以支援任意維度的資料探勘和追溯,如:從可疑應用維度追溯使用者維度、裝置維度、檔案維度的行為;從敏感檔案追溯使用者維度、裝置維度、應用維度等;或者從可疑使用者維度追溯檔案維度,應用維度;在「刻畫」的基礎上,利用ueba,通過機器學習的方式「捕獲」異常的使用者和裝置,從而定位威脅,即,通過對使用者和實體的行為的刻畫,以時間軸為基準,採用機器學習技術,對使用者和裝置行為建立基線,實現多個場景的異常行為發現和告警。最終在攻擊者獲取資料之前阻止入侵。
全息網御科技****從2023年正式進入公司化運營以來,在電信運營商,金融,能源,製造等行業推進以onfire為核心的安全風險勢態感知系統,在資料資產追溯,企業敏感資訊合規審計,企業行為審計,高風險應用審計等領域為使用者帶來了切實的收益。
關於全息網御:全息網御科技融合ng-dlp、ueba、ng-siem、casb四項先進技術,結合機器學習(人工智慧),發現並實時重構網路中不可見的」使用者-裝置-資料」互動關係,推出以使用者行為為核心的資訊保安風險感知平台,為企業的資訊保安管理提供無感知、無死角的智慧型追溯系統,高效精準的審計過去、監控現在、防患未來,極大提高it安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復it系統的能力和效率
「知己知彼」寫好求職簡歷
在戰場上講究 知己知彼,百戰百勝 的原則,這句話也可以應用到求職過程中。如今,無論是網路求職,還是現場招聘會,作為求職者都要準備好自己的簡歷,簡歷作為獲得面試機會的敲門磚,求職者可忽略不得。領賢簡歷.尤其是通過網路求職的人,因為沒有第一時間與招聘官面對面交流,而是首先通過網際網路投遞簡歷,那麼究竟怎...
知己知彼買房需注意
知己知彼買房需注意 售樓小姐銷售招數 一 逼訂 方法有很多,如不讓客戶有充分考慮權衡的時間,使他匆匆 購房。還有在客戶洽談時間裡,售樓人員互相配合打假 或假裝成顧客,就是售樓托兒,要的也是客戶想要的那套房 或是把他想要的那套房,又同時介紹給另 外的購房者,以造成緊銷氣氛 如客戶對某套房有了初步意向後...
知己知彼,百戰不殆
每年的九月份是應屆生的求職 期,今年也輪到我了,到目前為止,我遇到了很多困難,從書寫簡歷開始到跑宣講會筆試面試,每天都會遇到各種問題。今晚就回顧一下這段時間所經歷的,總結一下。由於學校比較偏僻,去各大高校跑宣講會很不方便,平常乙個月都去不了一次西安,最近幾乎天天去,路費倒是沒少花,精神方面也受到了一...