“为什么下一代防火墙防不住下一代威胁?”日前,在“2016可视化网络安全技术论坛”上,论坛承办方、北京安博通科技股份有限公司CEO苏长君的问题一抛出,立刻吸引了与会者的目光。
传统的网络安全一般是基于策略或者是特征,然而特征并不等于行为,用户可以使用合法的账户通过合法的行为而做一些非法的事情,例如已辞职员工使用其原来的账户通过VPN远程登录进公司内部的系统并盗取企业的业务敏感数据。
“下一代防火墙并不一定能防住下一代的威胁,只有通过对用户行为的学习,并利用动态的策略来匹配用户的行为,进行细粒度的响应,才能保证用户业务的连续性。所以现在安博通要做的,正是通过策略、行为和流量的可视,利用动态的策略配置、用户行为的分析和深度识别,以及敏捷响应来做到真正的‘看’透安全。”苏长君说。
让不懂安全的人看懂安全
“安全的本质就是风险控制体系,让各个层面的人都可以理解、执行安全,让每个使用网络的人有‘安全感’,我们的目标就是让不懂安全的人看懂安全。”苏长君说。
苏长君表示,需要明确的是,可视化网络安全技术并非是把界面做好,也不是就搞个大屏幕做一些飞来飞去的炫图,其最主要的是要整合各个层面的需求,实现动态的安全管理,在一个基于安全视角的平台上根据需要叠加各种各样的安全防御技术。
以乘客进站为例,一般普通乘客关心的过程是买票、取票、进站、上车,但对于车站的安全管控就不是这么简单了。需要按照管理和业务需求,划分不同的区域,在进站区域安装检测仪器,在站内区域和周边各个不同位置安装摄像头,重点区域还要有民警手动核查身份证,更核心区域还要安放武警等等。
“网络安全也是这样,而且网络访问更为复杂。”苏长君说,安全可视化的就是综合安全域、安全策略、合规基线等一系列与安全相关的因素,整合各个不同视角的安全可视化平台,在这个平台上能够根据安全的视角叠加网络探针、网络回溯、业务质量分析等功能,以满足不同角度人对于安全的不同理解,从而对安全状况有感知,动态做出快速响应,防止危害进一步扩大,并迅速弥补漏洞。
当前,传统的网络安全还大部分停留在网络边界防护、漏洞检测和特征补丁上,这些手段都相对孤立,相对静态,而且只有专业人员看得懂,客户对此很茫然。
前几年,可视化技术也广泛应用在网络设备的管理上,俗称网管或运维平台,但网管的主要目标是对网络拓扑管理和网络节点的运行,目的是网络和资产的管理与维护,不是安全的视角。“所以,在传统的技术之上谈安全动态自适应、高级威胁防御、策略合规都是在浮沙筑高台,根本站不住脚。”苏长君说。
可视化不光“看外表”还要“看内在”
让不懂安全的人看懂安全,这是苏长君心中的一个梦。但如何看?却并非一句话能够说清楚。
将网络安全可视化,背后必须要有相应的技术支撑,专业的网络分析、高性能的探针、海量存储、大数据分析等,已经对客户业务的深度理解和经验的积累才能够构建这样的安全可视化系统。
苏长君认为,网络安全是一套内外循环的“平衡”系统,需要我们将“内观”和“外察”有机地结合。他将“安全策略基线”的可视,分解为“网络、流量、业务域和身份”这四方面,并主张通过“行为可视、异常可视以及路径可视”,实现对网络安全状况的“侧写”。
“可视化作为一种更加友好直观的呈现手法与真正的可视或说可见性有着本质上的区别。”苏长君说,所谓外行看热闹,内行看门道,“可视”的价值不在于华丽的“可视化”的外表,而在于其真正对整体网络安全态势的认知和理解能力,能直观的让技术人员获得怎样的信息,只是单纯的数据流向以及攻击IP等数据的可视,不能就将其完全等价为“安全的可视”。
苏长君介绍,安博通打造的可视化网络安全技术架构,通过公网和内网部署的具有应用识别能力的探针,实现对数据中内容的提取;然后将端的数据通过安全通道传到“云”之后,在云端从用户的维度对诸如“行为、虚拟身份和访问网站”等有价值信息进行整合,并面对用户的业务进行可视化的呈现;最终通过策略、流量、用户和业务四个方面的可视,实现“可视”的安全。
“之前的可视,更多的是基于80、443等端口号和诸如DPI、post等特征码,但如果是加密流量,如果没有特征码呢?所以我们更多的是基于用户的行为,比如时间分布、报文长度、到达次序等,再通过贝叶斯、决策树等分类算法进行分类,从而实现对用户行为的分析以及学习。”苏长君说。
可视化就像在网络上安了摄像头
“可视化技术的核心理念是通过提高网络自身免疫力,让业务系统兼具自适应的防御和修复风险的能力,从而让业务安全可视、可管、可控。”苏长君说,就像人体免疫系统中涉及不计其数的细胞、特殊物质及器官之间的高度纷繁复杂的相互作用,是人体随时处于战备状态,一旦有病菌侵入身体,就会迅速发现并将其驱逐出去。
此前,苏长君曾私下和一些从事网络黑色产业的团队做过交流。他们认为这个可视化体系就像在网络各个位置安全装了摄像头,让黑客的潜伏路径更容易被发现,其网络内部的安全弱点也更容易暴露,而且入侵事后也更容易被追溯和取证。
中国工程院院士倪光南表示,信息安全必须自主可控,自主可控时,信息安全容易治理,产品和服务一般不存在恶意后门,并能不断改进或修补漏洞。因此,我国必须推进国产化战略,在对网络安全起重大作用的信息基础设施和信息关键核心技术等方面,实行国产化替代。无疑,可视化安全领域是其中一个重要方面。
———— 延伸阅读 ————
网络安全亟须发现攻击看见威胁
网络上制造威胁,进行攻击的人总希望自己永远不会被发现,安全防御的一方总是希望能够透视整个网络,明察秋毫,及时发现与抵御乃至消灭威胁的发生。
“因此,我们所面临的所有网络攻击都是隐藏的,未知的,不想让人发现的。而发现攻击,看见威胁,正是有效防护网络安全的基础,隐匿与发现是网络攻击与安全防御之间永恒的较量。”公安部信息安全等级保护评估中心主任张宇翔说。
张宇翔认为,如何见,见什么?是网络安全所要解决的问题。没有核心技术的网络安全其实好比在别人的墙基上砌房子,而实际情况更糟糕,好像是在别人的院子里盖房子,你的一举一动一言一行,昭昭然尽收他人眼底。
“随着新的攻击方式和手段出现,攻击常常混杂在常规的流量中,从外及内,防不胜防。发现与看见的安全能力需求迫在眉睫。”张宇翔说。
在苏长君看来,可视化网络安全技术根本在于客户的需求。“有贼我知道,但抓出来一个看看”,这是客户经常抱怨的,往往是买了一堆安全设备,可是安全事件经常发生,出了安全事件什么也找不到,其原因就是客户没有一个基于安全视角的可视化网络平台。
“再就是对国际网络安全趋势的把握。”苏长君说,在2016年网络安全RSA大会上,业界一致认为单一的静态的安全加固技术不能解决问题,需要构建一套安全自适应防御体系,而可视化技术正是这个体系中的关键点之一。