随着网络的泛化和无边界化,网络安全问题越来越严峻。单就恶意代码一项,就呈现出爆炸增长的趋势。目前全球已经有 50亿恶意样本,每天还将以 300万种的速度产生。如果把恶意代码问题看作天灾的话,那么现代网络同时还面临着“人祸”。“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全形势严峻。无论数据被恶意代码破坏,还是被黑客监听,最终都使得安全问题回归到了安全体系如何建设这样一个根本命题。
一.网络安全体系建设的四个发展阶段:
1. 安全现状
地下黑色产业链的发展,使得制作黑客工具、控制用户终端、盗取用户信息、滥用互联网资源、攻击受害系统等行为形成产业化,并快速壮大,对互联网安全造成严峻挑战。
新型安全攻击方式增长迅猛,传统技术难以应对。利用 0Day进行攻击案例迅速增长,而 APT攻击方式向更加多维化的方向发展,综合运用各类攻击手段的能力、复杂度继续提升。
网络 IP化、IPv6、云、物联网的智能化发展趋势,产生了更为复杂的安全问题。
2. 基于 P2DR安全模型的早期安全防护体系
早期的安全体系建设就是基于 P2DR模型,包括 4个主要部分:策略、防护、检测和响应。
1. 策略(Policy):根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
2. 防护(Protection):通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
3 .检测(Detection):是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
4. 响应(Response):系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
该安全体系的好处是基于风险评估理论,将安全看做一个动态的整体。通过策略与响应来使得安全问题形成闭环,但是该安全体系并没有对安全威胁的本质进行分析,是安全体系的初级阶段的产物。
基于该安全体系,产生了一些如防火墙、入侵检测等初期的安全产品。
3. 基于木桶原理的近期安全防护体系
随着安全威胁的不断发展和对安全理解的不断加深,人们开始对安全本质进行思考,出现了基于木桶原理的安全防护体系。
木桶原理简单的说就是整个系统的安全系数取决于最弱一环,即短板理论,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后将这些安全边界进行防护,避免安全短板的出现。
安全领域近 10年的时间都是靠边界思想来指导安全体系建设,用网关防护类产品确定网络入口的安全边界,用网络版防病毒确定终端的安全边界,用加固系统确定服务器的安全边界,用 STANDARDIZATION 风险管理制度确定人的安全边界。
传统的安全防护思想就是基于木桶理论为用户构建一个完整的线式防御体系,但是攻击却是点式的,任何一点被攻陷,整个安全体系就会崩溃,因此基于目前的理论基础,安全体系建设本身就是一个花费大量力气,但成效却不好的举措。这会使安全的成本变得极其昂贵。
4. 基于大数据安全的下一代安全防护体系
基于木桶理论的安全体系属于被动的威胁防御思想。事实上,真正有效的安全体系是基于主动的威胁发现思想,主动出击,主动感知威胁。
不管威胁如何演变,威胁总是遵循下图模型
即不管网络的安全风险点有多少个,威胁入侵只有两条路径,一条是从外网向内网的威胁入侵路径,一条是从内网向外网的威胁扩散路径。从外网向内网威胁入侵的最经典事件是黑客攻击和 APT攻击,而从内网向外网威胁扩散的最经典事件是 U盘病毒。从理论上看,只要对这两条关键威胁路径进行监测和管控,就能遏制威胁产生的态势,以最小的安全成本解决企业的安全问题。而基于大数据安全的云+端+边界的安全模型,能够很好地解决这一安全问题。
云+端+边界的安全防御体系,是为了适应新的威胁的下一代的智能防御体系,整个体系包括大数据安全、边界安全和端安全3个关键部分。
大数据安全是指基于大数据技术构建的安全威胁捕获和分析平台。分为公有云和私有云两部分。在互联网环境下,使用公有云,对于隔离网环境,则使用私有云。边界安全是指基于大数据安全技术的未知威胁发现技术。端安全是指基于大数据安全技术的终端的安全管理与防护系统。
大数据安全就是我们常说的云安全体系,基于终端的木马感知云,将大量的可疑样本收集到安全云中,首先进行海量样本分拣,然后将分拣后的样本放入恶意软件分析流水线,最终将分析后的样本进行黑白名单的分类,然后将产生的大数据安全数据提供给云查杀引擎使用。由于该系统是一个生态的自循环系统,因此可以在最短的时间内发现世界上新产生的威胁,将这些威胁分析整理,用于边界防护和端防护。能够对企业网络进行很好安全防御。
二.东方森太网络安全解决方案的理念
东方森太通过提出“融合安全,简单有效”价值主张,为用户业务提供全生命周期保护,真正实现全程可视和全程保护,构建全网主动防御体系。
事前:东方森太帮助用户在事前自动发现新增资产、评估漏洞及是否有保护策略。
事中:构建L2-7层纵深防御体系,屏蔽防护短板且具备联动和关联分析能力。
事后:持续检测绕过防御的威胁,并通过云端安全服务提供7*24小时快速响应的技术服务。在IT业务运维全过程内向用户提供对风险的认知、对保护过程的认知和对结果的认知,帮助您的IT系统更简单、更安全、更有价值。
三、解决方案的价值
东方森太以下一代防火墙为核心构建新的安全体系,网络安全解决方案大幅提高网络的免疫力,依托安全分析器,通过检测智能提升网络威胁检测能力,实现从被动防御变为主动防御,全面提高网络威胁防御能力;依托安全控制器,实现处置智能,全面快速消除网络威胁,实现从单点防御到全网协防,将威胁损失降低到最小;并通过运维智能自动完成基于业务驱动的策略生成与部署,实现从人工运维到智能运维,将运维成本节省80%以上。
四.应用场景
1. 互联网出口终端上网安全防护解决方案
该方案在用户、行为、业务等维度实现更多元素的可视,并对可视数据进行综合分析,实现风险定位及图形化威胁展示。同时针对黑客攻击链所有环节均可持续检测,利用云沙盒技术和大数据威胁情报分析平台,可以及时、准确的响应安全事件,将威胁影响面降到最低。
2. 网站安全立体保护解决方案
该方案针对用户Web业务网站防护,将过去以特征更新为主的静态防御体系,通过东方森太下一代防火墙赋予云端安全检测能力,从而实现主动积极的防御,一旦某台设备发现新型、未知威胁可以通过云端快速进行更新,24小时内实现全网拦截。结合云端自动化网站安全异常监测技术,可以在网站出现漏洞、篡改、黑链、挂马等安全事件时,在数分钟之内让用户获得通报和预警。
3. 广域网全网安全感知解决方案
该方案不仅可以提升广域网的安全防护能力,还能够帮助用户实时了解分支机构安全风险,避免分支机构存在安全建设薄弱点从而成为入侵短板,以便真正实现管理集中化和运维自动化。
