基於攻擊視角完善信息安全彈性防御體系思考
來源:AG环亚集团 政務網 更新時間:2018-07-05
行業現狀:基於對信息風險的理解,參照ISO27000標准族,遵循GB20274《信息系統安全保障評估框架》、等級保護標准族及銀行業各類信息安全綜合規範及監管要求,目前銀行業基本建立較完善安全保障體系,夯實安全生產三道防線,其落地在於安全運營能力的增強。體現在從構建縱深安全防御體系、持續改進安全能力建設、風險應急響應常態化、內外部威脅情報使用持續進化,信息安全運營體系具備自我學習,彈性增強及自適應能力。

隨著雲安全、大數據的發展及銀行科技轉型加快,安全保障更多作為一種服務為科技及業務賦能,提供更好用戶體驗。基於攻擊鏈模型優化防御體系(防守),根據鑽石模型開展攻擊者分析(溯源),綜合攻擊鏈及鑽石模型開展情報驅動的主動防御(升維防御)。在防御體系進化中,根據組織人財物錨定信息安全防御能力滑動像限(SANS)範圍,有所為有所不為,實現成本和回報的適度安全。最後,在安全運營中輔助開展毒性測試以增強組織防御的強韌性以至於自適應升級,保證安全生態體系保持自適應進化。

基於攻擊者視角構建縱深彈性自適應網絡安全防御生態

1.基於攻擊鏈路徑構建縱深防御體系

攻擊鏈模型源自美國軍方,將攻擊成功行為分為7步,每一步的打斷均可有效阻止一次攻擊行為,類似不完全信息動態博弈(精煉貝葉斯均衡),就算被攻擊後的亡羊補牢,也為時未晚。

為此,縱深防御從攻擊鏈的七步對應出來,按照時間維度,從事前監測、事中遏制及阻斷、事後跟蹤及恢復三個方面進行闡述。

主要原則有三:一是在攻擊鏈的不同階段,部署不同防護策略,以實現互補;二是基於OSI模型,在網絡、應用分別部署以展現;三是同一防護手段,在不同物理位置防護效果不一樣,譬如對於SQL注入,在WAF層面、WEB日志、RASP和SQL數據庫審計層面效果差距很大。

基於此,基於攻擊視角,結合威脅情報的縱深防御架構應該實現的架構見表所示。

表 縱深防御從攻擊鏈及其應對策略

該架構是在傳統架構上的延展,在上雲和大數據以後,理念通用。上雲後從成本及效能的角度,防御方法偏向於分布式架構中的安全域隔離劃分,通過業務數據流驅動進行建模及關聯分析,安全以服務及組件的形式提供給業務(租戶),基於大數據開展用戶標簽及畫像,通過用戶行為開展適度的安全預測。

2.強韌性、異構、自適應能力

彈性及強韌性。基於醫學的毒性測試機制及牛頓機械論的反饋機制,構建系統彈性及強韌性。系統風險指威脅利用系統脆弱性的可能性。威脅對應外界刺激,刺激看劑量。16世紀毒理學帕拉塞爾蘇斯(Paracelsus)毒物興奮效應(hormesis)的名言“劑量決定毒物”,即所有物質都是有毒的,只和劑量大小有關。脆弱看自身,《反脆弱》作者納西姆·尼古拉斯·塔勒布將系統刺激應變分為脆弱性、強韌性、反脆弱性三類。脆弱性可以理解為固化架構,在遇到風險時無法變通應對,造成信息安全事件被動應對,四處救火,修修補補。強韌性指信息系統在遇到外界變動時具備冗余性,在單點被攻破的情況下仍能保持正常運轉。而反脆弱則說明信息系統安全水平在外界刺激下增強,具備免疫力並自我進化,例如人類嬰兒水痘防疫或佛學的涅槃重生。為此,信息系統應不定期開展低微劑量毒性測試(自測評及滲透測試),根據系統反饋開展定點修補;定期開展眾測及業務連續性(BCP)測試,通過中等劑量外界刺激,促進安全架構重構及進化,具備強韌性和彈性。

防守異構是基於完全信息靜態博弈中攻守平衡原理。基於攻防雙方力量的博弈,就算防御方力量大於攻擊方並且相同條件下占優,攻防雙方無論怎麼排兵布陣,按最優方式排列,獲勝的概率也是相等,均為50%,從戰局看,是典型的弱勢攻擊方戰勝強勢防守方。

基於此,應構建多樣化異構防御體系。同時,分散後對管理效能提出了更高的要求,采取分散策略的前提是:有效分散,即保證分散後單獨防守能力不低於分散前,否則會適得其反。

構建自適應防御體系及運營體系。自適應安全架構(ASA)是由Gartner在2014年提出的安全體系,類似於PDCA的戴明環理念,強調以持續監控和分析為核心,將防御、檢測、響應、預測四個方面結合起來,自適應不同系統基礎形態和業務系統變化,能夠持續的自我進化,自我調整來適應不斷變化的攻擊類型。

太陽底下沒有新鮮事。ASA架構也趨同於基於時間軸響應的PDR模型(保護、檢測、響應),但ASA優點是加入了對威脅情報的引入和使用。

3.信息交換,構建安全生態圈

習近平總書記在今年4月的網信工作會議中指出“在信息時代,網絡安全是整體的而不是割裂的,是動態的而不是靜態的,是開放的而不是封閉的,是相對的而不是絕對的,是共同的而不是孤立的”。凱文·凱利(KK)在《失控》中也多次強調生態圈與自適應進化概念,對信息安全來說,亦提倡構建安全生態圈。

圖 基於攻擊者視角縱深防御架構

基於比較優勢理論,開展信息交換。古典經濟學家李嘉圖比較優勢理論對比於斯密的絕對優勢,即使信息交換的弱方各類要素稟異均占劣勢,通過交換的強弱各方也可以獲得超額收益。其落地體現為,各企業信息安全機構以及行業主管部門聯合起來,開展威脅情報及信息專項交換,獲得效率的增量提升。

基於威脅情報及態勢開展升維防御。防守方可以利用外部威脅情報造成信息不對稱,對攻擊方開展升維防御。同時,通過對自身情報的采用和外部情報消費,對傳統防護設備如郵箱防護、防火牆、IPS、WAF進行賦能。

有必要關注的幾點

“不謀全局者,不足謀一隅”。在做好安全技術和管理日常運行和儲備的同時,需要具備前瞻性,以戰略眼光,全局角度跳出安全看安全,倡導適度安全,還需要注意以下幾點。

1.知己知彼,百戰不殆,梳理好資產

隨著業務的發展,特別是雲計算平台及移動互聯網時代的到來,快速原型、精益開發、敏捷開發部署,灰度發布。如不掌握詳盡的資產信息,一是家底不清,已發生問題無法快速應對定位;二是外部威脅情報到來後無法快速判斷,造成精力分散和過度應對。

實際工作中,至少應掌握兩類資產:一是系統資產,包括但不限於網絡拓撲結構、業務邏輯架構、物理部署位置、系統數據流等,同時對資產的不光有內部報送,也應輔助掃描機外部探測;二是管理資產,包括但不限於組織架構圖,研發、運維、供應鏈信息,保障及監管單位流程。

2.具備四個意識,防範創造性失靈

安全要和企業的整體戰略、規模、成本結合起來,實事求是做安全,不能過度安全導致影響業務。具有核心意識,向單位業務核心業務靠攏,保障核心業務;具有大局意識,從整體的信息系統發展角度出發而非只從狹隘的安全角度出發;具備看齊意識,向行業、國內、國際的頂端安全理念看齊;具有政治意識,保證安全工作和信息化工作的合規和合法。

另外,防御系統出現創造性,系統性失靈,類似明斯基時刻,整體失效。凱文凱利(KK)在《失控》中將各種質量控制手段和反饋手段綜合起來,可證明隨著各種防控手段的綜合應用,綜合防御能力會出現1+1>2的情況。但根據熱力學第二定律,宇宙的熵會隨著時間的流逝而增加,隨著復雜度的增加,由有序向無序,最終進入熱寂(創造性失靈並且無法定位故障點),這是大概率的系統性風險或明斯基時刻。

3.信息安主動迎接雲、大數據和區塊鏈等新技術

就像互聯網的出現,電商顛覆了傳統業態一樣,雲和大數據出現也對傳統安全防護提出了挑戰。安全體系應主動變革,從基礎設施(IAAS)、操作系統(PAAS)、軟件服務(SAAS)三個層面主動設計應對。

雲安全的實現路徑首先開展統一的訪問控制4A,統一入口。其次開展業務層的隔離與追蹤取證,基於業務邏輯開展軟件定義安全,軟件定義邊界和微隔離。最後開展數據安全治理,在業務隔離的基礎上開展追蹤取證,對數據打標並在邊界進行控制。

雲安全時代的到來會帶來一種變革,業務的入口更集中,安全相對來說也變的更集中,訪問控制單點突破後,造成的損失幾何級上升。但雲安全時代的好處在於將力量分散的安全能力進行聚合,能力越大,責任就越多,對安全人員提出了更高的技術要求,知識升級和安全理念的更新。

4.穩健原則開展安全運營,開展威脅情報共享

穩健(Prudent)原則開展安全運營,銀行業屬於風險厭惡型,運營穩健涵蓋謹慎、負責、勤勉和有能力。為此遵循適度謹慎(DueCare)和適度勤勉(DueDeligeou)准則開展運營設計。在安全管理設計上邏輯嚴密,體系架構合理並可實現,在安全運營上要注意留存記錄及證據,以便回查。這樣,事件調查處置中,以證明制度和運營的合理性,盡職盡責,避免造成人為重大疏忽,也是對單位資產和從業者的保護。

信息安全工作由於其不直接產生經濟效應,在信息系統中處於相對弱勢,安全界自稱背鍋俠,“沒出事情的時候沒什麼用,出了事情就證明真沒什麼用,重保三寶,預案、檢討和辭呈”。正因如此,從業者跟更應該團結起來,開展信息交換,實現非對稱打擊或者防御。在第6屆銀行業數據中心聯系會上,銀行業形成共識,通過銀行業威脅情報及安全事件信息共享,構建聯防聯治態勢體系,用開放、共享、共贏的方法來主動應對外部攻擊,提升信息安全防御維度。

此外,不僅向內做好用戶風險警示,更要向管理層和監管層就安全風險預期達成一致,設立合理安全目標,實現適度安全。安全的目標不是消滅所有的風險,是基於成本和效率的考量,將信息安全風險控制在管理層“可接受”範圍內。