重磅推出:云管端下一代網絡安全架構白皮書
自從去年中央網絡安全和信息化領導小組成立以來,網絡安全在國內掀起了一股前所未有的熱潮。回首過去,我們看到,在已經走過的2014年,信息安全市場正在逐漸成長;再看今朝,我們看到國內眾多安全廠商紛紛“摩拳擦掌”布局網絡安全領域。
近日,網康科技更是重磅推出《云管端下一代網絡安全架構白皮書》,內容涉及攻擊者如何突破防御體系,傳統網絡安全防護體系無法應對新的安全威脅、云管端下一代安全架構等多方面的分析和研究,是業界首個針對下一代網絡安全架構展開深入研究的白皮書。
云管端下一代網絡安全架構白皮書
傳統網絡安全防護體系的局限性
傳統網絡安全理論遵循一個重要的原則:安全威脅是由具體的安全漏洞導致的,而所有漏洞都是具體存在的,是可識別、檢測的;基于這個假設,完整的防御體系的核心功能就是對漏洞的精確識別與檢測,在此基礎上,由安全策略驅動對風險進行告警和阻斷,構筑清晰明確的安全邊界。這也是為什么很多測評機構都將漏報率/誤報率作為衡量安全防護設備優劣的一個重要指標。這種安全理論基于一個重要假設 - 假設信息資產面臨的風險是可以充分評估預知的。而對于沒有明確特征的0-day或APT攻擊,傳統安全理論模型束手無策。近幾年來幾次比較嚴重的有組織網絡安全攻擊,如震網病毒、eBay用戶信用卡信息泄露事件,都是利用了傳統安全防御手段無法檢測未知威脅這一致命弱點。事實上,即使安全廠商能夠及時維護足夠全面足夠精確的檢測特征庫,先有攻擊事件后有檢測特征這一事實決定了傳統安全設備只能是被動的防御設備。
云管端下一代網絡安全架構
云管端下一代網絡安全架構,是網康科技遵循PDFP模型,網康率先踐行的應對高級威脅的網絡安全架構。(關于PDFP安全模型,P2DR防御模型參考后文附錄)。
云管端下一代網絡安全架構圖
“云”——網康云
除了提供云沙箱、云查殺、云信譽評估等基礎服務外,還針對終端和邊界設備上傳的異常日志進行全局關聯分析、異常行為建模分析,使溯源取證與風險預測可視化。
“管”——可理解為泛化的網絡邊界
除了部署對外的防御設備(下一代防火墻,上網行為管理,WAF等),還應在內網部署行為審計設備,加強內部人員違規行為監控;
“端”——指終端設備
包括PC、服務器、智能移動終端,是距離應用系統和數據最近的設備,是重要的風險引入點,需要部署殺毒和管控策略(360天擎,天機);
下一代網絡安全架構5大核心關鍵能力
為了應對未知威脅和高級威脅,下一代網絡安全架構需要從應用和內容層面深入理解網絡的變化,從全局視角分析各種異常網絡行為之間的關系。以下5項是下一代網絡安全架構的關鍵能力。
情境感知(context-aware)能力
安全產品必須能夠識別用戶、應用、內容,并根據時間、地點、頻率等信息進行模型分析,比如,在一個普通的網絡環境,連續幾天檢測到夜間2點開始有主機連接國外URL,則很可能是發生了泄密行為。
威脅情報利用能力
威脅情報是第三方專業安全機構提供的高級服務,對于企業組織防護最新的已確認的網絡攻擊很有幫助。一個典型的應用:威脅情報提供了Command & Control 服務器的IP地址,防火墻對于與該IP發生的任何連接可直接阻斷。
內部人員行為審計能力
PDFP安全模型認為內網不再可信,甚至是零信任(zero-trust)網絡,要求對內網人員進行認證識別、行為審計、基線行為建模、異常行為識別報警,降低由于人員行為不當導致的安全隱患。
全網智能協同能力
孤島防御容易被繞過,因此需要對終端和邊界設備賦予智能,使他們能夠同步信息,互相配合,以應對不斷變化的IT架構和復雜的網絡風險。
大數據安全分析能力
面對未知威脅,只有采用云計算和大數據分析技術,才能從根本上解決數據來源廣泛性、數據充分性、分析模型有效性的問題。其中建模分析尤為重要,數據不經有效的分析就永遠是數據,甚至是垃圾數據。除了傳統的統計、聚類、貝葉斯分析外,前沿廠商都在嘗試全局關聯分析、啟發式機器學習等分析模型。
云管端安全架構的價值
相比傳統以邊界防護為核心、相互孤立的網絡安全體系,云管端下一代網絡架構具有明顯的優勢。
賦予了終端設備和邊界設備應有的智能,不再依賴本地靜態特征庫/策略庫,可以實時感知網絡威脅的狀態并做出調整,防御能力大幅提升。
云管端聯動機制,使得網絡安全具備了全局可見性,防御方式也從孤島模式演進為協同模式,從而能夠有效防御已知威脅和未知威脅。
網絡安全始終都是大型組織投入的重點,云管端架構使買“安全感”真正變成了買“安全”,實現價值落地,提高了網絡安全投資回報率。
附錄:
1、傳統安全方法論——P2DR防御模型&邊界安全模型
傳統的安全防護措施是基于P2DR防御模型構建起來的,這種模型有一個前提,首先對信息系統的風險進行全面評估,然后制定相應的防護策略通過檢測網絡流量和行為,與預設策略進行匹配,如果觸發防護策略,則認為發生了網絡攻擊,響應系統就執行預設動作阻止攻擊,并進行報警和恢復處理。
P2DR以策略為核心的防御模型
2、下一代安全方法論——PDFP安全模型
網康科技提出了PDFP安全模型,該模型對于安全環境的理解與傳統P2DR防御模型有很多不同,威脅的預測(Prediction)能力成為PDFP模型核心安全組件,安全的起點應該(Detection)開始,通過各種檢測手段獲取大量用戶和應用的行為數據之后,像法醫取證(Forensic)一樣進行關聯分析和溯源,還原出隱藏在大數據背后的威脅真相,之后再針對性地部署防護(Protection)措施,并進一步反饋和加強預測能力,形成安全問題的閉環。
PDFP安全模型圖
了解白皮書更多詳情,請點擊鏈接:
http://www.netentsec.com/news/show-2015-834.html
