云管端下一代網絡安全架構白皮書
傳統(tǒng)網絡安全防護體系的局限性
傳統(tǒng)網絡安全理論遵循一個重要的原則:安全威脅是由具體的安全漏洞導致的��,而所有漏洞都是具體存在的����,是可識別����、檢測的;基于這個假設,完整的防御體系的核心功能就是對漏洞的精確識別與檢測�����,在此基礎上���,由安全策略驅動對風險進行告警和阻斷�����,構筑清晰明確的安全邊界�����。這也是為什么很多測評機構都將漏報率/誤報率作為衡量安全防護設備優(yōu)劣的一個重要指標��。這種安全理論基于一個重要假設 – 假設信息資產面臨的風險是可以充分評估預知的�����。而對于沒有明確特征的0-day或APT攻擊����,傳統(tǒng)安全理論模型束手無策��。近幾年來幾次比較嚴重的有組織網絡安全攻擊��,如震網病毒��、eBay用戶信用卡信息泄露事件��,都是利用了傳統(tǒng)安全防御手段無法檢測未知威脅這一致命弱點。事實上�,即使安全廠商能夠及時維護足夠全面足夠精確的檢測特征庫,先有攻擊事件后有檢測特征這一事實決定了傳統(tǒng)安全設備只能是被動的防御設備��。
云管端下一代網絡安全架構
云管端下一代網絡安全架構�,是網康科技遵循PDFP模型,網康率先踐行的應對高級威脅的網絡安全架構��。(關于PDFP安全模型,P2DR防御模型參考后文附錄)���。
云管端下一代網絡安全架構圖
“云”——網康云
除了提供云沙箱�、云查殺�����、云信譽評估等基礎服務外����,還針對終端和邊界設備上傳的異常日志進行全局關聯分析、異常行為建模分析�����,使溯源取證與風險預測可視化����。
“管”——可理解為泛化的網絡邊界
除了部署對外的防御設備(下一代防火墻�����,上網行為管理�����,WAF等),還應在內網部署行為審計設備���,加強內部人員違規(guī)行為監(jiān)控;
“端”——指終端設備
包括PC��、服務器�、智能移動終端��,是距離應用系統(tǒng)和數據最近的設備����,是重要的風險引入點,需要部署殺毒和管控策略(360天擎�����,天機);
下一代網絡安全架構5大核心關鍵能力
為了應對未知威脅和高級威脅,下一代網絡安全架構需要從應用和內容層面深入理解網絡的變化�����,從全局視角分析各種異常網絡行為之間的關系�。以下5項是下一代網絡安全架構的關鍵能力。
情境感知(context-aware)能力
安全產品必須能夠識別用戶�、應用、內容����,并根據時間、地點�、頻率等信息進行模型分析,比如��,在一個普通的網絡環(huán)境���,連續(xù)幾天檢測到夜間2點開始有主機連接國外URL����,則很可能是發(fā)生了泄密行為����。
威脅情報利用能力
威脅情報是第三方專業(yè)安全機構提供的高級服務��,對于企業(yè)組織防護最新的已確認的網絡攻擊很有幫助����。一個典型的應用:威脅情報提供了Command & Control 服務器的IP地址��,防火墻對于與該IP發(fā)生的任何連接可直接阻斷���。
內部人員行為審計能力
PDFP安全模型認為內網不再可信����,甚至是零信任(zero-trust)網絡��,要求對內網人員進行認證識別���、行為審計、基線行為建模��、異常行為識別報警���,降低由于人員行為不當導致的安全隱患�����。
全網智能協(xié)同能力
孤島防御容易被繞過��,因此需要對終端和邊界設備賦予智能����,使他們能夠同步信息,互相配合���,以應對不斷變化的IT架構和復雜的網絡風險��。
大數據安全分析能力
面對未知威脅����,只有采用云計算和大數據分析技術����,才能從根本上解決數據來源廣泛性、數據充分性��、分析模型有效性的問題����。其中建模分析尤為重要,數據不經有效的分析就永遠是數據�����,甚至是垃圾數據。除了傳統(tǒng)的統(tǒng)計���、聚類���、貝葉斯分析外,前沿廠商都在嘗試全局關聯分析�、啟發(fā)式機器學習等分析模型。
云管端安全架構的價值
相比傳統(tǒng)以邊界防護為核心��、相互孤立的網絡安全體系����,云管端下一代網絡架構具有明顯的優(yōu)勢。
賦予了終端設備和邊界設備應有的智能�����,不再依賴本地靜態(tài)特征庫/策略庫�,可以實時感知網絡威脅的狀態(tài)并做出調整��,防御能力大幅提升���。
云管端聯動機制�,使得網絡安全具備了全局可見性,防御方式也從孤島模式演進為協(xié)同模式��,從而能夠有效防御已知威脅和未知威脅�����。
網絡安全始終都是大型組織投入的重點���,云管端架構使買“安全感”真正變成了買“安全”��,實現價值落地��,提高了網絡安全投資回報率�����。
附錄:
1���、傳統(tǒng)安全方法論——P2DR防御模型&邊界安全模型
傳統(tǒng)的安全防護措施是基于P2DR防御模型構建起來的,這種模型有一個前提�,首先對信息系統(tǒng)的風險進行全面評估,然后制定相應的防護策略通過檢測網絡流量和行為,與預設策略進行匹配�����,如果觸發(fā)防護策略���,則認為發(fā)生了網絡攻擊����,響應系統(tǒng)就執(zhí)行預設動作阻止攻擊���,并進行報警和恢復處理�����。
P2DR以策略為核心的防御模型�����,包括4個環(huán)節(jié)
- 策略(Policy)
- 防護(Protection)
- 檢測(Detection)
- 響應(Response)
|
P2DR以策略為核心的防御模型2�、下一代安全方法論——PDFP安全模型
網康科技提出了PDFP安全模型����,該模型對于安全環(huán)境的理解與傳統(tǒng)P2DR防御模型有很多不同,威脅的預測(Prediction)能力成為PDFP模型核心安全組件�����,安全的起點應該(Detection)開始��,通過各種檢測手段獲取大量用戶和應用的行為數據之后����,像法醫(yī)取證(Forensic)一樣進行關聯分析和溯源,還原出隱藏在大數據背后的威脅真相�,之后再針對性地部署防護(Protection)措施,并進一步反饋和加強預測能力���,形成安全問題的閉環(huán)��。
PDFP是以預測為核心的安全模型����,包括4個環(huán)節(jié)
- 檢測(Detection)
- 取證(Forensic)
- 防御(Prevention)
- 預測(Prediction)
|
PDFP安全模型圖了解白皮書更多詳情��,請點擊鏈接:
http://www.netentsec.com/news/show-2015-834.html
