其实基于情境感知安全并不复杂,其核心就是情境。所谓情境感知,其中的一个应用方式就是通过Intelligence-Aware情报感知。说到Intelligence,大家可以想起来我之前分享过好几篇的Threat Intelligence了吧。今天就重点介绍一下这个Intelligence-Aware情报感知,各位借此也可以对什么是基于情境感知的安全有个粗浅了解。
这里又出现了一个新的潮词,IASC(Intelligence-Aware Security Control)基于情报感知的安全控制。目前在国际上已经比较普遍的认为其是信息安全发展的下一个方向。
目前传统信息安全解决方案和产品普遍面临以下四个问题:
传统的孤立的安全控制被攻击者绕过的几率日趋增加-面对新形态的APT攻击,传统的防火墙、入侵检测和防病毒难以起到作用;
基于人和业务流程的控制响应过慢-人来做响应太慢,自动化的攻击在几分钟内已经可以完成包括扫描、入侵、植入后门等一系列动作;
攻击者在攻陷外部系统后,普遍会向内部网络做进一步的渗透-黑客的攻击链更长,攻击面更大,渗透更深入;
安全相关数据分布在不同的系统中,不能有效统筹响应-单点发现的情报,不能有效地进行共享。
因此,安全技术的保护策略必须改变,未来的安全方案必然向自动化的行为学习,情报分享,高级分析,自适应等技术转变。
与之同时,威胁复杂度、速度、架构改变和分析能力都在驱动着安全技术的转变。
威胁复杂性的提升,要求我们的技术方案也需要进行适应,终端、服务器、应用系统、网络系统、安全系统之间需要能够进行关联互动;
速度的提升,完成一次攻击速度更快,响应的速度也需要进一步的提升;
架构的改变,IaaS、PaaS、SaaS、BPaaS逐渐的引入,传统安全技术已经不能满足需求,如SECaaS等已经成为新的趋势;
分析能力的提升,以前传统分析技术难以满足海量数据分析、复杂关联分析、实时性展示等需求,而大数据技术的成熟,让更复杂、更快速的分析成为可能。
那什么是基于情报感知的安全控制(即IASC)呢?
IASC框架包括基于情境感知(分析Who、What、Where、How等问题,主要是进行深层管理分析),安全情报(情报的共享,以及利用安全情报进行响应),可机读的安全情报(即可以利用系统可识别的方式来进行情报交换)和实时情报共享交换架构。
这个我之前有篇基于说Threat Intelligence的,里面分享过我之前设计的一个架构(可参见 http://www.sec-un.org/smart-ppt-sharing-threat-information-sharing.html)。
情景感知的例子,在用户访问应用或数据的时候,通过基于对情景的综合分析通过认证、访问控制等方式进行安全控制。
简单的情景可包括:
Who,低可信度的用户(比如已经中毒的用户,发现存在攻击行为的用户)
What,来自不支持的Linux 终端的访问(客户端都是Win 7,突然来了个Linux来访问自然不正常)
To What,访问敏感数据(是否访问的是敏感数据)
When,周末凌晨的访问(这明显不是工作时间,访问也明显异常)
Where,来自没有业务海外的访问(这也很明显异常)
基于情境感知的安全也没这么复杂吧。
了解完IACS,是不是发现这个跟数字公司和企鹅公司的客户端安全,或者是某宝的支付客户端安全控制看起来架构都是很像啊。
对,这就是我以为他们的下一步方向,客户端采集(病毒感染情况、恶意代码、终端其他信息……),云端判断分析形成情报(客户端信誉情况、支付风险情况、服务信誉情况……),然后做为下游安全控制的输入(可以包括客户端软件、支付系统、甚至防火墙等安全设备)。BAT3们,应该也都想到了吧,这是一个新的生态圈。
逐渐进入重头,NG防火墙的下一代是啥!基于情报感知的防火墙!
去年我就给很多人灌输,数字公司啊、企鹅公司、某里啊,都会利用其端/云优势,杀入企业安全市场。怎么杀入呢,其中一个方式就是利用其在客户端、云平台中得到的传统安全公司得不到的安全情报,形成新一代的安全解决方案冲击企业市场。现在还没见人搞,让人捉急啊,没想明白的可以找我来培训一下怎么颠覆传统企业安全市场。这当然不仅仅指的是形成单独的安全产品,还有新的服务形态。
|