内生安全笔记

内生安全

1、网络安全零散化带来的问题,引出了数据驱动安全的概念

​ 合规导向和事件驱动的网络安全建设模式、建设过程是为了满足合规的某些指标要求、某项新技术的出现,或者是应对某一单一威胁进行建设。这种发展模式的特点,总结起来就是一种创可贴式的建设模式:网络安全发展没有自己的主线,旁从于信息化发展,对信息化系统进行修补。与体系化发展的信息化相比,安全建设模式大多以“局部整改”为主,缺乏以复杂系统性思维引导的规划与建设实践,致使网络安全体系化缺失、碎片化严重,安全能力相互割裂,缺乏协同联动与整体运行。合规导向和事件驱动的网络安全建设模式还引发了其他一些安全痼疾。例如:技术上,常常片面依赖边界隔离和特征库匹配;预算支出上,建设重点大多是合规驱动的硬件采购;建设上,重硬件产品轻安全运行,重设备采购轻架构安全的情况非常普遍,缺乏对网络安全工作目标的认知,认为满足合规即可保证安全,形成虚假的安全感,未能起到有效的防护作用。因此引出了新的安全建设理念,已经不再追求100%的有效防御,而是把安全建设的重心转移到安全监测与威胁发现上——数据驱动安全。

2、内生安全

2.1 内生安全思想

​ “数据驱动安全”理念的实践为“内生安全”思想的提出奠定了重要的基础,内生安全的思想要求以信息化的视角、业务的视角和全局的视角,来重新构筑整个网络安全防护体系。要求我们必须将网络安全的元素融入到信息化建设的方方面面;要求我们必须在信息化建设中,全面落实“三同步”原则,即信息化系统应当与网络安全系统同步规划、同步建设、同步运营。

​ 为了使安全能力业务需求满足,还需要将接口、协议、数据标准化,以实现异构兼容。同时安全系统也要进行解耦,将安全能力资源化、目录化,通过标准接口进行协同,实现这种聚合后,安全能力即可融入到业务系统的各个环节中。这个就是奇安信提出的内生安全思想,和邬江兴院士的内生安全及拟态防御有所不同。

2.2 内生安全怎么做

​ 聚合业务数据和网络数据,建立起业务与安全统一的“实体关系”数据模型,把不同的数据聚合成一个完整的安全数据视图,通过检索、AI及更广泛的知识来发现隐藏在多层关系背后的安全问题。

​ 新框架涉及的安全能力应全面覆盖云、终端、服务器、通信链路、网络设备、安全设备、工控、人员等IT要素,避免局部盲区而导致的防御体系失效;还需要将安全能力深度融入物理、网络、系统、应用、数据与用户等各个层次,确保安全能力在IT系统的各层次有效集成

​ 以全覆盖、层次化思路进行规划设计,以围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点,围绕人员开展实战化安全运行,规划建设动态综合的网络安全防御体系,

​ 图:网络安全的滑动标尺模型

2.3 内生安全落地的参考

汲取IBM CBM方法中的能力组件思路和JARM中的多层级思路,将网络安全需要形成多少种能力,这些能力应该在哪里建设,以及如何有序地建设,形成该机构所需要的完整的全局的网络安全能力体系,并将一个大型机构的信息化环境进行多层级的划分,在每个层级上结合整体的网络安全能力体系分类,以及组件化思维,形成更精细的、层次化的网络安全能力组件。

3、新一代身份安全设计思想

​ 身份数据管理是实现现代化身份安全的基础,为实现多种权限管理模型及精细化的权限控制提供了必要的数据支撑,采用基于属性的权限管理与访问控制技术路线,融入“零信任”安全理念设计访问控制体系,将数字身份同政企业务运行环境进行聚合,共同实现全场景数字化身份安全管理与访问控制能力。

​ 设计思想包括:身份基础;最小权限控制;持续信任评估;动态访问控制;

注:安全策略必须是动态的,并以尽可能多的数据源计算为基础,实施动态最小权限的依据是访问的上下文场景信息,需要汇聚身份、权限、行为、风险等数据,根据多维度的数据和属性进行分析研判,决定能赋予访问者的权限。

4、重构现有网络的要点

划分安全域原则

划分安全域原则应综合资产属性、应用系统架构、网络架构、云平台架构、企业管理模式等信息。通常情况下,安全域划分越精细,安全隔离防护成效越好,但相应的安全建设投资和运行管理工作量也会越大。划分方法可以按需实施“安全域——安全子域——功能组”的多级划分

整合原则

从企业角度综合考虑网络边界类型、业务影响、网络改造难度、安全建设投入、企业管理模式等因素,统筹开展网络边界整合工作。

网络纵深防御设计

在网络安全域划分及边界整合的基础上,设计网络各边界节点的安全能力,构建网络防御纵深。

​ 纵深防御能力框架

注:自动化编排(SOAR),即将全网终端划分为由小到大的多个批次,先自动推送给第一个小批次分组,如无问题自动推送给下一个批次,直到推送给全网。如有问题,只需将有问题的补丁添加到排除列表并卸载已安装的终端即可

​ 网络边界防御纵深架构

​ 广域网纵深防御的整体架构

传统云安全建设的误区

​ 云是数据中心的一种服务形态,与传统物理服务器一起提供基础环境支撑。但因为企业部门职责、信息化建设以及一些历史原因,当前企业云安全的建设往往只关注云平台及其服务的安全,而忽视了整个云化、混合且紧密结合的数据中心的安全建设

​ 安全建设往往不会覆盖安全滑动标尺的基础架构安全、纵深防御安全、主动防御、威胁情报等领域,缺乏与企业身份、密码、系统安全等企业级安全平台的联动。在云内、云外的网络纵深防御、系统安全支撑、云内外特权访问控制、云流量分层隔离、云资源隔离保护、云内外安全态势感知等方面也存在很大的能力缺失,无法为企业用户提供完善的云安全支撑。

面向云的数据安全防护

数据中心级的安全能力,是指面向云数据中心的云基础设施、云服务交付、云资源访问、云资源运维管理等全层次,提供网络纵深防御、系统安全支撑、云特权访问控制、流量分层隔离、云资源隔离与安全服务串接、安全态势感知等安全能力。

全面覆盖和深度融合,是指全面覆盖数据中心的边界、云边界、应用系统区域、主机、容器等层次,打通控制平面,实现安全防护体系和云环境的一体化编排调度。

采用系统工程的方式开展建设,是指基于同步规划、同步建设、同步运营,有人员参与的建设原则。

面向云的数据中心安全具有复杂的防护场景,针对不同的安全级别、风险等级、业务运行状态等会形成不同的安全防护动作。通过SDN调度和服务链编排的方式,对独立的安全能力进行场景化编排,快速通过预设的安全场景预案,使得不同类型、不同位置的安全能力按照特定的模式进行组合。

面向大数据应用的数据安全防护

​ 访问控制力度不足,缺乏精细化数据访问控制能力。在大数据场景下,数据从多个渠道大量汇聚,数据类型、用户角色和应用需求更加多样化,多源数据的大量汇聚增加了访问控制策略制定及授权管理的难度,导致过度授权和授权不足现象严重。同时,传统访问控制方案中往往采用基于角色的访问控制,缺乏基于属性的访问控制能力,且针对用户的权限策略相对固定,无法根据主客体的风险情况动态调整访问控制策略,导致无法为用户准确指定其可以访问的数据范围,难以满足最小授权原则。

​ 数据安全治理包含数据资产梳理、数据分类分级以及权限策略梳理。在数据安全治理过程中,可以通过数据静态梳理技术、动态梳理技术、数据状况的可视化呈现技术,根据数据资产的数据价值和特征等对核心数据资产进行梳理,再按照数据来源、数据属性、数据重要性、内容敏感级别,对数据资产进行分类分级,根据数据的不同类别与不同级别,对数据的访问权限进行梳理。

面向实战化的态势感知能力

建立自动化编排能力针对可预定义、可重复执行的分析和处置操作,建设安全预案和安全剧本,通过自动化编排引擎使得安全运行人员能更加高效准确地完成安全事件的分析、处理和处置工作。

安全管理人员需要在体系建设早期明确如何度量体系效果,需要围绕安全建设目标来设计度量方案,围绕度量方案建立团队的绩效管理机制和团队文化,如此才能保证体系建设成果可汇报,投入可持续。常见的度量包括但不限于以下内容:● 失陷资产的发现数量;● 无主资产的发现数量;● 事件的分析数量;● 事件分析的周期;● 处置的任务数量;● 漏洞的缓解周期;● 漏洞的修复周期;● 安全规则的数量;● 攻防对抗中的攻击发现比例。

面向资产/漏洞/配置/补丁的系统安全建设要点

系统安全建设的核心目标是建设数据驱动的系统安全运行体系。

内部威胁防护体系建设要点

​ 内部威胁防护体系整体架构

总结:企业建设内生安全应具备的能力

企业应用安全能力的构建可以拆分为以下重点任务

● 任务1:建立应用部署规范和检查清单,确保应用按照安全域划分正确地部署在基础设施环境中;建立应用运行环境规范和检查清单,确保应用运行环境正确地使用网络、主机和云基础的安全防护能力,并能够对应用的输入、输出进行监控。

● 任务2:建立覆盖漏洞情报、漏洞扫描、渗透测试、众测等在内的漏洞收集渠道,并反馈到缺陷(bug)管理平台和安全防护平台;建立漏洞评估和修复体系。

● 任务3:建立应急响应机制,对应用漏洞、安全事件进行及时响应。

● 任务4:提供安全意识和技能培训,确保应用开发、测试人员建立对安全的理解,从而在相关组织中建立良好的安全文化。

● 任务5:优化应用开发流程,在需求确定、架构管控、编码开发、测试评估等环节添加软件开发生命周期(SDLC)安全控制机制。

● 任务6:编写涵盖国家和地方法律/法规、监管要求、行业标准、内部规范的安全合规要求检查表,建立安全通用需求清单,把安全需求导入到应用;编写覆盖身份验证、访问控制、数据管控、密码使用等安全功能的应用安全架构模板,确保应用在架构中导入安全基础能力。

● 任务7:建设涵盖静态应用代码安全测试(SAST)、动态应用代码安全测试(DAST)、交互式应用代码安全测试(ISAT)在内的应用代码安全测试(AST)平台,实现代码安全检查与应用开发测试的聚合;建设软件组件分析(SCA)平台,建立应用开发框架、中间件和通用库清单,结合漏洞情报,提高应用开发框架、中间件和通用库漏洞管理的准确性和效率。

● 任务8:制定应用安全测试用例清单,实现安全与测试的聚合。

● 任务9:建设融合身份管理、特权管理等安全管控措施的开发运维一体化(DevOps)平台,为应用开发团队提供支撑。

● 任务10:建立应用开发框架、中间件和通用库的黑名单,避免应用使用不安全的应用开发框架、中间件和通用库。

● 任务11:定义并制备身份管理、访问控制、权限执行和密码操作等开发库,通过架构模板、开发规范、测试清单等SDLC安全控制机制确保在应用中正确使用。

● 任务12:建立安全需求规范和架构模板的演进机制,根据威胁建模、攻击面分析,结合安全威胁和安全事件数据,在架构层面审视应用安全架构,确保安全通用需求和安全架构模板的演进升级。

● 任务13:更新供应商责任清单,明确供应商对安全漏洞和安全事件的响应义务,要求软件供应商遵循需求确定、架构管控、编码开发、测试评估等环节的SDLC安全控制机制。

posted @ 2023-09-15 17:31  Ar3Shi  阅读(76)  评论(0)    收藏  举报