自适应安全架构简介

2015-11-20

人们会为了心中的愿望而固守一些东西,有时是坚持理想,而另一些时候则是自欺欺人。而在安全建设中依然将投入集中在阻截防御方面,这样的行为被越来越多的人认为是在自欺欺人。现实的攻击态势已经清楚的告诉我们:传统防御产品基于签名的防御机制容易被绕过,所有的组织无可避免的被渗透;而这种自欺使检测和响应的能力难以得到必要的提升,延长了失陷主机被发现的时间,一定程度上增加了损失。

2013年,Gartner开始提倡自适应安全架构,认为过度的依赖阻截和防御机制,其针对高级威胁的有效性是递减的;全面的保护需要防御、检测、响应和预测这四个部分组成的完整过程,即自适应安全架构。

● 防御:基于安全策略、产品及流程来防止攻击成功。主要目的是减少攻击面,并在攻击产生实际影响前进行阻截,大多数传统安全产品集中在此领域;

● 检测:发现那些逃避了防御措施的攻击。主要目标是尽早发现失陷主机,减少威胁的持续时间。能否避免潜在的损失很大程度依赖于此,因而检测能力在整个过程中至关重要。此处的检测不应将重点放在签名技术为主的检测产品上,因为它们较难发现已逃避了防御阶段的攻击;

● 响应:对检测发现的问题进行调查并补救,提供取证分析以及溯源分析(大多数时候重点在找到失陷的原因,并不一定需要锁定具体攻击者),进而提出对防御措施的改进,避免今后发生此类事件。

● 预测:利用威胁情报,了解外部黑客事件并掌握黑客针对当前系统类型的新型攻击方式,主动化解风险,并将其应用到后续的防御和检测过程中,从而完成整个闭环的过程。

通过对自适应安全架构的了解,我们不难发现两方面的能力至关重要:

安全分析能力:整个自适应架构的核心是多层次的持续监控,包括网络、终端、应用程序和用户活动。这不可避免的将产生大量数据,没有适当的分析,大数据带来的将仅仅是大噪声。通过以上的内部环境数据、结合外部威胁情报,可以采用多重的分析技术(包括:启发式、统计分析、机器学习、可视化等等),最终提供可操作(actionable)的“看到”的能力,及时发现失陷事件。

威胁情报能力:它是预测阶段的主要工作,也是防御、检测过程的基础,贯穿整个过程。威胁情报不仅是提供IP、域名、网址、文件等的可信度,更可以使企业深入了解攻击者、攻击目标和攻击方法,进而在如何保护自身系统和信息上获得具体指导。

自适应安全架构是面对当前威胁态势行之有效的方案,可以帮助企业分类现有和潜在的安全投资,以确保有一个平衡的方法来进行安全建设。

参考资料:Gartner《Designing an Adaptive Security Architecture for Protection From Advanced Attacks》

返回Blog首页