本文别名:网络安全纵深防御五道防线
先看一下这张图,这是欧洲中世纪非常典型的棱堡。
棱堡
在十字军东征期间,代表基督教世界的医院骑士团占领了意大利罗德岛,在岛上修建了这样的棱堡,用7000多人抵御奥斯曼帝国,而对方,派出400艘战舰和10万人的军队发起攻击。
城堡分外城和内城,城墙设计成凹陷形状,外面还挖了壕沟,这样,不管是敌军从哪个方向进攻,守方都可以在两个面上对来犯者进行打击。
奥斯曼帝国使用火炮、挖地道、正面攻坚等方式下,两个月后,终于攻破了外墙。骑士团依靠内墙,又抵御了3个月,最后,双方由于精疲力尽,缺乏补给,谁也再耗不起,最终通过和谈方式才结束了战争。骑士团携带财产完美退出。
显然,纵深防御思维作为人类战争中最朴素的思维,在网络安全领域一样适用。但专门研究网络安全纵深防御的文章非常少见,人们通常觉得说说就可以了。
对于一个企业或单位,要构筑多少道防线,以及怎样的防线,才能抵挡中国顶尖级别的黑客团队?
我认为至少要五道。
第一道:边界防御
边界防御是最基础、最常用,也是最管用的。
一个单位,即便人力和资源再有限,也会在边界上投入的。
这其中,防火墙是最基础的。注意一点,对于比较大的单位,建议仅使用防火墙的网络封禁能力,不要使用其他那些花里胡哨的功能,这主要是从性能角度考虑,让防火墙做单一的事,其他功能让其他设备做。
防火墙封禁应尽可能做到自动化、简单化、减少误操作,使得操作员简单填入IP就可以封禁,而不需要登录防火墙操作。具体参见《如何封禁大量恶意IP》。
第二类产品是IDS/IPS,这个比较古老,而且多年来一直以海量报警而闻名,所以形象比较差,一般而言不是监控防御的主力选手。
WAF是一道防线的重要组成部分,可以抵御常见的WEB攻击,这类产品已经比较成熟,通过返回HTTP错误的形式拦截攻击。由于其自动化拦截能力,WAF是一道防线必不可少的。
K01这类产品,结合情报信息,可以实时阻断进犯IP,而且不用串接,也是很有力的工具。它通过发送TCP reset包分别到访问端和服务端,有很好的拦截效果。
还有一类工具叫“动态安全”,这类产品,可以自动识别访问者是自然人还是黑客工具。如果发现是后者,则自动阻断(返回HTTP错误),这让惯用工具的黑客非常头疼。
它的基本原理是:设备以中间人形式串接在服务端和访问端之间,当服务端返回响应页面时,设备在返回页面中插入js,要求访问端(浏览器或黑客工具)执行js并计算出token放入cookie返回,设备收到token后进行判断,判断对方是否为黑客工具并采取相应动作。
这类产品还可以对页面中的指定内容(比如页面中的url或是表单内容)做加密。虽然从理论上讲,这种加密难不倒一个意志坚定的密码学爱好者(因为客户端和服务端之间并没有实现一个完美的密钥建立机制),但对付那些熟练的渗透工具使用者已经足够。
部署时,对于HTTPS应用,这类产品应放在SSL网关之后,如果并没有SSL网关,要把服务端的证书和私钥导入产品,总之,产品要能看得见明文。
一道防线主要部署在企业边界和DMZ区。一般来说,会有这样的复杂性:入站的流量经过一层层的安全设备,在逻辑上呈现出糖葫芦状,在部署和维护时,需要清晰梳理关系和路由,比较麻烦。
使用流量编排设备,可以通过SDN技术将流量进行灵活、简单地配置,原先串接的安全设备放入安全资源池中,流量经过谁,不经过谁,先过谁,后过谁,经过一台,还是多台,都可以通过Web界面做比较容易的编排,这就轻松多了。
流量编排使得安全结构和网络拓扑解耦,在部署和维护上会带来很多便利。这篇文章《网络智能流量编排探索》很好,感兴趣可以看看。
第二道:监测响应
第二道防线的名字不太好取,我反复思考以后,将其命名为监测响应。
二道防线中的重点不是拦截,而是能准确发现正在发生的攻击,不管是从外部还是内部发起的。
像NTA、NDR,都属于这类工具,为确保安全,一个单位应至少部署两到三家这样的产品,互相弥补对方的不足:即便一家发现不了,另一家也可能发现。当然,最好的情况下,这类产品可以和防火墙联动。
很多产品仅分析访问单向来包,并不做双向的分析。WEBIDS做得比较好,它能够对http请求和响应进行综合分析,服务端是否已经被控,很有价值。
蜜罐/蜜网主要用来引诱攻击者,内网的蜜罐如果被触发,不是误触就是攻击者已经进来。通常应在各个网络区域都开启蜜罐,只要是不用的IP都放入蜜罐。可以购买专门的产品,也可以利用负载均衡的功能来设置。
抗APT工具这里不多说了,它的侧重点和优势在于发现木马。
在检测木马(包括隐蔽信道)方面,还有一种比较新的产品是加密流量检测。现在,几乎所有木马都采用了加密方式,没有私钥是无法解开分析的,这类产品可以通过特征匹配、行为识别和机器学习的方法,在不解密的情况下,分析一个加密流量是不是木马流量。
总之,这道防线的产品很多,而且往往会用到很多先进技术,但能力和易用性参差不齐,能否买到好的产品,既考验判断力,也考验运气,如果条件允许,多部署一些总是对的。
从基础设施上讲,单位最好能建设一个流量汇聚平台,该平台可以采集各个网络区域的流量,然后汇聚和处理,最终输出到需要流量的设备,这样,各类安全设备不用到处接流量,集中部署并享用流量输出就可以了。这篇文章《数据中心流量如何整合应用》就是讲这个的,有兴趣可以一看。
第三道:访问控制
基本上,内网里面的一切访问控制措施都可以认为是第三道防线。
这道防线体现一个单位的安全基本功,也体现一个单位的信息科技实力。
访问控制其实就是给攻击者处处设卡,让攻击者寸步难行。
从网络访问的角度看,网络分区,系统间的隔离,终端间的隔离,以及网络准入、DNS安全等,都是非常有效的防护手段。
从资源访问的角度看,使用虚拟桌面、堡垒机、特权管理这些工具,使得服务器、网络设备、数据库不能被随便访问,结合口令管理、认证管理(包括双因素)、审计管理(录屏取证)等,不仅防外部攻击,也防内部人员攻击。
从应用访问的角度看,通过开发安全、认证授权、加密通信、加密存储、漏洞管理等这些工作,来保障应用系统的安全性。这方面内容很多,这里不细说了。
值得一提的是,看似不起眼的口令管理,应该格外重视,很多所谓著名黑客的著名攻击,并没有什么技术含量,仅仅是口令的窃取和尝试成功而已。一个单位的口令管理应尽可能自动和严格,强制口令复杂度、强制定期修改,对于重要系统强制双因素认证(短信或动态口令)。这些看上去不难,但能做好的很少,只有很懂安全的单位才能做好这件事。
从安全的本质讲,第三道防线是最重要的。一道和二道防线在很大程度上都是在帮助三道,如果一个应用系统自身不安全,前两道防线能挡一挡,但终究是挡不住的。
如果应用系统很安全,即便没有前两道防线,攻击者也无计可施。
看过我写的《区块链安全和传统安全的区别》都知道,安全说到底,是程序的问题。
开发安全能力,是真正的实力。
第四道:端点安全
端点通常是攻击者最想拿到的据点,拿下一个机器就代表着一种胜利。
这道防线建立在服务器或用户终端上,从技术上讲,这已经是最后的防线了。
这道防线最基本的一个功能是防病毒,这里不多说了,主要说说EDR(端点检测和响应)。
EDR的重要功能是异常发现,主要是通过对主机的网络、进程、文件等资源的监控。比如通过网络监测,可以发现正在开展的网络攻击、网络扫描以及可疑的外联;通过进程监测,可以发现一些异常的进程创建和执行;通过文件监测,可以发现一些恶意文件的读写。
EDR可以对这些网络异常、进程异常、文件异常进行阻拦和处置,这在一定程度上可以防范0day攻击。
此外,通过监测日志,EDR可以发现正在开展的暴力破解;通过离线破译,可以发现常见应用的弱口令;其他如资产管理、漏洞管理等能力也很实用。
总体而言,这类产品是非常有力和有效的。
第五道:人的防线
上述这些工具,都需要人的使用和维护。人就是第五道防线。
所以你看在搞安全演习时,满满一屋子都是人(至少30、40人起)。
组织层面不多说了,大多数单位在组织层面做得都还不错,因为组织技术是通用的,一般而言,就是领导重视、层层压实、某处牵头、全局动员、资产梳理、表格完善、制定方案、安排任务、汇报进度、协调资源、各司其职、检查确认、问题发现、举一反三,落实整改,层层请示、高层决策。这和做其他工作没有什么不同,属于管理层面的技术。
但有一点,传统管理往往不太能注意到,并因此中招,这就是老生常谈的安全意识问题。
纵观网络安全攻击史,社工一直是攻击者最重要的手段。(没有之一)
一个攻击者想入侵一个单位,100%会采用社工方法,所以一定要在所有员工的意识层面建立起强大的防御能力。
一封带有木马的钓鱼邮件,如果躲过了第一层的封禁,逃过了第二层的检测,一般就会逃过第三层和第四层,那么这封邮件就展现在员工面前了,这时就靠员工的安全意识防线了。
增强员工意识的方法就是反复讲,反复说,反复培训,反复测试,看看员工是不是真的掌握了,要通过最真实的案例强化员工意识。
这个工作看上去没有什么技术含量,但如果水平不足,往往无法做好这个工作。
反社工需要和社工一样的能力:洞悉人性。
回顾
第一道防线守住大门,及时阻拦可能的攻击。
第二道防线严加监测,一旦发现有异常,立刻处置。
第三道防线坚壁清野,让攻击者即便进来也寸步难行,无门可入,或者是处处踩雷。
第四道防线坚守据点,在终端层面第一时间发现异常,然后采取行动。
第五道防线全民皆兵,各司其职,协作有力;人人不中招,不上当。
纵深防御的应用
这些年比较火的零信任架构,其实也是纵深防御思维的应用。
下图是某个零信任方案的架构图:
某厂商零信任安全架构
图中,单包认证(SPA)就是一道防线,
SDP控制器和SDP可信网关是二道防线,对用户的行为和终端的安全情况进行分析,并据此动态调整用户可访问的资源和权限。
再往右,就进入企业的内部,这里是三道防线,发挥作用的是企业的身份认证和权限管理(IAM),以及企业内部各种访问控制。
客户端上的防病毒软件,终端安全软件,是第四道防线,主机上的EDR也属于这道防线。
最后,第五道防线在人脑之中。
文|卫剑钒
关注并回复5,获取本文PPT版本。
版权归原作者 vigor2323 所有, 如有侵权,请联系我们删除。