“云管端”下一代网络安全架构——智能协同 主动防御

摘要

网络攻击已经从早期的泛攻击演进为利用0-day漏洞、以获取重大经济/政治利益为目标、定向持续的高级攻击。

随着企业业务的云化、虚拟化、移动化，网络边界被拉伸、模糊甚至消失，传统的网络安全架构已不能适应IT架构的变化，无法应对新的高级威胁。

内部人员的误用、滥用或恶意行为，越来越成为安全事件频发的重要原因，内网不再是可信的安全区域，应加强内部人员网络行为的审计与监控。

现有网络安全防护体系基于P2DR模型，以网络边界为中心，以特征匹配为核心手段，重在防御，是静态、被动的安全模型，不能有效应对未知威胁。

云管端下一代网络安全架构基于PDFP模型，以异常检测、智能预测、协同联动为手段，强调对抗，是动态、主动的安全模型，能够有效应对未知威胁和APT攻击。

传统网络安全防护体系无法应对新的安全威胁

传统网络安全理论基于2个核心模型：边界安全模型，P2DR防御模型。

边界安全模型

P2DR首先对信息系统的风险进行全面评估，然后制定相应的防护策略，包括：在关键风险点部署访问控制设备（防火墙，IPS，认证授权等），修复系统漏洞，正确配置系统，定期升级维护，教育用户正确使用系统。检测是响应和加强防护的依据，通过检测网络流量和行为，与预设策略进行匹配，如果触发防护策略，则认为发生了网络攻击，响应系统就执行预设动作阻止攻击，并进行报警和恢复处理。

在P2DR模型中，所有的防护、检测和响应都是依据策略实施的，因此策略是模型的核心，其完备性至关重要。它假设信息资产面临的风险是可以充分评估预知的，然而这种假设在0-day攻击和APT攻击面前完全失效，未知威胁可以轻松绕过防护体系。即使特征库和策略不断升级，也赶不上攻击特征的变化速度。传统安全产品，如终端杀毒、防火墙、IPS、Web安全，都是基于已知特征和预设规则展开工作的，其理论依据是边界安全与P2DR防护模型，这是一种静态的、被动的、防御思维的安全模型。由于网络边界的变迁、未知威胁的爆发、来自内部人员的威胁，使得传统安全模型跟不上IT架构的变化，已无法应对新的安全威胁。

新一代安全模型PDFP

针对0-day漏洞、特种木马和APT等高级威胁，网康科技提出了PDFP安全模型，该模型对于安全环境的理解与传统P2DR有很多不同，认为：

IT信息系统永远存在未知的威胁，无法通过评估获得充分认知；

防御系统无法确保阻止黑客攻击，网络、设备、应用一定会失陷（breach）；

当前网络事实上已经失陷，只是损害状态不为我们感知；

内网与外网一样不安全，内部人员误用、滥用或恶意的行为每天都在发生；

检测（Detection）

既然信息系统已经失陷，那么安全应当从检测开始。这里的检测与传统检测（特征库匹配）不同，指的是异常行为的检测，通过检测用户、应用、流量等行为模型有无偏离常规基线，判断是否发生了绕过防御策略的入侵行为。检测的目标不是阻止入侵，而是触发告警，以便分析取证和调整策略，减少损失。

取证（Forensic）

检测到入侵行为后，需要进行调查取证，了解有哪些系统遭受攻击，有无信息遭窃，入侵发生在何时，利用了未知威胁还是未打补丁的已知漏洞，目前处于CKC攻击链的哪个阶段，攻击者动机是什么，是个人行为还是有组织支持？了解的信息越详细，越有利于调整防御策略，以免未来发生相同入侵。

防御（Prevention）

通过部署防护策略、安全产品以及管理流程以防御网络攻击，提高攻击者的难度，在攻击者试图进入网络时进行阻止。通常的防御策略包括：在网络边界部署防火墙、IPS设备，在应用服务器前端部署WAF以及审计设备，在所有终端设备安装杀毒与管控软件。有时还要设置蜜罐，以增加攻击成本、延缓入侵进度，也是防御的一种手段。

预测（Prediction）

由于无法针对未知威胁预设策略，因此需要动态地检测网络异常、取证分析，了解攻击的动态，依据CKC模型对后续攻击进行预测，预测结果将成为调整防御策略的重要依据。预测所需数据源除了企业组织自身的安全策略、防护日志，还应该包括外部的威胁情报、同行业的安全策略、黑客攻击动态，以更准确地预测可能的网络攻击，实时调整应用发布和防御策略。预测分析依赖检测、取证作为输入，同时引入了外部智能，预测的有效性得到进一步提升，而有效的预测可以增强检测、取证分析和防御效果，可见，预测能力成为应对未知威胁的核心能力。

PDFP不再依赖特征匹配比对，而是动态监测全网异常行为，把攻击、漏洞、人员、行为、应用、内容等日志信息实时汇集起来进行全局分析，快速判定攻击，进行攻击溯源，在CKC的每个阶段主动反制防御。可见这是动态的、主动的、具有对抗型思维的网络安全模型。

云管端下一代网络安全架构

云管端下一代网络安全架构，是网康科技遵循PDFP模型，率先践行的应对高级威胁的网络安全架构。

云管端联动是下一代网络安全架构区别于传统安全架构的核心能力，三个环节彼此依赖，协同防御。

终端设备遇到未识别的灰度文件时，通过云查杀获得分析结果，第一时间更新本地防护策略；

终端设备无论访问内网资源还是互联网，都需要与边界设备联动，进行严格的准入准出控制；

边界设备（无论是对外防御设备，还是内网审计设备）实时把安全日志、异常行为日志、灰度URL样本、异常流量日志上传至云端；

网康云除了提供实时云信誉查询服务，还利用外部威胁情报、终端和边界设备的异常日志，进行大数据分析，做出攻击预测报警，实现云管端智能协同、主动防御。

相比传统以边界防护为核心、相互孤立的网络安全体系，云管端下一代网络架构具有明显的优势。

赋予了终端设备和边界设备应有的智能，不再依赖本地静态特征库/策略库，可以实时感知网络威胁的状态并做出调整，防御能力大幅提升。

云管端联动机制，使得网络安全具备了全局可见性，防御方式也从孤岛模式演进为协同模式，从而能够有效防御已知威胁和未知威胁。

网络安全始终都是大型组织投入的重点，云管端架构使买“安全感”真正变成了买“安全”，实现价值落地，提高了网络安全投资回报率。