本文讲的是自动化的下一代网络安全将基于“意图”,实现基于意图的网络安全(IBNS)需要计划、考虑和增量实现
影响网络安全的技术在理想世界中如何互动,怎样与我们网络中的设备共享信息,如何按需求采取缓解动作?这些理论上的东西,面对快速发展的联网系统,又将如何改善我们的整体信息安全?
最终,这一切都将落脚到信息上——无论存在分布网络中的哪个角落,新的、重要的、异常的东西都能被自动有效地识别出来,这种能力可以用“IBNS”,即“基于意图的网络安全”这个词来概括。
IBNS的具体含义是什么呢?简言之,IBNS就是对网络中部署的各种安全设备上搜集来的信息进行分析的过程。单个安全解决方案已经可以产出大量互不关联的孤立数据,更不用说大规模的复杂的安全系统了。
但是,随着我们同质互联安全网络的建成,我们便可以开始将这些收集来的海量信息关联起来。这种集成就是IBNS的精髓,因为它可使我们把信息大山削减成小土包,然后就可随着网络和威胁态势的变化实时自动精炼安全了。
该集成方法的另一个好处,是可以提供一致的方法,通过通用命名、可靠数据、有效威胁排序等等,关联和组织此类信息。这还只是第一步。在着手实现IBNS之前,我们真心需要理解和定义数据重要性的途径,并有一套一致的通用的方法来描述之。
关于IBNS,有两种完全迥异的看待方式:
第一种是从公司拥有者和安全策略负责人的角度出发。这位要能够方便地定义或更新公司意图,而安全策略和相关基础设施要能翻译该信息,并自动实现合理又充分的响应。比如说,安全策略应能够自动限制系统只能访问被授权的信息和服务。当然,这要求我们在网络设计上更为准确。如果我们继续采用拓荒时期那种“您随意”的态度对待我们的网络,实现起来的困难无疑会大上许多。
第二种,也是较新的一种看待方式,涉及重新思考我们解决安全问题的方式。打造集成响应安全网络的关键组件,是实现能自动评估和确定系统活动是否正常或符合意图的安全工具——也正因此,一组被称为基于意图的安全实践才冒了头。再次强调,对此类方法的简化版描述就是,这是能够解决并自动响应下列问题的方法:系统正在做的事务是否是该用户希望该系统所做的?
创建能真正提供IBNS的系统,有很多事要做:
从物理角度(平台/OS)知道该系统是什么;
知道该系统通常被用来干什么;
知道该系统以前干了什么;
知道该系统现在正在做什么;
知道谁正在使用该系统;
知道系统什么时候发生了改变。
随着我们的安全部署更加全面,我们实时理解和观察系统活动的能力也得到了大幅提高,不再局限于以前孤立的,只有边界防护的安全部署。
尤其是,向虚拟系统和容器的迁移,也使得实现IBNS更加简单直接了,因为给定系统的意图动作数量被减少了,而且它们变得更简单且更细粒度了。
类似的概念可应用到物联网上,因为IoT设备通常只有非常有限的行为集和/或意图通信。理解这些应该能使我们观察到偏离了这些行为的异常动作。比如,销售终端系统(PoS)通常只与公司内部环境或给定区域里的少量系统通信。如果突然间这些终端系统开始与其他地方的系统通信了,那这行为就需要加以阻止并展开后续调查了。
想象一下典型的零售银行分支机构——通常会有很多基于意图的安全方法应用到该物理层级;柜台柜员、ATM机和办公室一般都是隔离良好的。如果你等着跟办公室里的人谈贷款之类业务,等待区通常都远离柜员(你的意图很明确,就是在等办公室里的高级人员)。柜员和ATM机周围的公共区也常被明显的安全摄像头无死角覆盖。柜员抽屉里满是现金的日子早已远去,因为现金如今都被锁在安全的地方,有需要的时候才供应。这些都可以被看作是基于意图的安全,尽管是物理世界中的。
想将这种有效策略应用到我们的网络世界,就要重思考我们计划、设计、组织和部署我们网络架构的方式。确定自家公司基础设施是否准备好转向IBNS策略,可以考虑以下事项:
了解自家网络中含有关键数据的设备:在哪儿?做什么?为什么在那儿?上面授权运行了什么应用?可以和其他什么设备通信?
了解或尝试了解终端用户在用的设备类型,以及这些设备的正常行为;
实现在创建安全执行策略时能利用动态数据的系统(静态五元组规则就让它快速逝去吧)。
实现IBNS这种事,花个周末部署几台设备或平台是办不到的。这需要计划、考虑和增量实现。但是,最终结果必将值回票价,不为别的,就为了把我们老旧的、静态配置的、从来跟不上时代的、高维护的防火墙部署方法给淘汰掉也好啊。
至此,还有个小尾巴尚未解决,就是IDS风格的信息分析方法——大多数基于SIEM解决方案的一部分。为处理IBNS所需大量数据,我们得实现下一代SIEM技术和实时威胁馈送,比如网络威胁联盟(CTA)提供的服务。集成安全系统将能看到并关联取自网络中各个角落的信息,确定意图,在出现异常的时候自动识别并响应。