前言
安全模式展望
围墙式安全(2015以前)
围墙之内不设防,一旦边界被突破,系统就会完全沦陷; 样本库、规则库等往往缺乏有效维护,更新缓慢,所谓的围墙形同虚设; 不同的防护设备和系统之间相互孤立,无法联动
数据驱动安全(2015-至今)
由于网络安全与业务本身仍然是互相分离的,仍然是以传统IT安全为目标的各种技术手段的组合,改进有限 由于未能将业务大数据与安全大数据进行融合分析,因此无论是来自内部的安全大数据还是外部的威胁情报,其实际作用都会大打折扣,导致效率低下 由于绝大多数的大型政企机构和公司都不会将安全数据和业务环境向安全公司汇报,这就很难解决政企机构的真实需求,甚至无法做到更据以往的威胁,进行预防
内生安全(未来趋势)
安全创新技术
新一代安全框架、访问控制
访问控制
以身份为基础 最小权限控制 持续信任评估 动态访问控制
零信任、自适应....
可信任、拟态、SASE...
安全域:根据资产在网络中的暴露位置、信息系统的类别等,进行域级划分,例如DMZ、应用、数据、开发测试、管理等域。 安全子域:在同一个域内,根据资产所属的信息系统进行子域级划分。例如DMZ域可以进一步划分为办公服务、合作伙伴服务、公共服务等子域。 功能组:在同一个子域内,根据资产在系统中的功能定位进行功能组级的安全域划分。例如DMZ公共服务子域可以进一步划分为信息发布、会员、商城等功能组。
CWPP
SD-NGFW
安全划分
数据安全
数据传输阶段:为了确保数据传输过程中的安全性,需采用网络传输加密技术、加密传输协议、链路加密等加密技术保障数据在传输过程中的保密性,并采用密码技术或数据校验机制,保证数据在传输过程中的完整性。 数据存储阶段:为了确保数据存储的安全性,可通过不同加密技术来保障存储数据的安全性。加密方式包括硬盘加密、文件加密以及数据库加密。硬盘加密可保证物理环境被入侵的情况下,数据不会泄露。文件加密可保证操作系统级别被入侵的情况下,数据不会泄露。数据库加密可通过多种方式对数据库中的数据进行加密,保证数据库被入侵的情况下,数据不会泄露。在保证数据的可用性方面,需要对重要数据提供容灾备份机制,在极端情况下保证重要数据不丢失。 数据运营阶段:在数据运营及运维安全方面,可通过对运维及运营人员的操作进行监控及审计,通过限制访问敏感数据、访问途径等方式,保障数据安全。对于运维及运营人员来说,限制其仅可通过虚拟桌面的方式对数据进行访问,并对其操作行为进行监控及安全审计。
内部威胁
用户和实体行为分析(UEBA)技术:UBA(用户行为分析)由Gartner提出的一类网络安全工具,用于分析网络空间中的用户行为,并应用高级分析技术来检测异常恶意行为。2015年,Gartner将其定义更新,增加了“E”,变为UEBA(用户和实体行为分析),增加除用户外的实体(如路由器、服务器和端点)的行为分析。UEBA较UBA功能更强大,它可以分析包括用户、IT设备和IP地址等在内的行为,从而实现对复杂攻击行为的检测。内部威胁和未知威胁是最难捕获的,也是传统安全工具无法检测的,并且可能是最具破坏性的。UEBA作为新型安全技术,用于帮助安全团队识别、响应可能被忽视的内部威胁。它采用业界先进的技术(如机器学习),用于识别、跟踪恶意用户在遍历企业环境时的行为,并通过一系列机器学习算法检测偏离用户规范的操作。 数据泄露防护(DLP)技术:DLP技术能够通过对数据进行内容识别,对传输、存储、使用中的数据进行检测,依据预先定义的策略来实施特定响应。内容识别能力是数据识别的关键,DLP的核心能力就是通过内容识别精确识别敏感数据。内容识别的技术包括关键字、正则表达式、文档指纹、确切数据源(数据库指纹)、向量机学习等。
云安全
建立可信的日志完整性保护机制根据等级保护要求,应用系统的操作日志、审计日志、告警日志等关键日志,需要进行完整性保护。企业可以通过调用统一密码服务平台的服务接口针对日志文件或者相关数据库表生成消息认证码(MAC),同时在验证完整性时对权限列表的消息认证码(MAC)进行验证,以确定完整性是否被破坏。 在生产业务中,以人员为主线的身份、凭证、权限管理,是业务逻辑安全运行的基础。在信息化系统中,以资产为主线的资产、配置、漏洞、补丁管理,是信息化资产安全运行的基础。这两类安全运行事务需要投入可观的人力和物力来满足基础的安全保障需求。在对安全产品与工具提出更高可运行要求的同时,也对安全运行团队的工作承载能力提出了挑战。
物联网
设备类型碎片化,导致无法统一所有感知层设备的终端安全能力 泛在化的部署使得在发生安全事件时难以依靠人员进行快速的应急响应处置 安全设备的部署成本与安全敏感度[插图]之间存在如何平衡的问题。 存在硬件方面侧信道攻击的可能
工业安全
对于远离城乡且通信网络覆盖差的野外作业环境,如石油勘探、水利建设、远洋航行,企业一般通过卫星通信网实现数据传输。VSAT(Very Small Aperture Terminal,甚小孔径终端,意译为“甚小天线地球站”,简称“小站”)小站组网是一种常见的卫星通信应用方式,具有灵活可靠、成本低、使用方便等特点,得到了广泛应用。 但是这种小站对外接入卫星链路,对内连接本地生产网络的方法,也会产生比较严重的漏洞。我们发现由于业务复杂程度不同,生产网可以是完整的分层控制网,也可以是以现场设备和过程控制为核心的简化网络,但是他们所面临的风险是一致的。攻击者发现卫星地面站是企业的卫星主站,汇总接收多个小站的数据,统一接入企业总部网络。即在接入区需要实施身份认证、访问控制、行为审计等安全隐患,对于安全等级较高的业务,数据是否进行加解密处理等都会影响其安全性。
结尾
精彩推荐
原文始发于微信公众号(FreeBuf):云与信任——未来安全的战场
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论