详解主动安全防御体系架构:三个安全点、四个行为与六大能力
作者:星期三, 十一月 14, 20180

企业的数字化转型已经是必然趋势,而在转型中,大量的新技术的出现与应用,对企业的安全问题带来了大量的隐患。如今的企业数字化过程中,面临着物联网、云、移动互联网、数据安全等多个问题。

新华三集团认为,如今企业使用的安全解决方案面临着两大问题。

首先,企业的大部分安全产品依然是单点的安全产品,缺乏相互之间的联动。因此,安全产品的能力就会被局限在自己的产品自身上,其安全的效果就完全由产品自身的能力所决定。一旦某安全点无法防御住相关的攻击,又或者高级攻击需要各个安全点相关联才能发现防止,安全系统就无法发现攻击,让企业处于危险之中。

另一个问题就在于企业对整个风险监控能力上的不足。监控能力的不足由两方面造成:一个是本身的安全产品的能力确实不足以应对日益增强的攻击;另一方面就是企业对风险监控产品的部署数量不足。在往云迁移的过程中,如今的网络的边界日益模糊化,企业对于原本固定有限的网络环境尚能有一定数量的部署,而一旦边界模糊了,企业面临的是难以估量的网络范围,仿佛从原本的湖泊进入了浩海之中,而这一转变需要大量的安全部署来把握各个节点上的问题。

对此,新华三提出了主动安全的防御体系架构,从三个点上打造新的防御体系“三个安全点、四个行为、六大能力”。

三个安全点

我们都在说防御需要纵深布置,需要立体防御。新华三对于立体防御的理解,是从三个安全点进行的:终端、边界、网络。

终端是最底线的防御点,是离人最接近的地方。终端的保护角度需要注意三点:最基础的防病毒能力是必须的,不能因为攻击的多样性以及新技术的产生就放弃终端安全的基本功;其次是补丁的管控,终端的漏洞需要被妥善管理以及修复;最后是桌面数据防泄漏,终端是最直接最容易造成数据泄露的地方。

而边界则是传统网络防御的主要防守所在,尽管边界模糊化了,但是对于很多的网络部署方式依然存在明显的边界性,企业依然需要对这些地方进行防护。

而网络流量层面,应用是最直接接触到网络流量的。如今的安全解决方案主要侧重于对应用的接入:防止恶意流量的攻击、防止病毒的注入以及未授权的接入。然而,对于网络的防护,不应该仅仅局限于网络层,也应该从应用层对网络进行保护——即应用本身是否已经受到攻击,是否已经产生异常甚至恶意的流量,与外部进行非法联系了。

新华三提出的主动安全,需要从终端、边界、网络三个安全点上打造立体的防御架构。在了解了自己的防御对象以后,企业需要“行为”去真正保护这些对象。

四个行为

新华三提出的四个行为是构筑FDDA闭环:Forecast(预测)、Defense(防御)、Detection(检测)、Action(响应)。在针对三个安全点的基础上,采用这四个行为闭环进行防御。

Forecast(预测)需要企业对面临的威胁提前了解,从而能进行针对性的防御以及规避。在预测威胁以后,企业需要对威胁进行Defense——防御性的部署。而当攻击发生时,之前部署的防御系统能意识到攻击的发生,即Detection。

整个闭环最困难的一部分,则是Action——响应的步骤。即使企业执行了之前三步,如果缺乏有效的响应能力,企业可能只能眼睁睁看着攻击对自己的业务造成损失、或者自己的数据被窃取。如今的安全系统,需要在检测的基础上,能做到对攻击采取合适的响应手段,对已经发生的攻击进行阻止或者转移。安全产品的响应能力,很可能成为未来安全产品水平的一个分水岭。

FDDA闭环以及其类似的闭环理念都在被提及。但是安全始终需要落地去实施。因此,新华三的主动安全提出了六大能力。

六大能力

新华三对四个行为的落地提出的六大能力分别是:开放互联、情报驱动、AI进化、软件定义、智能运维、以及云端赋能。

开放互联:要解决安全产品的单兵作战,缺乏联动的问题,方法之一就是打造安全生态体系,这就需要各个厂商——不只是安全厂商,之间的互联。从非安全厂商角度,如物联网设备厂商需要注意自己产品的安全能力,那么在设计之时就需要和安全厂商合作,有合适的安全接口,方便在实际使用中融入整个安全体系架构当中。而企业对于安全厂商,并非是为了打造能联动的安全体系就使用单一厂商的产品。事实上,不同厂商都有自己独特的优势;因此安全厂商之间需要开放的环境,协同合作,使得相互之间的产品之间能打造出联动的能力,帮助企业完善安全体系。

情报驱动:FDDA闭环的第一步就是Forecast——预测,预测的本质就在情报收集与提前分析。因此,情报获取、交换对安全尤为重要。情报需要提前整合与分析,才能在对抗中获取主动,做到主动安全。另一方面,情报不应该只作为单点出现。情报点相对孤立,并且缺乏足够的情报信息来进行预判。企业需要“情报云”来收集各方面的情报,进行分析与感知。

AI进化:在拥有了大量的数据信息后就要进行分析,才能做出合适的决策。在有情报加持以后,安全体系需要AI以及机器学习,对已有的情报进行分析,才能提供最有价值的安全信息,帮助企业对安全策略、防御部署。

软件定义:边界模糊化之后,对于网络、对于安全的策略配置逐渐困难——毕竟无论是人还是机器,都需要明确的定义和目标才能进行防御和设置。因此,软件定义将成为趋势——不仅仅是软件定义网络,软件定义同样可以适用于安全、边界。在软件定义的帮助下,无论是网络自身,还是安全能力上,能同时做到灵活与明确。

智能运维:智能运维含义不在于通过编写脚本达成策略的分配与面对事件发生时的响应——那是自动化运维,而非智能运维。运维本身的行为是对策略进行优化,而智能运维是帮助运维变得高效。在大数据量与大运行环境的情况下,大量的数据与日志对于运维人员来说是相当繁重的工作。智能运维的价值,在于帮助运维从海量的信息当中提取最有价值或者最需要注意的信息,帮助运维人员制定、优化以及下发策略。

云端赋能:云服务本身会给企业带来成本上的降低,但是云端安全的责任始终是一个问题——云端安全应该由云服务提供商保障,还是企业自身保障?从底线上来看,企业应该为自己在云端的业务提供最基础的安全服务——但是如果能选择有自己足够强大的安全能力的云服务厂商则是最优选择。如果云服务厂商本身有强大的安全能力,那么对企业在云端的安全就有足够的保障。

安全牛评

新华三的主动安全架构是专门面向企业的安全架构,其意义在于企业在业务运作过程中的安全性。从架构的构成中,我们可以发现安全体系的关键,在于“联系”——各个防御单元之间的联系。只有关联才能成为体系,而不是每个独立的点。而这个关联,除了依靠厂商本身就具有的成体系的产品——从基础的网络设备到安全产品,也需要不同安全能力厂商之间的协同,构建一个企业的安全生态。

相关阅读

这就是新华三的主动安全:全栈、意图、使能

安全重磅期待 融绘数字未来:记新华三领航者峰会

 

分享:
0

相关文章

写一条评论

 

 

0条评论