要说2019年至今网络圈中讨论度最高的热门词汇,“等保2.0”一定当仁不让。各类围绕企业等保落地、安全环境构建的文章和探讨热火朝天。近日,在深圳举办的「FreeBuf等级保护2.0研讨专场」活动上,瑞数信息CTO马蔚彦便为大家带来了题为《动态安全—构建等保2.0时代的主动防御》的专题演讲,分享瑞数 “动态安全”技术如何实现等保2.0主动防御要求,以应对持续变化的网络环境与攻防迭代现状。
等保2.0的重要变化:关键词-主动防御
等保2.0与1.0相比最大的变化莫过于,在强调“一个中心、三重防护”网络安全架构的同时,将行业安全的关注点从原来的传统系统安全,拓展到云计算、移动互联网、大数据平台等新的技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。
等级保护由1.0到2.0是被动防御变成主动防御的变化,依照等级保护制度可以做到整体防御、分区隔离;积极防护、内外兼防;自身防御、主动免疫;纵深防御、技管并重。
——中国工程院院士 沈昌祥
依据当前国内安全形势和信息技术发展,并结合IDC关于“主动防御”的报告,马蔚彦提出:移动目标式的动态防御,将成为主动防御技术领域的技术方向。这种技术趋势具体包括:
- 移动目标式的动态防御:迫使攻击者不断重新适应,并对动态转移的薄弱点作出反应,从而有效防止攻击者使用自动僵尸程序。
- 机器学习:充分利用大数据和机器学习解析法,让计算机熟悉什么样的行为对企业网络环境或用户设备使用来说是正常的,然后运用学习到的信息去判定观测到的行为是否正常。
- 主动行为分析:企业同样可以运用主动行为分析和指纹识别来识别客户端的正常流量,利用用户模式和用量来检测和启发式推测可疑活动。
- 安全情报及主动预测:通过情报交流和第三方数据源收集安全情报(包括诈骗风险情报数据库),让企业知悉最新攻击信息,并能提供并拦截恶意攻击源。
动态安全,构建主动防御基石
等保2.0中所提出的主动防御、动态防御要求,正和以“动态安全”技术为核心的瑞数信息安全防护思路不谋而合。相较于传统的单点防护,和基于挖掘漏洞、匹配特征、设置规则的被动响应模式,瑞数信息认为,主动式防护理念应当更加重视安全防护的主导作用和逻辑上的快速响应能力。
瑞数信息因此提出“先发制人、掌握先机”的防护哲学,以动态封装、动态验证、动态混淆、动态令牌四大动态安全技术为支撑,从以下四个维度实现从用户端到服务器端的全方位主动防御:
- 动态防御:不依赖特征码、阀值或策略规则等传统安全技术,而是通过对网站底层代码进行动态变幻,隐藏攻击入口,迷惑攻击者,使其无法发起针对性攻击。直接在来源端阻断自动化攻击工具,以“动”制敌,化被动为主动。
- 态势感知:结合静态环境与动态行为,为每一位访问者建立唯一全息指纹,通过业务逻辑感知和操作行为感知,识别传统安全难以应对的高度拟人化机器人与分布式低频攻击,并提供攻击定位,精准捕获攻击来源。
- 智能响应:能对潜在和更加隐蔽的攻击行为进行威胁取证,提供可视化分析和报告,并将传统单一的阻挡动作转为可调整的智能对抗。同时,与其他安全系统进行动态联动,形成自动化协同响应体系,实时隔离安全风险。
- 威胁预测:结合大数据和机器学习算法,基于本地威胁态势、全球风险情报和第三方数据源,让用户知悉恶意攻击来源及动向,及时告警;并根据动态趋势预测的结果,即时调整防护策略,形成防护闭环。
动态安全的主动防御落地实践
马蔚彦在演讲中也分享了三个以 “动态安全”技术为依托的主动防御落地实践的具体场景:
- 漏洞隐藏防扫描
由于漏洞无法穷尽,“人少、活多、黑锅多”已经成为安全运维人员普遍的工作现状。“动态安全”的重要价值便是通过代码变幻隐藏漏洞,弥补从漏洞利用被公开,到系统管理员完成漏洞修复,这中间的空窗期,为安全人员争取更多响应时间。这显然是诸如政府、高校等有众多Web业务且站点受控后影响恶劣的机构的刚需。
- 无规则防零日漏洞
传统的规则库、策略更新防护模式,面对没有已知特征的零日漏洞已经无能为力,企业安全只能寄希望于安全厂商的响应能力;但修复一个零日漏洞,通常需要2-7天,甚至更久。“动态安全”提供的主动式防御技术则可以通过识别攻击是否为脚本、程序、工具等发起,从而在无规则防护升级的情况下对零日漏洞探测进行有效阻断,实现迅速响应,防范于攻击之前。
- 阻断多源低频撞库攻击
目前越来越多的攻击呈现出使用分布式IP地址、间断性、低频的特征。以某一攻击为例,攻击IP总数超过11万,最大单一IP访问量占比却仅为0.09%。传统IP黑名单、限制访问频率等策略已经不现实。具备对由工具发起访问请求流量的有效识别能力,就显得尤为重要。
瑞数信息首席技术官马蔚彦强调:“越是创新的东西,就越需要实践和市场的检验。安全是一门实战性极强的学科,只有技术真正落地,创新才能算成功。”瑞数信息相信,对于等保2.0的解读不应只是为了满足法律法规的要求,如何运用创新的“动态安全”技术,将法律法规中的“主动防御”愿景落实到日常运营过程中,才是安全厂商应当始终思考和肩负的责任。