數(shù)據(jù)驅(qū)動安全架構(gòu)升級---“花瓶”模型迎來V5.0(一)

數(shù)據(jù)驅(qū)動安全架構(gòu)升級---“花瓶”模型迎來V5.0

Jackzhai

一、背景

近十年，可以說是網(wǎng)絡(luò)技術(shù)大發(fā)展的十年，云計(jì)算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)等新技術(shù)逐漸成熟，社交、電商、智慧城市…現(xiàn)實(shí)社會正在全面走進(jìn)網(wǎng)絡(luò)所構(gòu)建的虛擬世界，網(wǎng)絡(luò)正在成為人們吃穿一樣不可或缺的“生活必需品”。

隨著網(wǎng)絡(luò)承載的事務(wù)越來越豐富，面臨的安全威脅也越來越多，發(fā)生網(wǎng)絡(luò)安全問題的損失與波及的范圍也在不斷升級?？偨Y(jié)起來有以下幾個(gè)方面：

1. 網(wǎng)絡(luò)安全國家化：美國把網(wǎng)絡(luò)與陸海空并列為國家主權(quán)領(lǐng)土四大領(lǐng)域之一，互聯(lián)網(wǎng)開始有了“國家疆界”，虛擬世界里不僅有了警察，還有了軍隊(duì)，網(wǎng)絡(luò)戰(zhàn)爭的硝煙正在席卷我們整個(gè)“地球村”。各國的網(wǎng)絡(luò)部隊(duì)儲存了大量漏洞，作為政府間******的網(wǎng)絡(luò)武器，漏洞成為“武器商品”在進(jìn)行交易，技術(shù)共享范圍越來越??；

2. 灰色產(chǎn)業(yè)鏈化：有錢有利的地方就容易被***，某些人的政治利益，企業(yè)之間的惡意競爭，個(gè)人隱私信息的偷竊……***技術(shù)已經(jīng)完全市場化，產(chǎn)業(yè)鏈進(jìn)化得相當(dāng)成熟，開發(fā)***、***網(wǎng)站、傳播***、定向獲取信息、非法信息交易黑市、詐騙組織專業(yè)公司、銀行卡提錢公司……產(chǎn)業(yè)鏈成熟的后果，是有充足的資金再投入到各種***技術(shù)的開發(fā)，***從業(yè)大軍人才濟(jì)濟(jì)，行業(yè)運(yùn)營效率越來越高；

3. 白帽子市場化：有黑帽子從業(yè)賺取金錢，就有白帽子“義務(wù)”保護(hù)，雖然處境“同樣危險(xiǎn)”，但在黑白兩道同時(shí)推動下，漏洞挖掘成為空前的熱門高技術(shù)產(chǎn)業(yè)，有些像冷戰(zhàn)時(shí)期的“軍備競賽”，說不清是福是禍，客觀上推動了漏洞商品的高產(chǎn)。為了應(yīng)對日益惡化的網(wǎng)絡(luò)安全局勢，***人才培訓(xùn)、漏洞挖掘大獎、商業(yè)白帽子眾測……***技術(shù)人員成為很多企業(yè)、政府的急需招聘人才。

 在網(wǎng)絡(luò)安全技術(shù)方面也較大的變化，讓***有了更多的思路與角度可以***，更高級且隱蔽的方法可以選擇：

1. 云計(jì)算促進(jìn)服務(wù)集中化：云計(jì)算服務(wù)以虛擬化技術(shù)支撐，建立龐大的數(shù)據(jù)中心，其內(nèi)部的網(wǎng)絡(luò)邊界模糊化，尤其是信息系統(tǒng)之間邊界。傳統(tǒng)安全保障思路是基于邊界的訪問控制，如今邊界從網(wǎng)絡(luò)層收縮到應(yīng)用層，大家在一個(gè)房間了，訪問可以，控制難嘍。一句話：家大人太多了，不好管??；

2. 移動互聯(lián)普及化：隨著4G移動技術(shù)普及，社交軟件從PC轉(zhuǎn)移到智能終端，手機(jī)號成為現(xiàn)代人的第二張“×××”，且是實(shí)時(shí)在線的，人人都可以在互聯(lián)網(wǎng)上“被直播”，個(gè)人信息安全成為全社會關(guān)注的熱點(diǎn)，位置、照片、私人聊天…

3. 物聯(lián)網(wǎng)與智慧城市：計(jì)算機(jī)與計(jì)算機(jī)、計(jì)算機(jī)與人、人與環(huán)境……地球上的萬物互聯(lián)…網(wǎng)絡(luò)在短短的幾十年，就***到地球上的每一個(gè)角落，動的，靜的，有生命的，沒生命的…網(wǎng)絡(luò)發(fā)達(dá)的結(jié)果，是數(shù)據(jù)的極大豐富，多得沒有人能看得過來，想找自己需要數(shù)據(jù)也不容易，由此催生了大數(shù)據(jù)技術(shù)的變革。用大數(shù)據(jù)管理海量數(shù)據(jù)，利用大數(shù)據(jù)關(guān)聯(lián)分析每個(gè)物體的行蹤，發(fā)現(xiàn)那些隱藏的***者，大數(shù)據(jù)成為***雙方的新技術(shù)工具；

4. 加解密再次成為焦點(diǎn)：安全從開始就離不開加解密技術(shù)，為了安全需要加密信息，讓別人看不懂；為了能監(jiān)控網(wǎng)絡(luò)信息，看懂網(wǎng)絡(luò)上傳輸?shù)男畔ⅲ托枰饷?。美國“棱鏡門”事件曝光了政府監(jiān)控，讓所有的人都認(rèn)為，端到端的信息源加密是將來必然的選擇。但加密與解密技術(shù)對抗已經(jīng)不同于以往，一方面，云計(jì)算可以提供超強(qiáng)的口令破解計(jì)算能力，大數(shù)據(jù)關(guān)聯(lián)分析能夠有效縮小的口令破譯的空間，傳統(tǒng)的加密算法受到極大挑戰(zhàn)，無論是否公開你的算法，還是選擇更長的密碼，被破譯都是遲早的事情。另一方面，新型加密技術(shù)發(fā)展緩慢，同態(tài)加密，量子加密等新模式加密技術(shù)何時(shí)商用是業(yè)界極為關(guān)注的。能夠?yàn)閺V大物聯(lián)網(wǎng)用戶提供頻繁加密，也是傳統(tǒng)密碼技術(shù)面臨的難題，因此，建立為個(gè)人服務(wù)的商用密碼服務(wù)中心，讓每個(gè)人可以動態(tài)選擇加密算法與密鑰長度，能夠方便地在各種社交網(wǎng)絡(luò)上實(shí)現(xiàn)端到端的加密通信，是密碼應(yīng)用模式面臨的變革。

 總結(jié)起來，就是針對性強(qiáng)的高級威脅成為網(wǎng)絡(luò)安全的主流，以炫耀為目的的學(xué)生***不再是安全防御的重點(diǎn)。一方面經(jīng)過多年網(wǎng)絡(luò)安全宣傳與建設(shè)，多數(shù)網(wǎng)絡(luò)具備了一定的防御能力，提高了******的技術(shù)門檻；另一方面，***更加有針對性，技術(shù)含量更加提高。前幾年APT一詞很流行，隨之而來的應(yīng)對產(chǎn)品技術(shù)也走進(jìn)人們的視野，沙箱技術(shù)、威脅情報(bào)、安全大數(shù)據(jù)分析……但是，人們還是感到APT防御的難度實(shí)在太大，業(yè)界開始悄悄流行“高級威脅檢測”一詞，盡量少提APT，先一步一步來吧。

 “花瓶”模型發(fā)布于2007年，被作為網(wǎng)絡(luò)安全保障方案設(shè)計(jì)的參考模型，可以比較好地讓方案設(shè)計(jì)者分析用戶安全需求，部署網(wǎng)絡(luò)安全措施，構(gòu)建符合等級保護(hù)技術(shù)標(biāo)準(zhǔn)的保障方案。十年過去了，“花瓶”模型也隨著***技術(shù)、新應(yīng)用模式部署而不斷的升級進(jìn)化。“花瓶”模型V5.0是又一次較大技術(shù)架構(gòu)與安全理念變化的升級。

二、“花瓶”模型V5.0的思路進(jìn)化

“花瓶”模型是一個(gè)網(wǎng)絡(luò)安全保障方案設(shè)計(jì)參考模型，基于PDR模型的動態(tài)防御思路，建立事前防御、事中響應(yīng)阻斷、事后審計(jì)改進(jìn)的“三線一平臺”的多維立體縱深防御體系，并在***對抗過程中進(jìn)行自學(xué)習(xí)、自完善，形成閉環(huán)管理控制?！盎ㄆ俊蹦Ｐ徒o出了每條線上的安全產(chǎn)品選擇組合建議，可以讓方案設(shè)計(jì)者方便地編寫保障方案，并確保方案的有效性、合規(guī)性、可落地性。

隨著安全技術(shù)的發(fā)展，“花瓶”模型也需要進(jìn)化，融入最新安全技術(shù)，適合最新網(wǎng)絡(luò)環(huán)境與應(yīng)用?！盎ㄆ俊蹦Ｐ?/span>V5.0升級的核心理念變化如下：

  1、  邏輯分層抽象：為了適應(yīng)網(wǎng)絡(luò)虛擬化，用戶終端漫游等新業(yè)務(wù)模式，“花瓶”模型引入進(jìn)一步的分層邏輯，這包括三個(gè)角度：

  a. 網(wǎng)絡(luò)層分離為物理的和邏輯的：網(wǎng)絡(luò)傳輸?shù)氖橇髁?，網(wǎng)絡(luò)的安全實(shí)際上是其流量傳輸?shù)陌踩W(wǎng)線只是物理傳輸媒介，虛擬網(wǎng)絡(luò)沒有物理媒介。物理網(wǎng)絡(luò)以網(wǎng)線為標(biāo)簽，IP路由轉(zhuǎn)發(fā)，邏輯網(wǎng)絡(luò)以信息系統(tǒng)流量為標(biāo)簽，采用流量控制方法，建立協(xié)議封裝通道，實(shí)現(xiàn)策略路由轉(zhuǎn)發(fā)。運(yùn)維使用的網(wǎng)絡(luò)拓?fù)鋱D也分為物理的與邏輯的，物理網(wǎng)絡(luò)拓?fù)鋱D與傳統(tǒng)是一致的，邏輯網(wǎng)絡(luò)拓?fù)鋱D是抽象的。物理網(wǎng)絡(luò)拓?fù)渲?，各個(gè)信息系統(tǒng)交織在一起，邏輯網(wǎng)絡(luò)拓?fù)渲?，每個(gè)信息系統(tǒng)內(nèi)部結(jié)構(gòu)清晰，信息系統(tǒng)之間邊界明確；

  b. 網(wǎng)絡(luò)行為與信息內(nèi)容分離：隨著業(yè)務(wù)傳輸加密技術(shù)普及，通過網(wǎng)絡(luò)流量還原傳輸內(nèi)容，進(jìn)行內(nèi)容安全檢測的方法，越來越受到限制；隨著帶寬指數(shù)級增長，對流量進(jìn)行深度分析的成本也越來越高?！盎ㄆ俊蹦Ｐ蛯⒂镁W(wǎng)絡(luò)行為分析與內(nèi)容安全監(jiān)測分離，即網(wǎng)絡(luò)層與應(yīng)用層分開。網(wǎng)絡(luò)行為是網(wǎng)絡(luò)層面的，關(guān)注數(shù)據(jù)的包頭信息，即用戶網(wǎng)絡(luò)訪問的通聯(lián)關(guān)系，也可以通過資產(chǎn)信息庫，把IP與業(yè)務(wù)信息系統(tǒng)、用戶關(guān)聯(lián)起來，形成用戶行為跟蹤。應(yīng)用層的內(nèi)容安全，回溯到×××設(shè)備后的流量深度分析，或者回溯到終端或服務(wù)器內(nèi)做內(nèi)容檢測，即信息解密之后再檢測。體現(xiàn)在“花瓶”模型中，就是監(jiān)控體系的部署模式有較大變化，用戶行為審計(jì)分為網(wǎng)絡(luò)行為大數(shù)據(jù)分析與業(yè)務(wù)流程大數(shù)據(jù)分析；

  c. 身份認(rèn)證與信息系統(tǒng)分離：身份認(rèn)證是授權(quán)管理的基礎(chǔ)，是用戶行為審計(jì)落地的基礎(chǔ)。隨著業(yè)務(wù)信息系統(tǒng)越來越多，分散的身份管理、授權(quán)控制方式越來越復(fù)雜，尤其是人員角色變動時(shí)，變更授權(quán)的工作量難以想象。將身份認(rèn)證與信息系統(tǒng)分離，建立統(tǒng)一的身份認(rèn)證與授權(quán)管理系統(tǒng)，已經(jīng)成為建立網(wǎng)絡(luò)信任體系的基礎(chǔ)實(shí)施需求。

  2、  數(shù)據(jù)驅(qū)動安全：在網(wǎng)絡(luò)建設(shè)初期，安全是靠事件驅(qū)動的，病毒、蠕蟲、泄密、宕機(jī)……安全就是應(yīng)急救火；隨著業(yè)務(wù)信息化發(fā)展，等保標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評估…業(yè)務(wù)開始驅(qū)動安全保障建設(shè)，防御、監(jiān)控、信任“三線一平臺”體系的建設(shè)，三分技術(shù)，七分管理，網(wǎng)絡(luò)安全成為常態(tài)化管理一部分；威脅來自于對價(jià)值的渴望，隨著網(wǎng)絡(luò)承載的業(yè)務(wù)越多，價(jià)值越高，面臨的安全威脅就越大。安全防御體系也越來越復(fù)雜，海量的日志數(shù)據(jù)需要分析，復(fù)雜的流程操作行為需要審計(jì)，網(wǎng)絡(luò)安全進(jìn)入到“數(shù)據(jù)驅(qū)動安全”時(shí)代。大數(shù)據(jù)技術(shù)的出現(xiàn)，加速了這一進(jìn)化過程，這體現(xiàn)在網(wǎng)絡(luò)安全的兩個(gè)方面：

1. 安全大數(shù)據(jù)：應(yīng)用大數(shù)據(jù)處理、分析技術(shù)，應(yīng)對網(wǎng)絡(luò)安全面臨的新問題，即高級威脅的檢測。無論是對未知文件的沙箱檢測，還是基于流量的網(wǎng)絡(luò)行為分析，還是基于日志的業(yè)務(wù)行為審計(jì)，不僅需要支持海量數(shù)據(jù)的快速收集、存儲、查詢，而且需要基于******行為建模，對***者畫像，多維度的屬性關(guān)聯(lián)分析；

2. 大數(shù)據(jù)安全：數(shù)據(jù)大集中本身就吸引了更高級別的***者關(guān)注，圍繞數(shù)據(jù)自身價(jià)值的竊取與泄密，加劇了對新型數(shù)據(jù)中心的各種***。業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)的集中，其價(jià)值很直接；詳細(xì)的網(wǎng)絡(luò)行為數(shù)據(jù)記錄隱含了個(gè)人隱私，集中的業(yè)務(wù)日志可以分析企業(yè)業(yè)務(wù)邏輯的商業(yè)秘密…大數(shù)據(jù)建設(shè)導(dǎo)致數(shù)據(jù)中心的安全等級持續(xù)上升；

“花瓶”模型V5.0將安全管理平臺中的數(shù)據(jù)處理與分析運(yùn)維分離，形成底層的“數(shù)據(jù)湖”，支撐上層實(shí)現(xiàn)了基于大數(shù)據(jù)的各種安全分析。

  3、  安全態(tài)勢感知：引進(jìn)虛擬化、大數(shù)據(jù)，是“花瓶”模型利用新技術(shù)，應(yīng)對高級威脅。落實(shí)到“花瓶”模型建立的立體縱深防御三條線中，監(jiān)控這條線明顯變大。應(yīng)對高手，應(yīng)對未知的新威脅，監(jiān)控與信任體系是重點(diǎn)。

  a. “知己”：態(tài)勢感知的第一步是搞清楚目前網(wǎng)絡(luò)上的狀況，資產(chǎn)、漏洞、設(shè)備狀態(tài)、應(yīng)用現(xiàn)狀、敏感數(shù)據(jù)位置…更為重要的是，目前用戶的狀態(tài)，從哪里接入、什么方式接入、訪問啥業(yè)務(wù)、是否涉及敏感信息、是否涉及敏感操作…

  b. “知彼”：了解對手，僅從自己網(wǎng)絡(luò)上挖掘是不夠的，從外部渠道獲取安全信息，統(tǒng)稱為威脅情報(bào)。威脅情報(bào)很誘人，但實(shí)現(xiàn)很困難，主要是信息種類雜，來源廣，獲取難，對自己真正有價(jià)值的情報(bào)很難找：

   i.             與威脅情報(bào)相關(guān)的信息很多，如漏洞信息、新的惡意代碼樣本、安全事件、***者組織、新型***技術(shù)、新出現(xiàn)的***工具、惡意URL地址、釣魚網(wǎng)站、泄漏的敏感信息……如何將這些信息規(guī)范化，自動化收集、聚類，再推動給需求者，需要多方面的協(xié)作，即威脅情報(bào)標(biāo)準(zhǔn)的確立是關(guān)鍵；

   ii.             如何使用威脅情報(bào)也是個(gè)很現(xiàn)實(shí)的問題。將收集來的，或是買來的威脅情報(bào)，如何變成用戶“有用”的信息，需要操作者不僅能解析威脅情報(bào)的實(shí)質(zhì)內(nèi)容，而且熟悉自己網(wǎng)絡(luò)的“家底”，了解這個(gè)情報(bào)對自己的威脅究竟是什么，從而給出相應(yīng)的建議。如收到一個(gè)新漏洞信息，根據(jù)資產(chǎn)管理，立即可以檢測網(wǎng)絡(luò)內(nèi)哪些系統(tǒng)有這個(gè)漏洞，如何立即部署防御措施；再如發(fā)現(xiàn)一個(gè)惡意URL是某***回傳的站點(diǎn)，立即通過網(wǎng)絡(luò)流量或終端日志，檢查網(wǎng)絡(luò)內(nèi)哪些終端已經(jīng)“淪陷”，即已經(jīng)有聯(lián)系了該URL；再比如發(fā)現(xiàn)一個(gè)新***文件，通過流量還原或終端搜索，檢查網(wǎng)絡(luò)內(nèi)哪些終端被攻陷，立即給出感染態(tài)勢，部署查殺；

  iii.             威脅情報(bào)共享是大家都希望的，上至國家，下至企業(yè)，但高價(jià)值的威脅情報(bào)往往成為網(wǎng)絡(luò)戰(zhàn)儲備的武器，或者轉(zhuǎn)化為安全服務(wù)者的競爭優(yōu)勢，即使是有償共享，也局限在小范圍內(nèi)。目前的現(xiàn)狀是這樣的：一方面是低價(jià)值、甚至虛假的海量無用情報(bào)到處充斥，一方面是針對性有價(jià)值的情報(bào)難以收集到。因此，建立一個(gè)大數(shù)據(jù)分析平臺，從中挖掘自己有用的情報(bào)是必要的。

  c. 輔助決策：掌握實(shí)時(shí)的安全態(tài)勢不僅可以為應(yīng)急指揮提供監(jiān)控服務(wù)，而且可以對方案的效果進(jìn)行預(yù)測推演，安全態(tài)勢預(yù)測，為領(lǐng)導(dǎo)的決策提供依據(jù)。

不僅是新技術(shù)的融入，新觀念的吸納也是“花瓶”模型改進(jìn)的重點(diǎn)?！盎ㄆ俊蹦Ｐ褪腔?/span>PDR思想設(shè)計(jì)的，針對安全事件的發(fā)生的過程進(jìn)行縱深防御，分為事前策略防御、事中監(jiān)控響應(yīng)、事后審計(jì)改進(jìn)三個(gè)部分，并形成一個(gè)可循環(huán)的，可以自我改進(jìn)學(xué)習(xí)的閉環(huán)的、螺旋式上升的過程?！盎ㄆ俊蹦Ｐ?/span>V5.0在此基礎(chǔ)上，又吸收了最新安全思想，豐富完善了安全保障的架構(gòu)設(shè)計(jì)。主要體現(xiàn)在對下面兩個(gè)模型思想的吸收引進(jìn)。

  （1）滑動標(biāo)尺模型

滑動標(biāo)尺模型是網(wǎng)絡(luò)安全保障建設(shè)的進(jìn)化模型，它應(yīng)用于網(wǎng)絡(luò)安全建設(shè)者自我完善發(fā)展過程。從最初的基礎(chǔ)架構(gòu)安全建設(shè)，到被動的合規(guī)性防御，再到業(yè)務(wù)驅(qū)動的，以監(jiān)控為核心的積極防御，最后到采集威脅情報(bào)進(jìn)行安全態(tài)勢分析，掌控全面安全局面，最后發(fā)展就是具備反制進(jìn)攻能力的進(jìn)攻性防御階段。每個(gè)階段的建設(shè)都是依據(jù)前一階段的基礎(chǔ)，所以稱為疊加演進(jìn)?！盎ㄆ俊蹦Ｐ捅容^適合于前三個(gè)階段，尤其是第二階段的被動防御階段，構(gòu)建縱深防御體系，但因?qū)Ω呒壨{能力有所欠缺?！盎ㄆ俊蹦Ｐ?/span>V5.0進(jìn)行了改進(jìn)，彌補(bǔ)了這一不足，加強(qiáng)了監(jiān)控與審計(jì)能力，符合第三階段的積極防御需求，并引進(jìn)了大數(shù)據(jù)技術(shù)、威脅情報(bào)技術(shù)，適合第四階段的建設(shè)。

在經(jīng)歷了近十年的等保推廣工程，以及2017.6.1網(wǎng)絡(luò)安全法的正式實(shí)施，大多數(shù)用戶的安全管理建設(shè)已經(jīng)進(jìn)入到第二階段后期，有些行業(yè)已經(jīng)到了第三階段的后期。在這個(gè)時(shí)候，“花瓶”模型V5.0的推出，正好為用戶提供了所需的方案設(shè)計(jì)參考。

 （2）自適應(yīng)安全架構(gòu)

 Gartner在2014年提出了自適應(yīng)安全架構(gòu)(ASA)，把安全防護(hù)看作“感知-評估-預(yù)測”的一個(gè)完整過程，可以理解為四個(gè)象限，即“防御”、“檢測”、“溯源”、“預(yù)測”。ASA強(qiáng)調(diào)了安全防護(hù)是一個(gè)持續(xù)處理的、循環(huán)的過程，防御可以提高***門檻，但不能阻斷所有的***，應(yīng)對那些透過防御措施的***，細(xì)粒度、多角度、持續(xù)化的監(jiān)控是發(fā)現(xiàn)阻斷***者，減少損失的第二道措施，也就是說，ASA提升了應(yīng)急處理在安全保障體系的作用，是應(yīng)對高級威脅的主要手段。

“花瓶”模型V5.0吸納了ASA的自適應(yīng)、大監(jiān)控思想，在安全管理平臺的基礎(chǔ)上，建立了安全態(tài)勢分析與展示，支持強(qiáng)大的監(jiān)控分析平臺，當(dāng)然在底層架構(gòu)上離不開大數(shù)據(jù)技術(shù)的支持。