基于攻擊視角完善信息安全彈性防御體系思考

來(lái)源:中國(guó)電子政務(wù)網(wǎng) 

行業(yè)現(xiàn)狀：基于對(duì)信息風(fēng)險(xiǎn)的理解，參照ISO27000標(biāo)準(zhǔn)族，遵循GB20274《信息系統(tǒng)安全保障評(píng)估框架》、等級(jí)保護(hù)標(biāo)準(zhǔn)族及銀行業(yè)各類信息安全綜合規(guī)范及監(jiān)管要求，目前銀行業(yè)基本建立較完善安全保障體系，夯實(shí)安全生產(chǎn)三道防線，其落地在于安全運(yùn)營(yíng)能力的增強(qiáng)。體現(xiàn)在從構(gòu)建縱深安全防御體系、持續(xù)改進(jìn)安全能力建設(shè)、風(fēng)險(xiǎn)應(yīng)急響應(yīng)常態(tài)化、內(nèi)外部威脅情報(bào)使用持續(xù)進(jìn)化，信息安全運(yùn)營(yíng)體系具備自我學(xué)習(xí)，彈性增強(qiáng)及自適應(yīng)能力。

隨著云安全、大數(shù)據(jù)的發(fā)展及銀行科技轉(zhuǎn)型加快，安全保障更多作為一種服務(wù)為科技及業(yè)務(wù)賦能，提供更好用戶體驗(yàn)。基于攻擊鏈模型優(yōu)化防御體系(防守)，根據(jù)鉆石模型開展攻擊者分析(溯源)，綜合攻擊鏈及鉆石模型開展情報(bào)驅(qū)動(dòng)的主動(dòng)防御(升維防御)。在防御體系進(jìn)化中，根據(jù)組織人財(cái)物錨定信息安全防御能力滑動(dòng)象限(SANS)范圍，有所為有所不為，實(shí)現(xiàn)成本和回報(bào)的適度安全。最后，在安全運(yùn)營(yíng)中輔助開展毒性測(cè)試以增強(qiáng)組織防御的強(qiáng)韌性以至于自適應(yīng)升級(jí)，保證安全生態(tài)體系保持自適應(yīng)進(jìn)化。

基于攻擊者視角構(gòu)建縱深彈性自適應(yīng)網(wǎng)絡(luò)安全防御生態(tài)

1.基于攻擊鏈路徑構(gòu)建縱深防御體系

攻擊鏈模型源自美國(guó)軍方，將攻擊成功行為分為7步，每一步的打斷均可有效阻止一次攻擊行為，類似不完全信息動(dòng)態(tài)博弈(精煉貝葉斯均衡)，就算被攻擊后的亡羊補(bǔ)牢，也為時(shí)未晚。

為此，縱深防御從攻擊鏈的七步對(duì)應(yīng)出來(lái)，按照時(shí)間維度，從事前監(jiān)測(cè)、事中遏制及阻斷、事后跟蹤及恢復(fù)三個(gè)方面進(jìn)行闡述。

主要原則有三：一是在攻擊鏈的不同階段，部署不同防護(hù)策略，以實(shí)現(xiàn)互補(bǔ);二是基于OSI模型，在網(wǎng)絡(luò)、應(yīng)用分別部署以展現(xiàn);三是同一防護(hù)手段，在不同物理位置防護(hù)效果不一樣，譬如對(duì)于SQL注入，在WAF層面、WEB日志、RASP和SQL數(shù)據(jù)庫(kù)審計(jì)層面效果差距很大。

基于此，基于攻擊視角，結(jié)合威脅情報(bào)的縱深防御架構(gòu)應(yīng)該實(shí)現(xiàn)的架構(gòu)見表所示。

表 縱深防御從攻擊鏈及其應(yīng)對(duì)策略

該架構(gòu)是在傳統(tǒng)架構(gòu)上的延展，在上云和大數(shù)據(jù)以后，理念通用。上云后從成本及效能的角度，防御方法偏向于分布式架構(gòu)中的安全域隔離劃分，通過業(yè)務(wù)數(shù)據(jù)流驅(qū)動(dòng)進(jìn)行建模及關(guān)聯(lián)分析，安全以服務(wù)及組件的形式提供給業(yè)務(wù)(租戶)，基于大數(shù)據(jù)開展用戶標(biāo)簽及畫像，通過用戶行為開展適度的安全預(yù)測(cè)。

2.強(qiáng)韌性、異構(gòu)、自適應(yīng)能力

彈性及強(qiáng)韌性。基于醫(yī)學(xué)的毒性測(cè)試機(jī)制及牛頓機(jī)械論的反饋機(jī)制，構(gòu)建系統(tǒng)彈性及強(qiáng)韌性。系統(tǒng)風(fēng)險(xiǎn)指威脅利用系統(tǒng)脆弱性的可能性。威脅對(duì)應(yīng)外界刺激，刺激看劑量。16世紀(jì)毒理學(xué)帕拉塞爾蘇斯(Paracelsus)毒物興奮效應(yīng)(hormesis)的名言“劑量決定毒物”，即所有物質(zhì)都是有毒的，只和劑量大小有關(guān)。脆弱看自身，《反脆弱》作者納西姆·尼古拉斯·塔勒布將系統(tǒng)刺激應(yīng)變分為脆弱性、強(qiáng)韌性、反脆弱性三類。脆弱性可以理解為固化架構(gòu)，在遇到風(fēng)險(xiǎn)時(shí)無(wú)法變通應(yīng)對(duì)，造成信息安全事件被動(dòng)應(yīng)對(duì)，四處救火，修修補(bǔ)補(bǔ)。強(qiáng)韌性指信息系統(tǒng)在遇到外界變動(dòng)時(shí)具備冗余性，在單點(diǎn)被攻破的情況下仍能保持正常運(yùn)轉(zhuǎn)。而反脆弱則說明信息系統(tǒng)安全水平在外界刺激下增強(qiáng)，具備免疫力并自我進(jìn)化，例如人類嬰兒水痘防疫或佛學(xué)的涅槃重生。為此，信息系統(tǒng)應(yīng)不定期開展低微劑量毒性測(cè)試(自測(cè)評(píng)及滲透測(cè)試)，根據(jù)系統(tǒng)反饋開展定點(diǎn)修補(bǔ);定期開展眾測(cè)及業(yè)務(wù)連續(xù)性(BCP)測(cè)試，通過中等劑量外界刺激，促進(jìn)安全架構(gòu)重構(gòu)及進(jìn)化，具備強(qiáng)韌性和彈性。

防守異構(gòu)是基于完全信息靜態(tài)博弈中攻守平衡原理。基于攻防雙方力量的博弈，就算防御方力量大于攻擊方并且相同條件下占優(yōu)，攻防雙方無(wú)論怎么排兵布陣，按最優(yōu)方式排列，獲勝的概率也是相等，均為50%，從戰(zhàn)局看，是典型的弱勢(shì)攻擊方戰(zhàn)勝?gòu)?qiáng)勢(shì)防守方。

基于此，應(yīng)構(gòu)建多樣化異構(gòu)防御體系。同時(shí)，分散后對(duì)管理效能提出了更高的要求，采取分散策略的前提是：有效分散，即保證分散后單獨(dú)防守能力不低于分散前，否則會(huì)適得其反。

構(gòu)建自適應(yīng)防御體系及運(yùn)營(yíng)體系。自適應(yīng)安全架構(gòu)(ASA)是由Gartner在2014年提出的安全體系，類似于PDCA的戴明環(huán)理念，強(qiáng)調(diào)以持續(xù)監(jiān)控和分析為核心，將防御、檢測(cè)、響應(yīng)、預(yù)測(cè)四個(gè)方面結(jié)合起來(lái)，自適應(yīng)不同系統(tǒng)基礎(chǔ)形態(tài)和業(yè)務(wù)系統(tǒng)變化，能夠持續(xù)的自我進(jìn)化，自我調(diào)整來(lái)適應(yīng)不斷變化的攻擊類型。

太陽(yáng)底下沒有新鮮事。ASA架構(gòu)也趨同于基于時(shí)間軸響應(yīng)的PDR模型(保護(hù)、檢測(cè)、響應(yīng))，但ASA優(yōu)點(diǎn)是加入了對(duì)威脅情報(bào)的引入和使用。

3.信息交換，構(gòu)建安全生態(tài)圈

習(xí)近平總書記在今年4月的網(wǎng)信工作會(huì)議中指出“在信息時(shí)代，網(wǎng)絡(luò)安全是整體的而不是割裂的，是動(dòng)態(tài)的而不是靜態(tài)的，是開放的而不是封閉的，是相對(duì)的而不是絕對(duì)的，是共同的而不是孤立的”。凱文·凱利(KK)在《失控》中也多次強(qiáng)調(diào)生態(tài)圈與自適應(yīng)進(jìn)化概念，對(duì)信息安全來(lái)說，亦提倡構(gòu)建安全生態(tài)圈。

圖 基于攻擊者視角縱深防御架構(gòu)

基于比較優(yōu)勢(shì)理論，開展信息交換。古典經(jīng)濟(jì)學(xué)家李嘉圖比較優(yōu)勢(shì)理論對(duì)比于斯密的絕對(duì)優(yōu)勢(shì)，即使信息交換的弱方各類要素稟異均占劣勢(shì)，通過交換的強(qiáng)弱各方也可以獲得超額收益。其落地體現(xiàn)為，各企業(yè)信息安全機(jī)構(gòu)以及行業(yè)主管部門聯(lián)合起來(lái)，開展威脅情報(bào)及信息專項(xiàng)交換，獲得效率的增量提升。

基于威脅情報(bào)及態(tài)勢(shì)開展升維防御。防守方可以利用外部威脅情報(bào)造成信息不對(duì)稱，對(duì)攻擊方開展升維防御。同時(shí)，通過對(duì)自身情報(bào)的采用和外部情報(bào)消費(fèi)，對(duì)傳統(tǒng)防護(hù)設(shè)備如郵箱防護(hù)、防火墻、IPS、WAF進(jìn)行賦能。

有必要關(guān)注的幾點(diǎn)

“不謀全局者，不足謀一隅”。在做好安全技術(shù)和管理日常運(yùn)行和儲(chǔ)備的同時(shí)，需要具備前瞻性，以戰(zhàn)略眼光，全局角度跳出安全看安全，倡導(dǎo)適度安全，還需要注意以下幾點(diǎn)。

1.知己知彼，百戰(zhàn)不殆，梳理好資產(chǎn)

隨著業(yè)務(wù)的發(fā)展，特別是云計(jì)算平臺(tái)及移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，快速原型、精益開發(fā)、敏捷開發(fā)部署，灰度發(fā)布。如不掌握詳盡的資產(chǎn)信息，一是家底不清，已發(fā)生問題無(wú)法快速應(yīng)對(duì)定位;二是外部威脅情報(bào)到來(lái)后無(wú)法快速判斷，造成精力分散和過度應(yīng)對(duì)。

實(shí)際工作中，至少應(yīng)掌握兩類資產(chǎn)：一是系統(tǒng)資產(chǎn)，包括但不限于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)邏輯架構(gòu)、物理部署位置、系統(tǒng)數(shù)據(jù)流等，同時(shí)對(duì)資產(chǎn)的不光有內(nèi)部報(bào)送，也應(yīng)輔助掃描機(jī)外部探測(cè);二是管理資產(chǎn)，包括但不限于組織架構(gòu)圖，研發(fā)、運(yùn)維、供應(yīng)鏈信息，保障及監(jiān)管單位流程。

2.具備四個(gè)意識(shí)，防范創(chuàng)造性失靈

安全要和企業(yè)的整體戰(zhàn)略、規(guī)模、成本結(jié)合起來(lái)，實(shí)事求是做安全，不能過度安全導(dǎo)致影響業(yè)務(wù)。具有核心意識(shí)，向單位業(yè)務(wù)核心業(yè)務(wù)靠攏，保障核心業(yè)務(wù);具有大局意識(shí)，從整體的信息系統(tǒng)發(fā)展角度出發(fā)而非只從狹隘的安全角度出發(fā);具備看齊意識(shí)，向行業(yè)、國(guó)內(nèi)、國(guó)際的頂端安全理念看齊;具有政治意識(shí)，保證安全工作和信息化工作的合規(guī)和合法。

另外，防御系統(tǒng)出現(xiàn)創(chuàng)造性，系統(tǒng)性失靈，類似明斯基時(shí)刻，整體失效。凱文凱利(KK)在《失控》中將各種質(zhì)量控制手段和反饋手段綜合起來(lái)，可證明隨著各種防控手段的綜合應(yīng)用，綜合防御能力會(huì)出現(xiàn)1+1>2的情況。但根據(jù)熱力學(xué)第二定律，宇宙的熵會(huì)隨著時(shí)間的流逝而增加，隨著復(fù)雜度的增加，由有序向無(wú)序，最終進(jìn)入熱寂(創(chuàng)造性失靈并且無(wú)法定位故障點(diǎn))，這是大概率的系統(tǒng)性風(fēng)險(xiǎn)或明斯基時(shí)刻。

3.信息安主動(dòng)迎接云、大數(shù)據(jù)和區(qū)塊鏈等新技術(shù)

就像互聯(lián)網(wǎng)的出現(xiàn)，電商顛覆了傳統(tǒng)業(yè)態(tài)一樣，云和大數(shù)據(jù)出現(xiàn)也對(duì)傳統(tǒng)安全防護(hù)提出了挑戰(zhàn)。安全體系應(yīng)主動(dòng)變革，從基礎(chǔ)設(shè)施(IAAS)、操作系統(tǒng)(PAAS)、軟件服務(wù)(SAAS)三個(gè)層面主動(dòng)設(shè)計(jì)應(yīng)對(duì)。

云安全的實(shí)現(xiàn)路徑首先開展統(tǒng)一的訪問控制4A，統(tǒng)一入口。其次開展業(yè)務(wù)層的隔離與追蹤取證，基于業(yè)務(wù)邏輯開展軟件定義安全，軟件定義邊界和微隔離。最后開展數(shù)據(jù)安全治理，在業(yè)務(wù)隔離的基礎(chǔ)上開展追蹤取證，對(duì)數(shù)據(jù)打標(biāo)并在邊界進(jìn)行控制。

云安全時(shí)代的到來(lái)會(huì)帶來(lái)一種變革，業(yè)務(wù)的入口更集中，安全相對(duì)來(lái)說也變的更集中，訪問控制單點(diǎn)突破后，造成的損失幾何級(jí)上升。但云安全時(shí)代的好處在于將力量分散的安全能力進(jìn)行聚合，能力越大，責(zé)任就越多，對(duì)安全人員提出了更高的技術(shù)要求，知識(shí)升級(jí)和安全理念的更新。

4.穩(wěn)健原則開展安全運(yùn)營(yíng)，開展威脅情報(bào)共享

穩(wěn)健(Prudent)原則開展安全運(yùn)營(yíng)，銀行業(yè)屬于風(fēng)險(xiǎn)厭惡型，運(yùn)營(yíng)穩(wěn)健涵蓋謹(jǐn)慎、負(fù)責(zé)、勤勉和有能力。為此遵循適度謹(jǐn)慎(DueCare)和適度勤勉(DueDeligeou)準(zhǔn)則開展運(yùn)營(yíng)設(shè)計(jì)。在安全管理設(shè)計(jì)上邏輯嚴(yán)密，體系架構(gòu)合理并可實(shí)現(xiàn)，在安全運(yùn)營(yíng)上要注意留存記錄及證據(jù)，以便回查。這樣，事件調(diào)查處置中，以證明制度和運(yùn)營(yíng)的合理性，盡職盡責(zé)，避免造成人為重大疏忽，也是對(duì)單位資產(chǎn)和從業(yè)者的保護(hù)。

信息安全工作由于其不直接產(chǎn)生經(jīng)濟(jì)效應(yīng)，在信息系統(tǒng)中處于相對(duì)弱勢(shì)，安全界自稱背鍋俠，“沒出事情的時(shí)候沒什么用，出了事情就證明真沒什么用，重保三寶，預(yù)案、檢討和辭呈”。正因如此，從業(yè)者跟更應(yīng)該團(tuán)結(jié)起來(lái)，開展信息交換，實(shí)現(xiàn)非對(duì)稱打擊或者防御。在第6屆銀行業(yè)數(shù)據(jù)中心聯(lián)系會(huì)上，銀行業(yè)形成共識(shí)，通過銀行業(yè)威脅情報(bào)及安全事件信息共享，構(gòu)建聯(lián)防聯(lián)治態(tài)勢(shì)體系，用開放、共享、共贏的方法來(lái)主動(dòng)應(yīng)對(duì)外部攻擊，提升信息安全防御維度。

此外，不僅向內(nèi)做好用戶風(fēng)險(xiǎn)警示，更要向管理層和監(jiān)管層就安全風(fēng)險(xiǎn)預(yù)期達(dá)成一致，設(shè)立合理安全目標(biāo)，實(shí)現(xiàn)適度安全。安全的目標(biāo)不是消滅所有的風(fēng)險(xiǎn)，是基于成本和效率的考量，將信息安全風(fēng)險(xiǎn)控制在管理層“可接受”范圍內(nèi)。