小白:东哥东哥,你上次给我讲完基础防御之后,我一直在思考先进防御会是什么样的。
大东:那你有答案了吗?
小白:我这两天偶然间看到了一个叫做网络安全网格架构的概念。
大东:哦?Gartner的网络安全网格架构,被列入了2022年网络安全主要趋势。
小白:对对对,东哥,你也看到了?
大东:网络安全网格架构可以实现在分布式策略执行架构中实行集中策略编排和决策,用于实现可扩展、灵活和可靠的网络安全控制,能够将复杂网络简单化。
Gartner网络安全网格架构(图片来自网络)
小白:东哥,我有一个疑问,现在网络安全越来越受到重视,企业都加大了安全工具的部署,网络安全网格架构是有什么特别的吗?
大东:任何人任何时间无论位于何处能够安全地访问和使用任务数字资产。和传统的基于边界的网络安全架构通过防火墙、WAF、IPS等对企业网络边界进行重重防护不同,网络安全网格架构允许身份成为安全边界。
小白:以身份为边界……感觉好像零信任网络啊?
大东:网络安全网格架构本身确实是一种零信任网络。小白看来你知道零信任网络啊,你说说零信任是啥?
小白:零信任的策略就是不相信任何人/事/物嘛,始终进行验证。东哥,网络安全网格架构是你说的先进防御吗?
二、话说防御
大东:之前检测和响应网络事件时,企业需要在十几个工具间协调,可能设备升级时也都需要不断管理和重新配置,网络安全网格架构是将原先的网络安全防御的能力进行了集成。
小白:就像是搭积木一样,通过某种规则,将每一块衔接起来。
大东:比如传统的防火墙专注防御边界,就好比通过城墙将攻击者尽可能挡在外面,传统的威胁检测就好比哨位,看到异常只会吹哨,但是攻击者一旦攻入,内部基本畅通无阻。然后网络安全网格架构还为每个终端配备了守卫,整个防御体系相对更完整。这些技术综合起来可能只能解决我努力挡住你来,我知道你来了,但是我只能想怎么防的办法,属于被动防御。
小白:那应该怎么办呢,目前的网络攻击中,勒索软件和供应链攻击事件频频出现,网络安全防御也越来越得到重视,但是防火墙也好,网络安全网格架构也好,面对攻击,最终也还是没有办法。东哥,那先进防御是不是可以解决这些问题呢?你快给我说说先进防御是怎么回事吧!
大东:先进防御呢可以通俗的这么理解,面对攻击者主动防御,譬如以逸待劳、欲擒故纵、关门捉贼!
小白:哇,36计啊。听起来感觉立马提升了一个段位,不再疲于应对,而是好整以暇,任你风起云涌,我自胸中有竹,东哥,那放在网络安全领域是怎样的呢?
大东:比如,黑客可以利用漏洞进行攻击,那我们也可以利用漏洞分析利用机理和攻击路径。
小白:还可以这样操作吗,找到攻击路径和分析出来利用机理后又什么用呢?
大东:就可以对黑客所利用的以为是脆弱的地方进行重新设计、改造,可以让其具备抑制、发现、调控、消除自身安全脆弱性造成的安全威胁的能力。
小白:哇,这是谍中谍啊,东哥你将传统防御分为了“打补丁”“打地鼠”“打苍蝇”“打疫苗”,那先进防御呢?
大东:先进防御可以先从“打埋伏”、“打游击”、“打边鼓”、“打太极”着手理解。
小白:东哥,“打埋伏”是什么原理呢。
三、大话“巴格达”(下)
1、打埋伏
“打埋伏”
大东:“打埋伏”啊,正如字面上的意思,在敌人来之前做好陷阱。
小白:不过这个陷阱怎么做呢?
大东:你想想之前在电视剧里如果想伏击一队人马,方法是什么呢?
小白:额……在月黑风高的时候藏在对方必经之路上埋伏起来,拉个绊马绳或者弄个网要不就是弄个坑,先把对方困住,然后出其不意,出奇制胜。
大东:你还记得《一年一度喜剧大赛》吗,尤其是《先生请出山》、《水煮三结义》等陷阱喜剧,以鬼魅的舞步和“陷阱”元素,看似在表演“桃园结义”和“三顾茅庐”的桥段,实则让观众在无厘头的“打岔”中频频“中计”,收获了意想不到的喜剧“笑”果。
小白:那在网络安全领域要如何使用呢?
大东:守而必固者,守其所必攻也。网络安全的“打埋伏”呢,就是基于攻击者只关注如何利用漏洞进行攻击的盲区,针对攻击者攻击的关键路径做安全增强,在原有大的基础设施中有机部署陷阱集,可使攻击者掉入陷阱中。
小白:现在有这样的防御了吗,听起来耳目一新啊。
大东:我说的这个是叫陷阱漏洞。
小白:攻击者落入陷阱了之后呢,就可以把他抓住吗?
大东:陷阱漏洞中除了部署了陷阱后,也会在系统中内置检测、溯源、拒止的安全机制,这样当攻击者落入陷阱后,可以对攻击源头进行追溯,并对攻击行为进行取证,威慑攻击者。
小白:哇,太强大了吧。这样就可以让他们在发起攻击前掂量掂量,三思而后行。
大东:没错,打埋伏就突破了传统的防御模式,变被动为主动了。
小白:打埋伏我理解了,东哥,打鼓我知道,“打边鼓”又是什么呢?
2、打边鼓
“打边鼓”
大东:鲁迅在《集外集·序言》用过这个词,他是这么说的:只因为那时诗坛寂寞,所以打打边鼓,凑些热闹。后来打边鼓也被指从旁鼓吹、协助,后来也是指从侧面行事。
小白:怎么侧面行事呢?
大东:声东击西,围魏救赵,一纸救江东,想方设法让攻击者远离真正目标。能使敌人自至者,利之也,能使敌人不得至者,害之也。
小白:你是想说如果想让攻击者转向其他目标需要其他方向有利可图,至少要让攻击者是这样认为的,然后还可以在原来的方向上进行阻碍。这让我想起来植物大战僵尸中有一种魅惑菇,可以让僵尸吃下后就会以为后面来袭的僵尸是对手,会掉头往回走。
大东:在网络安全领域,也有这样一种方式,可以使用误导、和其他技巧诱使攻击者远离合法目标,并将其引向其他诱骗系统,增加攻击者攻击的难度和成本。
小白:是什么方式呢?
大东:欺骗式防御。
小白:蜜罐吗?
大东:欺骗式防御不等同于传统的蜜罐,欺骗式防御会更关注于混淆和伪装,比如将诱骗系统伪装成真实系统的样子,放置到攻击者期望看到的网络场景和设备类型中。
小白:诱骗系统被放到攻击者期望看到的设备中,这样攻击者就会转头攻击诱骗系统了。而真正有价值的目标伪装了起来,这样通过混淆和伪装后让攻击者分不清楚真实目标,也会增加攻击难度。
大东:是,这就是孙子兵法中所说的,善守者,敌不知其所攻。能起到这种效果的如2011年业界提出的“移动目标防御”(Moving Target Defense,MTD)的概念。
小白:移动目标防御?
大东:主要包括系统随机化,网络随机化(如蜜点)等等。通过部署和运行不确定、随机的网络和系统,让攻击者无法判断真实目标。
小白:通过这种不确定、随机的设置,同样起到了迷惑的效果,那就可以让攻击者无法继续探索。
大东:但是防御要远不止这样,MTD能让你攻击者增加寻找目标的难度,但如果攻击者没有落入陷阱,也偶然间发现了真实的目标,“打埋伏”和“打边鼓”就可能会打折扣,如何才能防御呢?
小白:如果“打埋伏”和“打边鼓”失效了……东哥要怎么防御呢,你快别卖关子了!
3、打游击
“打游击”
大东:你看过铁道游击队和飞虎队的影视剧作品吗,或者是敌后武工队、地道战吗?
小白:看过,敌进我退,敌驻我扰,敌疲我打,敌退我追,变化多端,真的是太精彩了。
大东:这也是“打游击”的特点。网络安全常常被称为永无休止的猫鼠游戏,面对无时无刻不伺机而动的攻击者,“打埋伏”和“打边鼓”会对攻击进行消耗,有一定的阻碍,攻击者一般不易被发现但若是时间久了也会有暴露风险,这与他们最初的攻击目的相悖。而“打游击”的前提也是变化。
小白:我之前在网络上看到有一个黄金标准框架(Community Gold Standard,CGS)。按照逻辑,将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起。
大东:该框架主要是指导性,多样化的基础设施不只是安全能力的多样化,防御系统的基础设施也要多样化,更重要的一点还需要“致人而不致于人”。
小白:如何才能达到“致人而不致于人”呢?
大东:网络安全要发扬“两弹一星”的科研精神。
小白:我明白了,东哥,那“打太极”是什么呢?
4、打太极
“打太极”
大东:太极讲究以柔克刚,动中有静、静中有动、虚中有实、实中有虚、刚中有柔、柔中有刚。面对未知的网络安全风险与挑战,没有一种防御方法可以一劳永逸地抵挡所有攻击。
小白:的确,没有完美的攻击,也没有一劳永逸的防守,攻防也是魔道相长的过程。
大东:我们常说,网络安全是一个伴生领域,随着计算机技术、人工智能的发展,攻击手段层出不穷,防御技术也会不断革新。未来更多的是以未知应对未知的新型攻防博弈。
小白:每每听闻勒索软件,供应链攻击事件,着实会感觉害怕。面对与日俱增五花八门的攻击,我们既要做好严阵以待的准备,也要有能让攻击者无法攻破的力量和方法。
大东:孙子兵法中说:善守者藏于九地之下。
小白:这是要隐藏自己,迷惑攻击者吗?
大东:通过隐藏自己,增加攻击的阻力,使其迷失攻击方向,消耗攻击力量,从而降低攻击者的投入产出比。同时防御也应考虑“无恃其不来,恃吾有以待也;无恃其不攻,恃吾有所不可攻也”的目标。
小白:意思是我们的目标是依靠自己的强大的实力让敌人不敢攻击,对其产生威慑?
大东:是的,通过进行主动性的防御对攻击者进行威慑。
四、小白内心说
小白:东哥,听完你说完八个打,其实我发现八个打不是一种分类方法,可能很多概念也没有囊括其中。
大东:兵无常势,水无常形,因敌变化而取胜者,谓之神。网络攻击方法不是一成不变,网络防御也是与日俱新,是在不断探索中发展的,八个打是从科学发展的视角,试图从科普大众的出发点阐述并提出目前的网络安全分类及未来演进趋势,让读者更好地理解网络安全。
小白:我明白了,尽管现在是“八个打”,但是只有这种科普的概括,才能够达到抛砖引玉的目的,才能更好地促进网络安全学科的发展。
大东:你说得没错,推荐你读读瓦萨里《艺苑名人传》。
小白:东哥,听完你说的八个打,我突然有了想法,我想出了网络不要“五个打”。
大东:哪“五个打”呢?
小白:“打吊瓶”、“打饱嗝”、“打酱油”、“打喷嚏”、“打呼噜”。
大东:倒是可以考虑出个番外讨论一下了,哈哈。
参考链接:
1. 什么是网络安全网格?mp.weixin.qq/s/7D4x9Jwekjg7Nlv2KhQUMQ
2. 美国网络安全体系架构简介mp.weixin.qq/s/nja_ElwI5j3IL5aaEZ3Meg
3. 美国网络安全体系架构
mp.weixin.qq/s/PfSZ23T1MCDoTX7u7Yt8HA
4. 欺骗性防御的七种战术
mp.weixin.qq/s/tvxCuV8SwtUkn_YMmUciMA
5. 初识“零信任安全网络架构”
mp.weixin.qq/s/pEPBW_7u7ktYqP7W15qLQQ
6. 基于威胁的网络安全动态防御研究
mp.weixin.qq/s/ujQWL4zA8jBMuIaJRjHvgA
7. 网络空间安全主动防御技术概述
secrss/articles/14912#:~:text=动态赋能网络空间,局赋能的新活力。
8. 天罗地网、以柔克刚!ShockTrap:部署陷阱,网络拌线,主动防御mp.weixin.qq/s/BcxJXjOSnp6FnN9hpK1jhw
9. 美军网络战“七种武器系统” (五):陆军持续网络训练环境 (PCTE)
secrss/articles/18754
10. 太极如水,有形,有法,有韵
mp.weixin.qq/s/y-RXWJ1Tsr-sgBOHUSx9Jg
来源:中国科学院信息工程研究所
,
