新闻动态

观点

活动

专栏

首页

道高一丈—像防守者一样思考

发布时间：

2019-09-06 14:34

来源：

作者：

访问量：

微隔离的价值就在于能够最大程度减少攻击面前面讲的理论很美好，那么如果一个管理者，想要实践这种以我为主的安全思路，他主要会面临什么挑战呢？我们说主要的挑战来自于来自于两个方面，一个是业务规模，一个是控制点。大家首先可以设想一下，在一个几百台服务器，几千台服务器，甚至上万台服务器的场景中，要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展，数据中心的规模却在飞速膨胀，让本来就困难的问题变得更加困难。另一个问题是控制点，无论如何，你如果要控制网络访问，你都需要一个具体的控制点。随着数据中心规模的膨胀，以及我们管理粒度的精细化，一定会导致控制点总量的急剧增加，而这势必对控制点的成本（购买成本，部署成本，运维成本）产生严格的要求，在这种情况下，过去那些很重的控制点（比如防火墙）就很不合适了。就是在这种背景下，微隔离技术诞生了！

道高还是魔高？

一直以来，究竟是“道高一尺魔高一丈”，还是“魔高一尺道高一丈”是有争论的，很多人从理想主义出发，会说“魔高一尺道高一丈”，寄希望于正义必将战胜邪恶。但很可惜，这不是实际情况，实际情况恰恰和这句话的原始版本一样，是“道高一尺，魔高一丈”，至少在网络安全领域完全如此。更有意思的是，就连这句话背后所揭露的形成机制都是一样的。

“道高一尺，魔高一丈”语出《西游记》：

道高一尺魔高丈，

性乱情昏错认家。

可恨法身无坐位，

当时行动念头差。

为啥魔高一丈？因为“法身无座位”，你这个修行是建立在梦幻泡影一般的根尘世界上的，你都是被外境牵着走，所以，你学的越多其实错的越多。你走的越远就离真相越远，永远在轮回里兜兜转转，这就很悲哀了。

不幸的是，我们现在做网络安全恰恰就是这么个思路。“不知攻焉知防”的论点被提出来以后成为了一种主流的思维方式，大家都在研究攻击的方法，研究如何发现恶意的行为和代码，从APT到威胁情报,从EDR到ATT&CK都是在研究如何发现攻击，如何识别攻击。然而这种思维方式从根本上讲就是一种被攻击者牵着鼻子走的方式！攻击的方法千变万化，而跟随的脚步则显得缓慢而沉重。在这种思维模式下，防御者永远处于落后的位置，永远处于被动的位置，永远没有可能获得对抗中的主动权。能被防御者所识别的攻击永远只能是冰山一角。

在这种模式下，我们又如何能说道高呢，肯定是魔高呀。要想夺回对抗中的主动权，就必须跳出这种以攻击者为主导的思维方式，我们要学会向防守者一样去思考。

像防守者一样思考

防守者如何思考呢？我们不说那些高深莫测的理论，我们只提三个字——“攻击面”，你能把这三个字弄明白，就把握了战场上的主动权。

啥叫攻击面呢？攻击面就是资产上可以被利用的攻击目标。比如古希腊神话中的英雄阿喀琉斯很厉害，全身刀枪不入，就是脚后跟比较脆弱，最后在特洛伊战争中被一箭射中脚后跟——死了（不太理解编这个故事的人是咋想的）。这就是有名的“阿喀琉斯之踵”，脚后跟就是阿喀琉斯唯一的攻击面，这个比我们普通人强多了，我们全身哪哪都是攻击面，人家就脚后跟是攻击面，很难被攻击到，所以要比绝大多数人安全得多。

防守者的思维方式概要地说，就是尽可能的下降所有被保护的资产的攻击面！大家注意，这是一个可量化的指标，可度量的指标，一个指标可以被度量，就意味着可以管理，可以被优化。所有管理者最喜欢的就是能被量化的东西。

作为一个网络安全产品供应商，我经常被问到一个问题，就是我买了你的产品，我就安全了么？一般来说，听到这个问题，我心里就凉了半截，倒不是说回答不了这个问题，而是我已经知道坐在我对面的是个外行了（真的，这个问题是分辨外行的有效指标）。安全是没有所谓“银弹”的，没有任何产品可以说我是绝对安全的，没有任何厂商敢说买了我的产品你就安全了（要是这么说，证明这卖产品的也是个外行）。那么要如何来说明一个安全产品的价值呢？“攻击面”是个非常好的角度，通过下降攻击面，系统会变得比过去更加安全，也只有通过下降攻击面，才会让系统更加安全，记住这个关键点：只有下降攻击面，才会让系统更加安全！

你看现在铺天盖地的态势感知呀，APT呀，威胁情报呀，蜜罐呀啥的，作为防守者，你要知道，在你做好攻击面管理之前，他们带来的那点安全提升，微不足道。就好比一栋人来人往的大楼，即使到处都装上摄像头，也不会让这座大楼更加安全，你首先要做的是为每个房间装上防盗门！

下降攻击面的三个步骤

那么问题来了，要如何能够下降系统的攻击面呢？步骤也非常简单，就三件事，

1) 摸清资产

2) 下降资产可见性

3) 治理已知的漏洞

这样列个表出来显得专业多了是吧，其实就是从关于攻击面的定义推导出来的必然动作。因为攻击面就是资产上可以被利用的攻击目标，所以要下降攻击面，当然是先摸清楚资产信息，如果连自己有什么资产都不清楚，就更别提对这些资产进行保护了。然后要做的事情就是下降资产可见性，这个也很好理解，如果资产都不可见，显然也就无从进行攻击了，当然，资产的存在是为了进行业务处理，它必然要接入网络，必然要有一定的可见性，但我们可以尽量的下降它的可见性，也就是让尽量少的“人”能看见它，这样就使得尽量少的机会可以攻击到它。即使是必须要有可见性，也要把这个可见性再尽量的控制在必须开放的服务上，也就是说，你只可以访问你必须访问的那个服务，其他的服务（端口）你仍然没有可见性。这样一来，系统就要比过去安全的多。然而，我们还可以再进一步的下降攻击面。对于那些必须开放的服务，我们应该去治理这些服务上存在的已知漏洞，这样一来，虽然有网络上的可见性，但由于缺少可被利用的漏洞，也就无法利用这种可见性来进行攻击，我们就进一步的下降了这个系统的攻击面。

通过这么几步走下来，你的系统可谓固若金汤了，当然它仍然不是绝对安全的，但确实比过去要安全的多，你可以想像，一个黑客通过某种方式拿到一台主机后，举目四望，发现竟然根本看不到几台他能访问的机器，这得有多失望，然后就这几台机器，他也只能访问有限的几个服务，而这些服务上又没有可以被利用的漏洞，这得有多茫然。就算是他运气极好，恰恰他可以访问的资产上存在一个可以被利用的0day，恰恰这个0day就在他可以访问的服务上，而恰恰这个0day的攻击工具被他掌握了，然后他就又多拿下一台机器，再然后呢？他发现他还是只能看见有限的几台机器，有限的几个服务，然后他又得指望运气了。如此的步履维艰，意味着极高的攻击成本，而一旦攻击成本超过了攻击收益，这个黑客就会选择放弃！这就是通过攻击面管理来对抗网络攻击的理论。

微隔离的价值就在于能够最大程度减少攻击面

前面讲的理论很美好，那么如果一个管理者，想要实践这种以我为主的安全思路，他主要会面临什么挑战呢？我们说主要的挑战来自于来自于两个方面，一个是业务规模，一个是控制点。大家首先可以设想一下，在一个几百台服务器，几千台服务器，甚至上万台服务器的场景中，要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展，数据中心的规模却在飞速膨胀，让本来就困难的问题变得更加困难。另一个问题是控制点，无论如何，你如果要控制网络访问，你都需要一个具体的控制点。随着数据中心规模的膨胀，以及我们管理粒度的精细化，一定会导致控制点总量的急剧增加，而这势必对控制点的成本（购买成本，部署成本，运维成本）产生严格的要求，在这种情况下，过去那些很重的控制点（比如防火墙）就很不合适了。就是在这种背景下，微隔离技术诞生了！

微隔离的历史使命，就是对超大型云计算环境进行东西向网络的白名单管理，从而最大限度的下降云计算系统的攻击面！

微隔离白名单管理

微隔离的基础能力是对网络业务关系进行学习，从而绘制出“业务拓扑”，为啥要学习这个呢，因为业务拓扑就是东西向的最小“可见性”！想让我们的系统更加安全，就一定要尽量的下降其可见性，那么怎样算是最小的可见性呢，其实就是业务需求。如果业务要求两个系统要进行通信，那么我们就允许他们相互访问，如果业务上没有需求，就应该没有可见性。所以，要有效的下降系统攻击面，首先就要能够拿出来系统的业务拓扑，没有这个东西，你是不可能配制出恰当的安全策略来下降攻击面的。有了业务拓扑，微隔离要做的另一件事就是基于这个拓扑生成访问控制策略，从而严格的限制每一个系统的网络访问，也就是所谓的东西向网络白名单管理。

因为微隔离的控制点在每台虚拟机上，所以我们可以把策略配到最细，可以严格定义出任意两台虚机之间的访问策略（事实上我们可以做到进程级）。而同时，因为我们利用的是操作系统自身的防火墙功能模块，基本上不会带来额外的计算开销，也就是说我们的控制点的成本是极低的，这样就使得微隔离方案的执行有了更大的可行性，毕竟只有真正能落地的方案才是好方案。通过这样的白名单管理，微隔离可以使整个云平台的总体攻击面得到极大的下降，而更关键的是，我们做这件事情是完全从自身出发进行的，是完全独立自主可以完成的，只是通过业务分析与策略配置就可以使云平台比过去要安全得多！直到此时，我们才可以自信的说一句，我的地盘我做主，魔高一尺，道高一丈！

微隔离,攻击面

marketing@dynarose.com

京ICP备10002622号-38

京公网安备 11011402013412号

申请测试

400-069-8066

道高一丈—像防守者一样思考

Dunarose