新闻动态

蔷薇灵动就是自适应微隔离

资讯分类
您现在的位置:
首页
/
/
/
道高一丈—像防守者一样思考

道高一丈—像防守者一样思考

  • 分类:观点
  • 作者:
  • 来源:
  • 发布时间:2019-09-06 14:34
  • 访问量:

【概要描述】微隔离的价值就在于能够最大程度减少攻击面 前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!

道高一丈—像防守者一样思考

【概要描述】微隔离的价值就在于能够最大程度减少攻击面
前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!

  • 分类:观点
  • 作者:
  • 来源:
  • 发布时间:2019-09-06 14:34
  • 访问量:
详情
道高还是魔高?    
 

一直以来,究竟是“道高一尺魔高一丈”,还是“魔高一尺道高一丈”是有争论的,很多人从理想主义出发,会说“魔高一尺道高一丈”,寄希望于正义必将战胜邪恶。但很可惜,这不是实际情况,实际情况恰恰和这句话的原始版本一样,是“道高一尺,魔高一丈”,至少在网络安全领域完全如此。更有意思的是,就连这句话背后所揭露的形成机制都是一样的。

“道高一尺,魔高一丈”语出《西游记》:

 道高一尺魔高丈,

 性乱情昏错认家。

 可恨法身无坐位,

 当时行动念头差。

 

 
为啥魔高一丈?因为“法身无座位”,你这个修行是建立在梦幻泡影一般的根尘世界上的,你都是被外境牵着走,所以,你学的越多其实错的越多。你走的越远就离真相越远,永远在轮回里兜兜转转,这就很悲哀了。
不幸的是,我们现在做网络安全恰恰就是这么个思路。不知攻焉知防的论点被提出来以后成为了一种主流的思维方式,大家都在研究攻击的方法,研究如何发现恶意的行为和代码,从APT到威胁情报,从EDR到ATT&CK都是在研究如何发现攻击,如何识别攻击。然而这种思维方式从根本上讲就是一种被攻击者牵着鼻子走的方式!攻击的方法千变万化,而跟随的脚步则显得缓慢而沉重。在这种思维模式下,防御者永远处于落后的位置,永远处于被动的位置,永远没有可能获得对抗中的主动权。能被防御者所识别的攻击永远只能是冰山一角。 
在这种模式下,我们又如何能说道高呢,肯定是魔高呀。要想夺回对抗中的主动权,就必须跳出这种以攻击者为主导的思维方式,我们要学会向防守者一样去思考。

 

 

 
像防守者一样思考    

 

防守者如何思考呢?我们不说那些高深莫测的理论,我们只提三个字——“攻击面”,你能把这三个字弄明白,就把握了战场上的主动权。

啥叫攻击面呢?攻击面就是资产上可以被利用的攻击目标。比如古希腊神话中的英雄阿喀琉斯很厉害,全身刀枪不入,就是脚后跟比较脆弱,最后在特洛伊战争中被一箭射中脚后跟——死了(不太理解编这个故事的人是咋想的)。这就是有名的“阿喀琉斯之踵”,脚后跟就是阿喀琉斯唯一的攻击面,这个比我们普通人强多了,我们全身哪哪都是攻击面,人家就脚后跟是攻击面,很难被攻击到,所以要比绝大多数人安全得多。
 
防守者的思维方式概要地说,就是尽可能的下降所有被保护的资产的攻击面!大家注意,这是一个可量化的指标,可度量的指标,一个指标可以被度量,就意味着可以管理,可以被优化。所有管理者最喜欢的就是能被量化的东西。
作为一个网络安全产品供应商,我经常被问到一个问题,就是我买了你的产品,我就安全了么?一般来说,听到这个问题,我心里就凉了半截,倒不是说回答不了这个问题,而是我已经知道坐在我对面的是个外行了(真的,这个问题是分辨外行的有效指标)。安全是没有所谓“银弹”的,没有任何产品可以说我是绝对安全的,没有任何厂商敢说买了我的产品你就安全了(要是这么说,证明这卖产品的也是个外行)。那么要如何来说明一个安全产品的价值呢?“攻击面”是个非常好的角度,通过下降攻击面,系统会变得比过去更加安全,也只有通过下降攻击面,才会让系统更加安全,记住这个关键点:只有下降攻击面,才会让系统更加安全!
你看现在铺天盖地的态势感知呀,APT呀,威胁情报呀,蜜罐呀啥的,作为防守者,你要知道,在你做好攻击面管理之前,他们带来的那点安全提升,微不足道。就好比一栋人来人往的大楼,即使到处都装上摄像头,也不会让这座大楼更加安全,你首先要做的是为每个房间装上防盗门!

 

 

下降攻击面的三个步骤    

 

那么问题来了,要如何能够下降系统的攻击面呢?步骤也非常简单,就三件事,

1) 摸清资产

2) 下降资产可见性

3) 治理已知的漏洞

这样列个表出来显得专业多了是吧,其实就是从关于攻击面的定义推导出来的必然动作。因为攻击面就是资产上可以被利用的攻击目标,所以要下降攻击面,当然是先摸清楚资产信息,如果连自己有什么资产都不清楚,就更别提对这些资产进行保护了。然后要做的事情就是下降资产可见性,这个也很好理解,如果资产都不可见,显然也就无从进行攻击了,当然,资产的存在是为了进行业务处理,它必然要接入网络,必然要有一定的可见性,但我们可以尽量的下降它的可见性,也就是让尽量少的“人”能看见它,这样就使得尽量少的机会可以攻击到它。即使是必须要有可见性,也要把这个可见性再尽量的控制在必须开放的服务上,也就是说,你只可以访问你必须访问的那个服务,其他的服务(端口)你仍然没有可见性。这样一来,系统就要比过去安全的多。然而,我们还可以再进一步的下降攻击面。对于那些必须开放的服务,我们应该去治理这些服务上存在的已知漏洞,这样一来,虽然有网络上的可见性,但由于缺少可被利用的漏洞,也就无法利用这种可见性来进行攻击,我们就进一步的下降了这个系统的攻击面。

通过这么几步走下来,你的系统可谓固若金汤了,当然它仍然不是绝对安全的,但确实比过去要安全的多,你可以想像,一个黑客通过某种方式拿到一台主机后,举目四望,发现竟然根本看不到几台他能访问的机器,这得有多失望,然后就这几台机器,他也只能访问有限的几个服务,而这些服务上又没有可以被利用的漏洞,这得有多茫然。就算是他运气极好,恰恰他可以访问的资产上存在一个可以被利用的0day,恰恰这个0day就在他可以访问的服务上,而恰恰这个0day的攻击工具被他掌握了,然后他就又多拿下一台机器,再然后呢?他发现他还是只能看见有限的几台机器,有限的几个服务,然后他又得指望运气了。如此的步履维艰,意味着极高的攻击成本,而一旦攻击成本超过了攻击收益,这个黑客就会选择放弃!这就是通过攻击面管理来对抗网络攻击的理论。 

 

 

 
微隔离的价值就在于能够最大程度减少攻击面    

前面讲的理论很美好,那么如果一个管理者,想要实践这种以我为主的安全思路,他主要会面临什么挑战呢?我们说主要的挑战来自于来自于两个方面,一个是业务规模,一个是控制点。大家首先可以设想一下,在一个几百台服务器,几千台服务器,甚至上万台服务器的场景中,要确定每一个系统的最小的网络可见性是怎样的将会有多么困难。而随着云计算和容器技术的发展,数据中心的规模却在飞速膨胀,让本来就困难的问题变得更加困难。另一个问题是控制点,无论如何,你如果要控制网络访问,你都需要一个具体的控制点。随着数据中心规模的膨胀,以及我们管理粒度的精细化,一定会导致控制点总量的急剧增加,而这势必对控制点的成本(购买成本,部署成本,运维成本)产生严格的要求,在这种情况下,过去那些很重的控制点(比如防火墙)就很不合适了。就是在这种背景下,微隔离技术诞生了!

微隔离的历史使命,就是对超大型云计算环境进行东西向网络的白名单管理,从而最大限度的下降云计算系统的攻击面!
 

微隔离白名单管理

 

微隔离的基础能力是对网络业务关系进行学习,从而绘制出“业务拓扑”,为啥要学习这个呢,因为业务拓扑就是东西向的最小“可见性”!想让我们的系统更加安全,就一定要尽量的下降其可见性,那么怎样算是最小的可见性呢,其实就是业务需求。如果业务要求两个系统要进行通信,那么我们就允许他们相互访问,如果业务上没有需求,就应该没有可见性。所以,要有效的下降系统攻击面,首先就要能够拿出来系统的业务拓扑,没有这个东西,你是不可能配制出恰当的安全策略来下降攻击面的。有了业务拓扑,微隔离要做的另一件事就是基于这个拓扑生成访问控制策略,从而严格的限制每一个系统的网络访问,也就是所谓的东西向网络白名单管理。
因为微隔离的控制点在每台虚拟机上,所以我们可以把策略配到最细,可以严格定义出任意两台虚机之间的访问策略(事实上我们可以做到进程级)。而同时,因为我们利用的是操作系统自身的防火墙功能模块,基本上不会带来额外的计算开销,也就是说我们的控制点的成本是极低的,这样就使得微隔离方案的执行有了更大的可行性,毕竟只有真正能落地的方案才是好方案。通过这样的白名单管理,微隔离可以使整个云平台的总体攻击面得到极大的下降,而更关键的是,我们做这件事情是完全从自身出发进行的,是完全独立自主可以完成的,只是通过业务分析与策略配置就可以使云平台比过去要安全得多!直到此时,我们才可以自信的说一句,我的地盘我做主,魔高一尺,道高一丈!
关键词:

北京蔷薇灵动科技有限公司

北京市昌平区回龙观东大街首开广场3层309

北京蔷薇灵动科技有限公司

版权所有:Copyright 2018 北京蔷薇灵动科技有限公司    京ICP备18016518号-1  北京蔷薇灵动科技有限公司 京公网安备 11011402013412号 

版权所有:Copyright 2018 北京蔷薇灵动科技有限公司

Dunarose