自適應安全：知己重於知彼

時間 2020-12-10

原文原文鏈接

「善攻者，敵不知其所守；善守者，敵不知其所攻。」——《孫子･虛實篇》數據庫

在網絡安全的***對抗中，***者每每佔據主動地位，***者能夠選擇有利時機，採用各類技術或社交欺騙戰術，掩蓋本身的***行爲、過程和目標，作到瞞天過海，趁火打劫；而防守者則千方百計完善本身的防禦體系，力圖作到滴水不漏……安全

然而現實倒是，在互聯網和數字經濟的浪潮下，業務數字化也在迅速發展，企業業務愈來愈複雜、多變，網絡環境愈來愈開放、高效，且變化極快，數字資產成爲了企業的核心資產……這一切都給企業安全帶來了新的難題。例如：物理世界和虛擬世界之間的打通，線上和線下的界限的消失；固定的防護邊界難以保持，企業面臨各類利益驅動、蓄謀已久的***，於是難以防禦；且***直接針對核心資產，風險巨大；而對工業控制系統，物聯網的***和侵害，則不只僅針對數字資產，而是能夠直接做用到物理空間，對物理世界甚至人身造形成傷害……服務器

在這種形勢下，企業傳統的基於可信邊界的安全防禦模式遇到愈來愈大的挑戰：網絡

一、邊界防火牆/IPS沒法提供數據中心內部的安全保護，並缺少企業內部「東-西」向的安全防禦功能。***者使用以誘騙方式（如：釣魚郵件，魚叉***，水坑***）越過企業邊界防禦，之內部安全薄弱的終端設備爲跳板，橫向移動，惡意軟件能夠經過內部網絡快速感染其餘主機，從內部非關鍵資產蔓延至企業關鍵資產（如，重要的服務器），致使嚴重安全損害。架構

二、因爲業務敏捷性需求，企業數據中心加速向「服務交付」遷移，新業務經過預製備模板快速上線，虛擬機實時遷移，IP地址頻繁改變，批量虛擬機按需隨時開啓等，基礎設施的快速變化，致使安全策略沒法適應安全需求的變化，使基於靜態的安全保護方式沒法知足「數字時代」數據中心的敏捷性要求。框架

三、企業對雲架構的需求，快速向混合雲，多雲架構遷移，在物理機、虛擬機、私有云、公有云共存的狀態下何實現統一安全管理也是企業面臨的重大挑戰。運維

顯然，在這樣的狀況下，僅僅依靠防火牆、***檢測、防病毒、WAF等單一的網絡安全防禦技術，已不能知足企業安全防禦的需求；畫地爲牢式的網絡安全體系，已經不能適應新型安全威脅的***，如：APT***，勒索病毒，未知威脅等。機器學習

窮則變，變則通。原有的基於可信邊界的PDR安全模型已經不能知足當前安全威脅，數字化轉型的要求，自適應安全架構應運而出。ide

自適應安全架構，是2014年Gartner針對高級別***和當時市場上的安全產品偏重防護和邊界的問題，設計了一套安全架構，讓人們從防護和應急響應的思路中解放出來，增強相應的監測和響應能力，以及持續的監控和分析，同時也引入了安全預警能力。2016年，自適應安全架構在全球範圍內獲得了普遍承認，在2016年的十大科技趨勢中，自適應安全架構首次名列其中。這段時間就是自適應安全架構1.0時期。工具

2017年，Gartner自適應安全架構有了三點變化：加入了UEBA（用戶和實體行爲分析）相關內容，引入了大循環中的小循環體系，加入了合規和策略要求；自適應安全架構進入2.0時期。

2017年9月，Gartner頒佈持續自適應風險與信任框架（CARTA），加入了認證體系；自適應安全架構今後進入3.0時期。

從這些發展過程能夠看出，這四年來，自適應安全架構不斷擴展內涵和外延，表現出了極大的生命力，不管是對安全建設方仍是對安全廠商，都有很大的參考價值。安全建設方能夠按此架構對整個組織的安全情況進行梳理，構建安全建設方案，儘可能選擇覆蓋自適應能力更全的廠商來改善安全態勢，而安全廠商能夠根據此架構來規劃功能和產品，不斷加強和加深自適應的各項安全要求。

傳統安全的核心思想是防護和控制，就像是建設一座城牆，但願把***者阻擋在城牆外面，可是「你有張良計，我有過牆梯」，客戶投入大量人力、物力建設的「萬里長城」，在APT***眼裏可能只是一道矮矮的籬笆牆。並且，在數字化時代，企業的業務要具有「敏捷性」——快速、靈活、彈性化是敏捷性的最根本的要求，與傳統安全理念講究的控制與防禦是矛盾的，咱們常常遇到的「安全不利於業務拓展，安全不利於生產效率」等說法就是這種矛盾的體現。自適應安全架構提出來的就是如何在保證安全的基礎上，讓企業擁抱數字商業機會：

一、持續高效的檢測和響應是自適應安全架構的基礎。

二、UEBA加入到自適應安全架構，安全從側重威脅研究，加入了以「人和實體（終端，服務器設備等）」爲中心的行爲研究。

三、突出企業資產保護，進一步從與***防禦相關的威脅檢測和響應，到企業資產（數據，業務運營，安全運營）保護相關的檢測和響應。

「無恃其不來，恃吾有以待之；無恃其不攻，恃吾有所不可攻也。」——《孫子･九變篇》

不管是洛克希德･馬丁公司的KillChain，仍是MITER的ATT&CK，都是一種從***者的角度來解析在***企業網絡時所採用的策略、戰術和技術。可是，對***者的瞭解和研究每每是滯後一步的，著名的勒索病毒，震網病毒都是在過後被研究、分析的。從必定意義上講，對於***者的研究是踩着陣亡者的屍體一步一步走來的，代價巨大。

若是能在準確刻畫企業業務系統運轉過程當中的各類要素，以及它們之間的聯繫，生成不少體現業務運營的內在特徵指標，而且對這些指標進行持續的監控和分析，那麼不管***者使用了什麼漏洞、工具和方法，都會引發這些指標的變化，從而被檢測出來。這時企業的安全就再也不依賴於對手，而是取決於對本身業務的認知。這也是Gartner將自適應架構引入UEBA，以及把資產做爲防禦內環的重要因素之一。

全息風險勢態感知系統（Onfire）被Gartner定義爲「UEBA Driven DCAP「——從字面上理解，就是UEBA驅動的以數據爲中心的審計和保護，這個定義體現Onfire的2個特性，一是，以保護企業數據爲核心；二是，經過UEBA技術實現對數據的審計和保護。

Onfire經過對網絡流量的長期持續採集，從網絡原始數據（Meta Data）中，按照時間序列提取「用戶，設備，應用，數據」四個維度的信息，實現對業務系統的刻畫：

用戶維度：Onfire採用用戶帳號信息（包括：郵件帳號，HTTP登陸帳號，RADIUS登陸帳號）做爲用戶標識。Onfire也能夠和企業LDAP集成獲取用戶帳號信息，或者採用人工導入方式，導入「IP地址——用戶名」對應關係，以此創建業務系統「用戶」維度的信息。

設備維度：Onfire數據採集器（HoloFlow）能夠採用多種方式獲取用戶使用的設備的MAC地址（例如：DHCP Snooping方式，SNMP或者ARP查詢方式等），採用MAC地址做爲用戶使用的終端設備的標識。

應用維度：Onfire經過對協議解碼，獲取網絡會話所使用的應用層協議，根據內置的應用服務數據庫，標識用戶所訪問的應用。如：Web網站，郵件收發，雲盤，音視頻，IM等。

文件維度：Onfire系統能夠還原採集器獲取的網絡流量中的文檔文件（如：Word，Excel，PPT，PDF等），例如：郵件附件，HTTP，FTP，SMB上傳/下載的文件，對文件內容進行掃描，並根據預約義的敏感信息規則判斷文件的敏感級別，爲不一樣敏感級別的文件打標籤。以此構建客戶業務系統數據維度的信息。

Onfire對上述4個維度進行畫像，並將相關的4個維度信息關聯，構建以用戶和設備爲基點的業務系統畫像，造成對用戶的全息立體刻畫，刻畫網絡中抽象的IP所對應用戶和設備，並刻畫用戶和實體（設備）經過網絡訪問應用的行爲，以及傳輸文件的行爲。

Onfire的全息立體刻畫，能夠支持任意維度的數據挖掘和追溯，如：從可疑應用維度追溯用戶維度、設備維度、文件維度的行爲；從敏感文件追溯用戶維度、設備維度、應用維度等；或者從可疑用戶維度追溯文件維度，應用維度；在「刻畫」的基礎上，利用UEBA，經過機器學習的方式「捕獲」異常的用戶和設備，從而定位威脅，即，經過對用戶和實體的行爲的刻畫，以時間軸爲基準，採用機器學習技術，對用戶和設備行爲創建基線，實現多個場景的異常行爲發現和告警。最終在***者獲取數據以前阻止***。

全息網禦科技有限公司從2018年正式進入公司化運營以來，在電信運營商，金融，能源，製造等行業推動以Onfire爲核心的安全風險勢態感知系統，在數據資產追溯，企業敏感信息合規審計，企業行爲審計，高風險應用審計等領域爲用戶帶來了切實的收益。

關於全息網禦：全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智能），發現並實時重構網絡中不可見的」用戶-設備-數據」互動關係，推出以用戶行爲爲核心的信息安全風險感知平臺，爲企業的信息安全管理提供無感知、無死角的智能追溯系統，高效精準的審計過去、監控如今、防患將來，極大提升IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率