隨著越來越多的信息通過云端傳遞,對于安全的關注點也從原來的端點安全,轉移到了交付的應用程序、數(shù)據(jù)安全和用戶體驗上。
作為一家有線和無線領域領先的高科技公司,Aruba表面上看起來是一家網(wǎng)絡基礎設施廠商,但是安全其實一直是它的魂魄。Aruba從創(chuàng)立之初就很重視安全,其許多產(chǎn)品和解決方案都是圍繞安全這個核心來展開的。
云安全技術趨勢下的發(fā)展戰(zhàn)略
傳統(tǒng)的安全架構和技術仍然是必需的,它能夠很好的控制連接和訪問,對網(wǎng)絡邊界進行有效的防護,并且能夠阻止“已知”攻擊。但它們所依賴的一些假設和條件已經(jīng)不再普遍適用。
隨著智能終端和物聯(lián)網(wǎng)應用的普及,用戶的移動性越來越強,因此網(wǎng)絡的邊界越來越模糊;同時,現(xiàn)在的應用和管理的發(fā)展趨勢趨于云端化。
隨著越來越多的信息通過云端傳遞,對于安全的關注點也從原來的端點安全,轉移到了交付的應用程序、數(shù)據(jù)安全和用戶體驗上。這種焦點的轉移,也讓業(yè)界面臨著更多的問題,網(wǎng)絡廠商既要保證數(shù)據(jù)安全,并提供良好的用戶體驗,同時又要使信息保持完整性和開放性。
最后,現(xiàn)在的攻擊行為的發(fā)起點往往是在企業(yè)內(nèi)部,因此云應用服務商很難區(qū)分哪些是正常的用戶行為,哪些是惡意的用戶行為。就此,Aruba中國區(qū)總裁謝建國發(fā)表了一些看法。他認為,未來云安全的發(fā)展趨勢包含如下幾個部分:
第一為“開放性”。傳統(tǒng)的安全技術都是一個個倉桶式的解決方案,這些安全倉桶之間缺乏一種有效的聯(lián)動機制,造成其很難應對目前和將來的攻擊行為。
比如,一臺防火墻阻斷了一個非法訪問或者是某種已知攻擊行為,但是它無法與網(wǎng)絡基礎設施進行聯(lián)動,這將造成兩個問題:其一,無法快速定位問題終端,因為防火墻只能看到攻擊者的源IP,但是無法確切知道攻擊者的身份、終端類型等信息;其二,不能形成安全閉環(huán),無法通知網(wǎng)絡基礎設施將問題終端隔離,因此攻擊者會一直連在網(wǎng)絡上,嘗試第二次、第三次攻擊。
所以,Aruba希望未來的安全解決方案能夠建立一種開放和標準的生態(tài)環(huán)境,并且身體力行。目前,Aruba已與全球100多家廠商共同建立了生態(tài)環(huán)境,這些廠商包括傳統(tǒng)安全廠商、終端管理廠商(MDM)、SIEM廠商和網(wǎng)絡基礎廠商等。Aruba與這些合作伙伴進行信息互享,同時也能互相進行安全聯(lián)動,從而形成安全閉環(huán)。
第二是大數(shù)據(jù)分析和機器學習技術的應用。傳統(tǒng)的安全技術是一種被動模式,在這種模式下,安全管理員只能努力維持現(xiàn)狀,只能對已知攻擊做出響應。并且,當問題發(fā)生時,傳統(tǒng)的安全系統(tǒng)告警并不足夠智能,總結起來,原因包括以下幾點:首先,需要大量的手工工作來清除日志噪聲;然后,確定需要處理的真實和最關鍵的目標;最后,采取幾個步驟將不同的數(shù)據(jù)關聯(lián)起來,再診斷根本原因—這需要花費數(shù)小時甚至數(shù)天的時間來理解和修復安全問題。
2018年的安全分析報告顯示,目前87%的終端劫持攻擊行為,只需耗時數(shù)分鐘甚至更少,而68%的被劫持終端需要等到數(shù)月甚至更長才能被發(fā)現(xiàn)。因此,未來的安全管理模式會從以事件為驅(qū)動的模式向以大數(shù)據(jù)分析為驅(qū)動的模式進行轉移,在這個新的模式中可以實現(xiàn)自動化的安全閉環(huán)。
在這個新的模式中,大數(shù)據(jù)分析和機器學習技術是關鍵。通過大數(shù)據(jù)分析和機器學習,我們能夠主動跟蹤用戶行為,識別異常,同時以網(wǎng)絡實體為中心自動關聯(lián)相關信息,最后可以與網(wǎng)絡基礎設施、安全設備形成自動的安全閉環(huán)。
目前,Aruba已經(jīng)在全線產(chǎn)品中引入大數(shù)據(jù)分析和機器學習技術,其中Introspect產(chǎn)品能對異常的用戶實體行為進行探測,更加智能。
第三,數(shù)據(jù)采集在很長一段時間內(nèi)仍然需要下沉到網(wǎng)絡邊緣。Aruba認為,在各種云端應用還沒有完全打通之前,數(shù)據(jù)采集仍然需要下沉到網(wǎng)絡邊緣。
比如,一個用戶半夜在office365突然下載了大量的公司文檔,而作為office365的服務提供商無法判斷這到底是一種正常行為還是一種有風險的信息泄露問題。因為,他們除了自身的數(shù)據(jù)以外,無法關聯(lián)這個用戶其它相關的實體信息,因此也就無法對這個行為進行有效的分析。
如果將數(shù)據(jù)采集下沉到網(wǎng)絡邊緣,便可以通過SIEM平臺、認證服務器、網(wǎng)絡基礎設施采集用戶的相關信息,并將這些信息送往大數(shù)據(jù)分析和機器學習分析平臺,由此平臺來進行智能的數(shù)據(jù)關聯(lián)、識別異常行為。
比如通過采集DNS數(shù)據(jù)來判斷此用戶是否有DGA異常行為,通過采集網(wǎng)絡基礎設施數(shù)據(jù)來判斷是否有外部鏈接到這臺終端,也可以通過采集郵件服務器數(shù)據(jù)來分析此用戶是否隨后向第三方個人郵箱發(fā)送了大附件的郵件。同時,依據(jù)此用戶的日常行為基線(比如一般在什么時間訪問office365,是否經(jīng)常下載大量附件等),將以上所有這些數(shù)據(jù)進行關聯(lián),并且加以全面細致的分析,只有這樣,才能夠識別判斷出此用戶的行為是否為一種異常行為,以便完成下一步的指令。
如何構建針對物聯(lián)網(wǎng)的身份認證授權體系
Aruba認為未來的身份認證授權體系不僅僅是針對用戶的準入授權,而應該包含對終端的識別和準入授權。
物聯(lián)網(wǎng)的應用是未來的一個發(fā)展趨勢,在萬物互聯(lián)的時代,將會有海量的物聯(lián)網(wǎng)終端設備連接到網(wǎng)絡中,包括攝像頭、各種感應器、人體穿戴式設備、門鎖、交通工具和家用電器等。
而這些物聯(lián)網(wǎng)終端往往是啞終端,因此很難采用傳統(tǒng)的安全認證方式對這些終端進行認證,比如802.1x認證、portal認證等。而如果采用MAC地址認證,在對這些終端所傳輸?shù)臄?shù)據(jù)進行加密這方面又將面臨很大的難題。而這些物聯(lián)網(wǎng)終端的安全性勢必會是未來的關注重點,比如幾年前發(fā)生在美國的攝像頭被劫持事件,造成了全球DNS根服務器被攻擊的嚴重后果。
因此,Aruba提出了一些行之有效的解決方案:
一是對開放網(wǎng)絡的數(shù)據(jù)進行加密。目前在無線領域廣泛使用的WPA2加密算法,其實在開放的網(wǎng)絡下對數(shù)據(jù)不做任何加密,這就意味著無論是采用portal認證,還是采用MAC認證的終端,在通過無線傳輸數(shù)據(jù)時都是用明文進行傳輸?shù)?。因此,Aruba率先開發(fā)了WPA3加密算法,這可以使得未來的終端在開放網(wǎng)絡下也可以對數(shù)據(jù)鏈路層進行加密。
二是應用機器學習對終端類型尤其是物聯(lián)網(wǎng)終端進行識別和分類。既然啞終端無法采用傳統(tǒng)的認證方式,那么就需要去主動識別這些終端,最后通過這些終端的類型動態(tài)地分配安全策略。
但是要識別出物聯(lián)網(wǎng)終端,依靠傳統(tǒng)的特征庫是很難實現(xiàn)的。比如,同樣是Android系統(tǒng)的終端,它可能是一個攝像頭、可能是一個人體穿戴式設備,甚至可能會是一輛汽車,因此需要一種更先進、更智能的方式來識別和分類這些終端。
目前Aruba ClearPass認證平臺已經(jīng)具備了應用機器學習來識別終端的能力。此方案是一個云端化的解決方案,能夠在網(wǎng)絡邊緣采集這些終端的靜態(tài)屬性(比如MAC地址、DHCP指紋、SNMP等),以及網(wǎng)絡流行為(比如使用的網(wǎng)絡協(xié)議、網(wǎng)絡應用類型、傳輸?shù)臄?shù)據(jù)類型等),并對其行為進行分析(比如訪問某個固定的IP地址或是域名)。通過這些數(shù)據(jù),可以實現(xiàn)不依靠傳統(tǒng)的特征庫便可對終端進行識別。
與此同時,通過這個云平臺,利用眾包機制,能夠進一步優(yōu)化識別精度。一旦對終端進行了精確的識別和分類以后,Aruba ClearPass認證平臺就可以依據(jù)這些信息返回不同的認證結果和授權策略,以此來達到智能的準入和授權。