您好,欢迎访问三七文档
当前位置:首页 > 临时分类 > 网康云管端下一代网络安全架构白皮书
2/13客户服务热线:400-678-3600官网:、不断失陷的网络安全..........................................................................................42、攻击者如何突破防御体系..................................................................................53、传统网络安全防护体系无法应对新的安全威胁..............................................74、云管端下一代安全架构......................................................................................84.1PDFP安全模型.............................................................................................84.2云管端下一代网络安全架构......................................................................104.3下一代网络安全架构的5项关键能力......................................................114.4云管端安全架构的价值..............................................................................125、关于网康科技....................................................................................................133/13客户服务热线:400-678-3600官网:摘要网络攻击已经从早期的泛攻击演进为利用0-day漏洞、以获取重大经济/政治利益为目标、定向持续的高级攻击。随着企业业务的云化、虚拟化、移动化,网络边界被拉伸、模糊甚至消失,传统的网络安全架构已不能适应IT架构的变化,无法应对新的高级威胁。内部人员的误用、滥用或恶意行为,越来越成为安全事件频发的重要原因,内网不再是可信的安全区域,应加强内部人员网络行为的审计与监控。现有网络安全防护体系基于P2DR模型,以网络边界为中心,以特征匹配为核心手段,重在防御,是静态、被动的安全模型,不能有效应对未知威胁。云管端下一代网络安全架构基于PDFP模型,以异常检测、智能预测、协同联动为手段,强调对抗,是动态、主动的安全模型,能够有效应对未知威胁和APT攻击。4/13客户服务热线:400-678-3600官网:、不断失陷的网络安全回顾最近几年发生的影响巨大的网络安全事件:2010.7………………………………………………………………………………………………………………………美国通过“震网”(Stuxnet)蠕虫病毒入侵伊朗核设施网络,利用Windows0-day漏洞和离心机控制软件(SIMATICWinCC)的0-day漏洞,改变浓缩铀离心机的运行速度,导致上千台离心机报废,伊朗核计划受到严重阻碍。2013.12……………………………………………………………………………………………………………………….纽约大型零售商Target受到网络攻击,7000万消费者的身份信息以及4000万信用卡信息遭窃,黑市上以每卡20-100美元价格出售,全部损失超过10亿美元。Target超市CIO与CEO先后引咎辞职。2014.5……………………………………………………………………………………………………………………….全球最大拍卖网站eBay官网发布通告,称因数据泄露呼吁其用户更新密码。eBay事件是攻击者在对该公司员工进行成功鱼叉攻击后,利用员工的登录帐户进入未授权公司网络,最终导致注册用户数据泄露。2015.2……………………………………………………………………………………………………………………….黑客组织Carbanak在2年内连续攻击了俄、乌、白等30多个国家的金融机构,造成损失达10亿美元,引发俄罗斯银行业恐慌,有2家银行被迫放弃营业执照。近年来,网络安全事件频发,危害逐渐升级。据CNCERT《2014年中国互联网网络安全态势报告》,2014年通报的漏洞事件达9068起,比2013年增长3倍,其中“心脏滴血”和“破壳”漏洞,涉及基础应用与硬件设备,影响极为广泛严重;中国被控制的主机数量规模庞大,有1081万台僵尸主机被境外4.2万台服务器控制,针对互联网DNS服务、电商等大规模的DDoS攻击,与此不无关系。国际上,网络安全形势犹有过之,RSA总裁AmitYoran认为2014年的网络安全是“MegaBreach”(Breach,失陷),而2015年的安全形势比2014年更糟,将是“SuperMegaBreach”的一年。5/13客户服务热线:400-678-3600官网:以上案例涉及金融、商业、国防等工业企业,展现了新型网络攻击的特点:利用系统的0-day漏洞,无法预先防御;目标明确,定向攻击;损失巨大,难以挽回。黑客攻击手段从传统的泛攻击演进为高级攻击,与技术的发展和黑色产业链的发展有着密切关系。一方面,云计算、大数据、移动互联网等新技术、新应用的普及应用,使得网络与信息面临更多的风险。另一方面,由于0-day漏洞潜在的巨大经济利益,黑色产业链逐渐形成并发展壮大,攻击目的从早期的技术炫耀转变为利益攫取,攻击者也从“独行侠”发展成为拥有强大经济与技术实力的集团组织。这使得应对未知威胁成为网络安全防护的常态。2、攻击者如何突破防御体系为了保障信息资产的安全,大型组织都不惜重金投入,建立完善的防护体系,但攻击者为什么能够突破防御,频频“得手”?以窃取客户信息资产为目标的网络攻击,通常是利用未知威胁实施的定向APT攻击,由多个阶段组成。我们可以从CyberKillChain(简称CKC)模型解释完整的攻击过程。CKC模型由LockheedMartin公司提出,认为网络边界并非安全攻防的唯一重心,边界突破既不意味着攻击一方取得了胜利,更不意味着防守一方受到了损失。由于窃取信息资产才是网络攻击的核心,因此安全防御体系应该针对“敌人”的意图与行为进行部署,而不是只“看守好”既有边界。该模型把攻击过程分为7个步骤:Reconnaissance(目标侦测)Weaponization(获得武器)Delivery(武器投送)Exploitation(漏洞利用)Installation(下载植入)C&C(命令控制)ActionsonObjectives(窃取信息)6/13客户服务热线:400-678-3600官网:攻击者只有完成所有步骤才认为攻击成功,因此在每个步骤都存在攻防对抗,都存在防守反制的机会。下面以俄罗斯银行大劫案为例,具体分析攻击的过程与特点,可以把CKC模型的7个步骤合并为3个阶段。CarbanakCKC攻击过程第一阶段——感染传播黑客一开始会伪装成俄罗斯联邦中央银行,向目标金融机构的普通职员发送电子邮件(鱼叉攻击),诱使他们打开一个包含恶意软件的附件(为避免收件人生疑,附件为doc格式)。收件人打开附件后,自动执行漏洞利用代码(0-day漏洞),电脑被植入木马,失陷。然后黑客以此为跳板进行渗透平移,在内网大量传播扫描,直到找到并攻陷掌握银行交易权限的高级管理人员,“初战告捷”。第二阶段——获取情报突破管理人员的电脑后,黑客会进一步植入特种木马程序,记录键盘敲击信息,并每隔20秒钟截屏,源源不断传送到远端的控制服务器(C&C)。服务器端有专人分析,得到合法账号、密码、以及系统操作流程。第三阶段——转账获利黑客得到合法账号后,通过正常的操作流程,避开银行的异常监控系统,将资金通过转账、信用卡、ATM机等多种方式顺利转走。7/13客户服务热线:400-678-3600官网:、传统网络安全防护体系无法应对新的安全威胁传统网络安全理论基于2个核心模型:边界安全模型,P2DR防御模型。边界安全模型把网络划分为多个安全域,如内网、外网,认为内网是可信任的,风险来自边界之外,只要在边界做好防护就可以高枕无忧,这是今天在网络出口部署防火墙、IPS等网关设备的主要依据。但随着组织业务的云化、虚拟化、移动化以及向合作伙伴开放,传统的网络边界被拉伸、模糊甚至消失,边界设备已无法防御新的风险;此外,大量事实表明,内部人员(包括外包业务合作伙伴的人员)的误用、滥用或恶意行为,是安全事件频发的重要原因,内网不再是可信的安全区域。传统的安全边界模型,过于简单、静态,已不适应IT架构的快速变化。P2DR防御模型P2DR首先对信息系统的风险进行全面评估,然后制定相应的防护策略,包括:在关键风险点部署访问控制设备(防火墙,IPS,认证授权等),修复系统漏洞,正确配置系统,定期升级维护,教育用户正确使用系统。检测是响应和加强防护的依据,通过检测网络流量和行为,与预设策略进行匹配,如果触发防护策略,则认为发生了网络攻击,响应系统就执行预设动作阻止攻击,并进行报警和恢复处理。P2DR以策略为核心的防御模型,包括4个环节策略(Policy)防护(Protection)检测(Detection)响应(Response)8/13客户服务热线:400-678-3600官网:模型中,所有的防护、检测和响应都是依据策略实施的,因此策略是模型的核心,其完备性至关重要。它假设信息资产面临的风险是可以充分评估预知的,然而这种假设在0-day攻击和APT攻击面前完全失效,未知威胁可以轻松绕过防护体系。即使特征库和策略不断升级,也赶不上攻击特征的变化速度。传统安全产品,如终端杀毒、防火墙、IPS、Web安全,都是基于已知特征和预设规则展开工作的,其理论依据是边界安全与P2DR防护模型,这是一种静态的、被动的、防御思维的安全模型。由于网络边界的变迁、未知威胁的爆发、来自内部人员的威胁,使得传统安全模型跟不上IT架构的变化,已无法应对新的安全威胁。4、云管端下一代安全架构4.1PDFP安全模型针对0-day漏洞、特种木马和APT等高级威胁,网康科技提出了PDFP安全模型,该模型对于安全环境的理解与传统P2DR有很多不同,认为:-IT信息系统永远存在未知的威胁,无法通过评估获得充分认知;-防御系统无法确保阻止黑客攻击,网络、设备、应用一定会失陷(breach);-当前网络事实上已经失陷,只是损害状态不为我们感知;-内网与外网一样不安全,内部人员误用、滥用或恶意的行为每天都在发生;PDFP安全模型图PDFP是以预测为核心的安全模型,包括4个环节检测(Detection)取证(Forensic)防御(Prevention)预测(Prediction)9/13客户服务热线:400-678-3600官网:检测(Detection)既然信息系统已经失陷,那么安全应当从检测开始。这里的检测与传统检测(特征库匹配)不同,指的是异常行为的检测,通过检测用户、应用、流量等行为模型有无偏离常规基线,判断是
本文标题:网康云管端下一代网络安全架构白皮书
链接地址:https://www.777doc.com/doc-3989257 .html