云安全防护战略思考

©2012云计算作为一种新技术带来的新漏洞和新型攻击云计算带来三方面的挑战现有安全产品技术如何部署以便与云计算环境相互融合、保证效力提高效率如何充分利用云计算技术和思想来创新变革现有的安全防护技术和产品与此同时，传统的网络边界千疮百孔离岸外包物业成本新世代青年OneMoreThing-APT“下一代”威胁咄咄逼人,”当代”安全设备力不从心业务越来越复杂，新应用太多，用户位置多变，终端BYOD多样化并且很难规范化端口失效-ApplicationsIP地址失效-Users数据包层面的检查失效-Content攻击变化太快，现有的黑名单机制总是更新不及时AdvancedMalware，Zero-Day，TargetedAPTAttacks病毒样本不胜其多，反病毒程序消耗计算机资源不胜其负病毒样本库更新太慢“特征”匹配很容易被“躲避”…企业IT和威胁的地貌已经“沧海桑田”怎么办？怎么办？下一代威胁APT-高级持续性威胁社会工程内部滥用BYOD僵尸网络智能终端Hacktivism拒绝服务攻击DDoSSQL注入云计算虚拟化社会网络离岸外包地下经济合规性协同攻击安全信誉跨站0-DaySCADA安全异常行为发现网络空间安全深度分析NGFWNGIPSAnonymousLulzsec移动计算Anti-DDoSCIIP供应链完整性WAFSECaaSMSS三个重要的假设假设1：攻击者正在转向经济目的，攻击者和防守者之间的竞争关键是成本。获得成本优势的一方将会获得“战场”上的优势态势。假设2：为了降低成本，攻击者必须尽可能地重复使用（Reuse）其攻击代码、工具、僵尸、技术和手法等。推论1：一般来说，一种威胁或攻击会出现在多个场合，在一些场合中检测出来并证明为威胁或攻击的行为有非常大的概率在另外的场合下也是威胁或攻击。假设3：为了降低成本，防守者必须重构防御体系，将部分密集的、重复性的计算转移到“云”中进行，而将计算产生的“智能”（Intelligence）推送到防御功能点（DefenseFunctionPoint）。FromSIEMtoBIGDATA&IntelligenceDataSource:RSA2012,Tech-303,byZions从手工到集中处理、走向分布式、并行处理BIGDATAANALYTICS,也简称BDA,不仅仅是处理海量数据，还包含快速、甚至实时的搜索功能、实时分析告警功能、数据展现技术等内容在里面。BDA-不是-SilverBullet时效性::通常“智能”的生产和“大数据”的运算过程都需要相当的时间。这个时间可能会造成“有效性”的降低。例：目前一个恶意代码的生命周期可能只有3~5天，而产品规则升级的频率常常是星期级，无法应对快速变化的威胁。如果提取特征、挖掘规则过程很慢，一则输出的“规则”实际上是没有意义的，更麻烦的是，该恶意代码已经消失，增加的“规则”反而白白消耗了检测系统的资源。数据质量::业界在元数据方面进展甚微，数据格式和含义参差不齐。在各类数据的ETL方面可能耗费巨大，而成效不大，导致Garbage-in-Garbage-out的杯具。•什么是“行为”？–行为是分析目标和信息系统产生互动、引起信息系统发生某些改变的过程。行为可以由一个或多个信息系统的记录来描述。•什么是“异常”？–“当然了，不正常吗，就是异常了”…•怎么发现“异常”？–把“正常”都拿出去了…关于行为和行为异常发现人内存硬盘外设网口终端应用程序网络层协议应用层协议系统文件配置信息进程系统应用程序地址地址智能驱动的下一代安全图像安全专家/攻防团队计算集群服务集群页面爬取集群，页面内容分析集群，恶意代码分析集群，漏洞扫描集群智能挖掘集群IP信誉/文件信誉/域名信誉/URL信誉/恶意行为/安全漏洞/攻击手法/…业务识别能力信息获取能力处理逻辑和规则分离快速升级能力灵活部署能力下一代安全的主要特征(1)集约化主动性生态化•消除壁垒•荣辱与共•长期合作服务外包联合研究•攻击预警•措施前置•兵不厌诈智能化服务化•信息共享•动态策略•协同联动•分析工具•产品形态•内容形式•管理方式•人力资源•系统资源虚拟化数据集中下一代安全的主要特征(2)安全厂商最终用户IT厂商•软件系统厂商•硬件系统厂商•关键信息设施提供商•个人用户•企业用户社区组织权威机构•开源项目•专业组织•协会联盟•政府部门•立法机构•标准组织下一代安全的竞技场–庙算者胜快速响应能力快速规则升级能力快速部署能力快全技术覆盖能力行业覆盖能力地理覆盖能力多正则匹配统计分析数据挖掘快速搜索…夫未战而庙算胜者，得算多也，未战而庙算不胜者，得算少也。多算胜，少算不胜，而况于无算乎！©2012CloudSecurityAllianceCopyright©2012CloudSecurityAllianceGlobal,not-for-profitorganizationOver35,678individualmembers,123corporatemembers,20affiliatemembers,64chaptersworldwideBuildingbestpracticesandatrustedcloudecosystemAgilephilosophy,rapiddevelopmentofappliedresearchGRC:BalancecompliancewithriskmanagementReferencemodels:buildusingexistingstandardsIdentity:akeyfoundationofafunctioningcloudeconomyChampioninteroperabilityEnableinnovationAdvocacyofprudentpublicpolicy“TopromotetheuseofbestpracticesforprovidingsecurityassurancewithinCloudComputing,andprovideeducationontheusesofCloudComputingtohelpsecureallotherformsofcomputing.”Copyright©2011CloudSecurityAllianceCopyright©2011CloudSecurityAllianceDevelopedfirstcomprehensivebestpracticesforsecurecloudcomputing,SecurityGuidanceforCriticalAreasofFocusforCloudComputing(updatedOctober2011)Firstandonlyusercertificationforcloudsecurity,theCCSK(CertificateofCloudSecurityKnowledge,September2010)ToolsformanagingGovernance,RiskandComplianceintheCloudRegistryofcloudprovidersecuritypractices,theCSASTAR(Security,Trust&AssuranceRegistry,Q42011)Industryleadingsecuritypractices,educationandtoolsdevelopedby30+workinggroupsSelectionofCSAvenuebyUSWhiteHousetoannouncetheUSFederalCloudStrategyin2011LeadershipindevelopingnewsecuritystandardsaddressingcloudcomputingTrustedadvisortogovernmentsandGlobal2000firmsaroundtheworld“TopromotetheuseofbestpracticesforprovidingsecurityassurancewithinCloudComputing,andprovideeducationontheusesofCloudComputingtohelpsecureallotherformsofcomputing.”Copyright©2011CloudSecurityAlliance©2012CloudSecurityAlliance©2012CloudSecurityAllianceCopyright©2011CloudSecurityAllianceGlobalresourceandresearchcoveragethroughourcorporatemembership,affiliatemembers,chaptersandConnectedtogreatminds:ResearchcontributorsrepresentsomeofthetopmindsininformationsecurityandcloudcomputingCopyright©2012CloudSecurityAllianceCopyright©2011CloudSecurityAllianceCopyright©2011CloudSecurityAlliancePopularbestpracticesforsecuringcloudcomputingFlagshipresearchprojectV3.0Released(November2011)Inalignmentwithinternationalstandards100kdownloads:cloudsecurityalliance.org/guidanceCopyright©2011CloudSecurityAllianceCopyright©2011CloudSecurityAllianceControlsderivedfromguidanceMappedtofamiliarframeworks:ISO27001,COBIT,PCI,HIPAA,FISMA,FedRAMP,etc.RatedasapplicabletoS-P-ICustomervs.ProviderroleHelpbridgethe“cloudgap”forIT&ITauditorsCopyright©2011CloudSecurityAllianceCopyright©2011CloudSecurityAllianceDevelopedbyCSC,transferredtoCSAOpenstandardandAPItoverifycontrolassertions“QuestionandAnswer”asynchronousprotocol,leveragesSCAP(SecureContentAutomationProtocol)IntegrateswithCloudAuditNo