当前位置: 首页 > 关于我们 > 新闻中心 > 新闻快讯 > 2015

关于我们About Us

  • 关于网康

    公司简介
    企业文化
    品牌期刊
  • 新闻中心

  • 视频专区

    产品视频
    客户案例
    媒体专访
    市场活动
  • 公司优势

  • 联系我们

网康重磅发布《云管端下一代网络安全架构白皮书》

     发表日期:2015-07-02 17:12:46

内容概览

  • 网络攻击已经从早期的泛攻击演进为利用0-day漏洞、以获取重大经济/政治利益为目标、定向持续的高级攻击。

 

  • 随着企业业务的云化、虚拟化、移动化,网络边界被拉伸、模糊甚至消失,传统的网络安全架构已不能适应IT架构的变化,无法应对新的高级威胁。

 

  • 内部人员的误用、滥用或恶意行为,越来越成为安全事件频发的重要原因,内网不再是可信的安全区域,应加强内部人员网络行为的审计与监控。

 

  • 现有网络安全防护体系基于P2DR模型,以网络边界为中心,以特征匹配为核心手段,重在防御,是静态、被动的安全模型,不能有效应对未知威胁。

 

  • 云管端下一代网络安全架构基于PDFP模型,以异常检测、智能预测、协同联动为手段,强调对抗,是动态、主动的安全模型,能够有效应对未知威胁和APT攻击。

 

传统网络安全防护体系无法应对新的安全威胁

传统网络安全理论基于2个核心模型:边界安全模型,P2DR防御模型。

 \ 
 

随着组织业务的云化、虚拟化、移动化,传统的网络边界被拉伸、模糊甚至消失,此外,内部人员的误用、滥用或恶意行为,使内网不再是可信的安全区域。P2DR模型假设信息资产面临的风险是可以充分评估预知的,然而这种假设在0-day攻击和APT攻击面前完全失效。可见,传统基于边界防御和已知特征进行防护的安全架构,是一种静态的、被动的、防御思维的安全模型,已无法应对新的威胁。


PDFP安全模型

针对0-day漏洞、特种木马和APT等高级威胁,网康科技提出了PDFP安全模型,该模型对于安全环境的理解与传统P2DR有很多不同,认为:

  • IT信息系统永远存在未知的威胁,无法通过评估获得充分认知;
  • 防御系统无法确保阻止黑客攻击,网络、设备、应用一定会失陷(breach);
  • 当前网络事实上已经失陷,只是损害状态不为我们感知;
  • 内网与外网一样不安全,内部人员误用、滥用或恶意的行为每天都在发生;

\

 

 

 

 

 

 

 

 

 

 

 

云管端下一代网络安全架构

 

云管端下一代网络安全架构,是网康科技遵循PDFP模型,率先践行的应对高级威胁的网络安全架构。

“端”——指终端设备
包括PC、服务器、智能移动终端,是距离应用系统和数据近的设备,是重要的风险引入点,需要部署杀毒和管控策略(360天擎,天机);


“管”——可理解为泛化的网络边界
除了部署对外的防御设备(下一代防火墙,上网行为管理,WAF等),还应在内网部署行为审计设备,加强内部人员违规行为监控;


“云”——网康云
除了提供云沙箱、云查杀、云信誉评估等基础服务外,还针对终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,使溯源取证与风险预测可视化。

 \ 


云管端联动是下一代网络安全架构区别于传统安全架构的核心能力,三个环节彼此依赖,协同防御。

  • 终端设备遇到未识别的灰度文件时,通过云查杀获得分析结果,第一时间更新本地防护策略;

 

  • 终端设备无论访问内网资源还是互联网,都需要与边界设备联动,进行严格的准入准出控制;

 

  • 边界设备(无论是对外防御设备,还是内网审计设备)实时把安全日志、异常行为日志、灰度URL样本、异常流量日志上传至云端;

 

  • 网康云除了提供实时云信誉查询服务,还利用外部威胁情报、终端和边界设备的异常日志,进行大数据分析,做出攻击预测报警,实现云管端智能协同、主动防御。

 

 

下一代网络安全架构的5项关键能力

为了应对未知威胁和高级威胁,下一代网络安全架构需要从应用和内容层面深入理解网络的变化,从全局视角分析各种异常网络行为之间的关系。我们认为以下5项是下一代网络安全架构的关键能力。


情境感知(context-aware)能力
指利用各种辅助网络信息分析安全状态,以做出更准确的安全决定。


威胁情报利用能力
威胁情报之所以备受关注和认可,在于它通过信誉机制(Reputation)提供了准确度很高的威胁信息,比如:恶意的IP,URL,DNS,文件等。有些威胁情报服务还提供攻击过程的说明,攻击的目标是什么,以及建议企业如何防御。


内部人员行为审计能力
越来越多的企业组织认识到内控的必要性,但采取的措施限于数据库审计、终端设备管控、以及SIEM安全日志分析。这些措施的重点放在了业务自身的安全分析,却忽略了对人的管理,事实上内网安全风险主要是由于人员的误用、滥用或恶意行为导致的。PDFP安全模型认为内网不再可信,甚至是零信任(zero-trust)网络,要求对内网人员进行认证识别、行为审计、基线行为建模、异常行为识别报警,降低由于人员行为不当导致的安全隐患。


全网智能协同能力
一次成功的网络攻击涵盖边界突破、终端感染、渗透平移、服务器漏洞利用等多个步骤,各个步骤彼此依赖,相互配合。大型组织通常部署了多种网络安全产品,以保护服务器、终端、网络边界,然而这些设备/系统基本是孤立运行的,不了解攻击行为与其它防御点的关系,无法从全局理解正在发生的安全事件,无法形成协同效应。孤岛防御容易被绕过,因此需要对终端和边界设备赋予智能,使他们能够同步信息,互相配合,以应对不断变化的IT架构和复杂的网络风险。


大数据安全分析能力
攻击者除了突破多道防线,还需要足够“耐心”才能取得成功,复杂的攻击可能长达数月甚至几年。因此对攻击行为进行跨时空分析,才能看清整个攻击链条。目前SOC或SIEM系统能够收集各种安全日志,进行基本的统计分析,但还远不能解决安全事件的可视性和可溯源性问题。主要原因在于数据来源不够广泛,没有引入外部威胁情报;数据粒度不够精细,缺乏必要的情境数据;时间跨度不够长久,没有跨年度的完整日志;分析方法过于简单,无法洞察攻击过程,更不能进行预测。面对未知威胁,只有采用云计算和大数据分析技术,才能从根本上解决数据来源广泛性、数据充分性、分析模型有效性的问题。其中建模分析尤为重要,数据不经有效的分析就永远是数据,甚至是垃圾数据。除了传统的统计、聚类、贝叶斯分析外,前沿厂商都在尝试全局关联分析、启发式机器学习等分析模型。

 

云管端安全架构的价值

相比传统以边界防护为核心、相互孤立的网络安全体系,云管端下一代网络架构具有明显的优势。

赋予了终端设备和边界设备应有的智能,不再依赖本地静态特征库/策略库,可以实时感知网络威胁的状态并做出调整,防御能力大幅提升。

云管端联动机制,使得网络安全具备了全局可见性,防御方式也从孤岛模式演进为协同模式,从而能够有效防御已知威胁和未知威胁。

网络安全始终都是大型组织投入的重点,云管端架构使买“安全感”真正变成了买“安全”,实现价值落地,提高了网络安全投资回报率。

 

分享三个观点

任何事务发展都有内在的延续逻辑,而非断崖式替代,分享以下3个观点。

以边界防护为中心的安全体系存在固有缺陷,但并非毫无价值,它们能够很好地应对已知威胁,并发挥着重要作用。但企业组织应该用动态、主动的思维方法重新审视面临的威胁态势,并调整安全投入的重点。

云管端架构不是万能良药,不能期待解决所有的安全问题。安全问题永远是人与人之间的智力对抗,道高一尺,魔高一丈,安全的主动权掌握在攻击者一方,下一代网络安全架构提供了主动对抗的手段。

安全问题极为复杂,云管端模型预测攻击的准确度不可能百分之百,需要安全专家介入,结合实际业务特点进行分析判断,以减少误报。

 

在线查看《云管端下一代网络安全架构白皮书》请点击:https://www.netentsec.com/uploadfile/2015/0701/20150701051005921.pdf

 

下载《云管端下一代网络安全架构白皮书》请点击:https://www.netentsec.com/uploadfile/2015/0702/20150702060340875.rar