从《关保要求》谈网络安全的“业务敏感“新时代
2023年已经过去了一大半,如果要评选今年网络安全领域的重大事件,那么《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)的正式施行无疑已经锁定了一个席位,而且很可能排名第一。关于《关保要求》的重要意义,业界已经有很多高水平的解读,这里就不再赘述。我们要着重指出的是,从技术理念发展的角度来看,《关保要求》将国内网络安全管理的基础理论向前推进了一大步。
如果说《等级保护2.0》标准凭借着“安全管理中心”的概念奠定了自己的理论地位,那么《关保要求》的核心技术概念就是“业务安全”。甚至可以说,如果没有“业务安全”概念,《关保要求》作为一份独立的技术标准,在《等保2.0》之后提出的必要性就不那么强了。
从命名上来看,“关键信息基础设施”的提法就是面向“业务”的提法,因为基础设施本身都是相似的,是否关键取决于其所承载的业务。进入标准正文后,立即提出了关保要求的基本原则——以关键业务为核心的整体防控。为了实现以关键业务为核心,首先需要对关键业务相关的资产和信息进行识别。因此,引出了整个文本中最重要且最具创新意义的章节——识别。具体而言,分为以下几个方面:业务识别——确定企业的关键业务及其之间的依赖关系;资产识别——确定涉及这些业务的资产;风险识别——确定这些资产上存在的风险。
这个识别过程并非一次性行为,而是需要实时监测,确保所获得的信息始终是实时有效的。有了这些业务信息作为基础,后续的各项安全活动都可以在此基础上展开。例如,在边界防护部分,要求实现不同业务系统之间的边界访问控制。这在等保标准中并没有明确提及,等保标准强调的是分级分域,在不同安全等级的区域之间实现隔离。而在关保要求中,提出了实现业务间隔离的要求。
这个识别过程并非一次性行为,而是需要实时监测,确保所获得的信息始终是实时有效的。有了这些业务信息作为基础,后续的各项安全活动都可以在此基础上展开。例如,在边界防护部分,要求实现不同业务系统之间的边界访问控制。这在等保标准中并没有明确提及,等保标准强调的是分级分域,在不同安全等级的区域之间实现隔离。而在关保要求中,提出了实现业务间隔离的要求。
(《关保要求》三项基本原则)
以业务为核心是《关保要求》最核心的理论内涵,我们应该认真学习并高度重视。事实上,《关保要求》不仅仅是对所谓“关键信息基础设施”的保护要求,更应该将其理解为一种领先的网络安全管理理念。它代表着国内安全行业专家最新的集体智慧,代表着网络安全技术的发展方向。
“业务敏感型态势感知”的概念
我们前面提到了,《关保要求》正式施行,有机会拿到年度最重要安全事件,若说有什么能跟这件事争一争的,大概就要算态势感知国标《信息安全技术 网络安全态势感知通用技术要求》(GB/T 42453-2023)的发布并施行了。这个标准的发布,标志着态势感知正式从一个模糊的技术概念上升为明确的技术定义,对于态势感知技术的发展,对于态势感知平台的部署与使用都有着关键意义。
(态势感知国标)
《态势感知国标》的发布当然标志着态势感知技术正在走向成熟,但我们也应看到,这个标准还是一个相对传统的面向资产的态势感知标准,通篇没有看到面向业务的概念。可以说,这个《态势感知国标》是《等保2.0》标准的好伙伴,但对于《关保要求》的支撑就显得没那么协调了。在以《关保要求》为代表的面向业务的网络安全理念下,态势感知的能力也应该有着对应的发展。
蔷薇灵动基于长期的零信任技术实践,以及自家“知心“平台的研发与运营实践,提出了”业务敏感型态势感知”的概念,希望为态势感知的发展贡献一份力量,也为当下的关基安全负责人和零信任安全规划者们提供一个面向业务的态势感知平台的建设思路。
业务敏感型的态势感知相较于态势感知国标而言是一种发展和补充,因此,我们主要阐述它的如下一些增量能力:
业务识别:
● 业务资产识别:能够识别资产的业务属性,能够基于业务属性发现关联资产,能够确保资产与业务之间的映射关系实时有效。
● 业务关系识别:能够描述业务间的访问调用关系,能够描述业务资产间的访问调用关系,能够描述特定业务的内外部访问依赖关系。
● 业务风险识别:可以将面向资产的风险分析转化为面向业务的安全分析,从而综合评估业务的风险情况。
业务识别:
● 流量的身份关联分析:能够将面向资产的网络流量映射为面向业务的业务访问关系。
● 流量的综合关联分析:能够将离散的资产网络行为数据以业务为依据进行筛选和关联,从而回答业务的内外部访问情况和关联情况。
● 面向业务的网络日志:能够提供以业务属性为依据的网络日志,提供业务角色间的访问行为日志,而不是IP间的访问行为日志。
业务监测预警:
● 业务流量获取与筛选:能够基于业务边界而不是网络边界对特定业务的边界流量监测。
● 面向业务的行为基线:可以建立以业务为属性的行为基线,可以提供业务访问的时间周期分布(比如按小时的波形分布),以及业务访问的空间分布(互联网、专网、办公网、数据中心内网、业务间、业务内各自分布)。
● 业务安全信息关联分析:可以基于业务属性,将离散的、面向资产的、来自不同信息源的安全信息(比如主机入侵侦测、漏洞信息、配置基线、网络日志、业务日志等)提取出来并做综合关联分析,从而进行面向业务的综合安全研判。
● 面向业务的定制侦测模型:允许面向特定业务建立不同的安全侦测模型,允许面向不同的业务设定独立的安全监测事件侦听引擎,从而实现对特定业务运行基于特定模型和特定数据的专有安全侦测。
业务敏感型态势感知概念的提出,既是满足《关保要求》的合规要求的一种有效应对,同时也是基于网络安全趋势,结合零信任理念所做出的技术创新。基于这个概念,用户将获得构建面向业务的态势感知平台与安全运营中心的有效参考。
知心东西向网络数据分析平台的“业务“水平
知心平台是以微隔离数据为基础的东西向流量态势感知平台,知心的一个核心能力就是其继承了微隔离的业务特征数据。微隔离作为云计算时代的网络安全基础设施,核心要解决的问题就是如何在IP地址池化管理的背景下,进行稳定的策略规划和策略运营。微隔离的方案是为每个工作负载配发身份证书,从而使得微隔离允许用户面向身份而不是面向IP设计网络访问控制策略,再由微隔离的自适应策略计算引擎完成从身份策略到IP策略的映射。这样一套机制允许用户不用考虑业务的网络地址分配情况,直接面向业务建立逻辑边界。知心平台在继承了微隔离的业务身份数据后便获得了一系列宝贵的业务安全分析能力。
业务拓扑:
知心平台继承了微隔离的业务拓扑能力,从而可以帮助用户获得业务视角的网络构成,包括资产的业务分组情况、业务的网络访问构成、业务间的相互依赖关系、业务内资产的相互依赖关系等信息。尤其需要着重指出的是,基于微隔离的自适应策略引擎,知心平台的业务拓扑是实时动态更新的,从而确保业务拓扑的实时有效。
(实时业务拓扑)
业务基线:
知心平台能够为用户提供基于业务的行为基线分析,知心平台会把归属于统一业务的资产网络日志抽取出来做汇总分析,并且形成基于时序的访问基线。这样的基线对于构建业务访问控制策略,发现业务行为异常都有着极其关键的作用。
(访问行为基线统计)
业务暴露面:
脆弱性的一个重要来源是资产的安全配置基线,而安全配置基线中一个非常非常关键的维度是资产网络端口的开放情况。因为漏洞总是和端口关联在一起,网络端口的不必要开放构成了资产脆弱性的一个主要来源。知心平台基于主机的端口监听情况以及端口的业务访问情况,可以综合对资产的端口暴露面进行量化评估,再结合资产的业务属性数据,就可以对业务的总体暴露面情况做出量化评估,包括业务端口台账、业务端口利用率、业务端口暴露面可缩减率、业务端口访问来源等多维度的丰富信息。
(东西向端口暴露面分类统计)
业务事件引擎:
传统的态势感知的优势在于能够将全网数据做整合分析,而劣势在于它无法将特定业务的数据从海量的数据里给筛出来。知心平台允许用户为特定业务建立基于特定安全算法的事件侦听,比如说,我们可以为财务报销业务专门建立一个“端口探测“的事件侦听,它的分析对象是财务报销业务相关的四台虚拟机资产,它的算法是,“10分钟内,来自同一IP地址 ,对业务资产总访问超过100个端口”,它的侦测周期是5分钟。
(为特定业务基于特定安全算法建立的事件侦听)
通过对特定业务建立事件侦听,一方面可以提升侦听的有效性,更重要的是,它极大的下降了数据分析总量,提升了数据分析的效率,让真正关键的业务得到更有效地安全防护。
可见,通过微隔离的资产业务关联以及业务访问关系数据,知心平台能够提供一系列极其独特并且极富价值的领先分析能力,作为国内第一个业务敏感型态势感知平台,相信知心平台将帮助用户迈进网络安全的新时代。
京公网安备 11010802033237号
