面向风险的安全观
虽然《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)的正式施行引起了业界的广泛关注,但我们认为,关保要求的历史重要性很可能还是被低估了。如果关保要求的安全理念得到广泛认同和有效执行,那么整个网络安全行业的观念和行为逻辑都将发生重大改变。
要理解这一点,就要提到安全行业一直以来互相竞争的两个观念。安全建设的底层逻辑究竟是什么?或者换言之,我们怎么评估我们现在的安全防御体系是否安全?往往越是基础的问题回答起来越困难,围绕这个问题存在两个答案,一个是面向攻防,一个是面向风险。攻防派最典型的表述就是:“不知攻焉知防”,听起来很有水准,笔者刚入行时也被这一丈八的气场所折服。但是,这样做网络安全会遇到一种非常尴尬的情况——我们很难以一种不故弄玄虚的方式证明一个安全体系的防御水平。
比如说,一个安全系统建设完成了,如果用准备好的攻击方法对这个系统进行测试,这就成了自己出题自己答,很难让人信服。那就等着捕捉攻击吧,可是网络攻击并不总是会来,这个时候就尴尬了,要么就是我们的系统没用,抓不到攻击,要么就是根本就没有网络攻击这种事情,然后我们的系统还是没用。很多情况是,一套安全体系建立起来了,验收标准竟然是每秒新建、并发会话、吞吐与延迟这样的数通指标,虽然没人明说,但整个行业其实是尴尬的。
比如说,一个安全系统建设完成了,如果用准备好的攻击方法对这个系统进行测试,这就成了自己出题自己答,很难让人信服。那就等着捕捉攻击吧,可是网络攻击并不总是会来,这个时候就尴尬了,要么就是我们的系统没用,抓不到攻击,要么就是根本就没有网络攻击这种事情,然后我们的系统还是没用。很多情况是,一套安全体系建立起来了,验收标准竟然是每秒新建、并发会话、吞吐与延迟这样的数通指标,虽然没人明说,但整个行业其实是尴尬的。
面向风险就是另一个思路了。它从被保护对象的风险角度出发,只要我把风险移除了,你怎么攻击都没用,我不再跟着攻击者起舞,我就做好我自己的工作你就拿我没办法。这个思路怎么看都是阳关大道,但是一直以来却没有真正的流行,主要原因就是太费劲,识别费劲,治理更费劲。相较于在边界处摆上几台能够防御特定攻击的安全设备而言,要对全网资产进行风险识别和治理显然是一个困难得多的工作。因此虽然没有明说,但细看等保要求,主要还是以攻击防御为主,毕竟这样好推广,作为一种保底线的合规型技术规范,投入有限人力物力资源先把一些已知问题解决掉,还是比较恰当的。但究竟还是说不清。
时间来到了2023年,随着国际形势风云变幻,随着以云计算为代表的基础设施的颠覆性变革,随着网络安全攻击手段进入AI时代,无论如何,我们无法再沿用过去的做法自说自话了,我们必须以一种更加确定的方式回答那个最基本的问题:我们到底安不安全!
关保要求就是在这样的背景下出现的。我们认为,这份标准的编写者对于网络安全所面临的尴尬困境是有深刻认知的,而且旗帜鲜明地提出了解决之道——以风险管理为导向。攻击必然利用了风险,而管理风险也是为了防御攻击。攻击与风险本是硬币的两面,但面向风险的安全管理有个最大的好处,就是能说清楚。
(关保要求基本原则)
就拿抗疫策略来说,也是要两手抓,一个是抓紧研发疫苗,一个是做好隔离管控。研发疫苗是针对病毒的生物特征下手,有没有用呢?肯定是有用的,但是到底多有用,啥时候能用上,针对变种病毒还有用么?真说不清楚。但是戴口罩(最好还有眼罩)肯定有用!人的暴露面就是嘴巴、鼻子、眼睛,把这三个暴露面保护起来,人就安全了。口罩不但对新冠有用,对一切呼吸道传染疾病都用。在大自然里,各种病毒层出不穷,但是他们都利用了人的呼吸系统暴露面,只要把这个暴露面保护起来,啥病毒都不好使了。
安全防御也是这样,攻击的类型太多了,且总在变化,面向攻击去设计防御系统,太费劲了。但是资产暴露面就少多了,只要把暴露面保护起来,资产自然就安全了。而且因为暴露面是确定且有限的,资产有多少暴露面是能说清楚的,暴露面是否被保护了也是能说清楚的。以暴露面管理为目标,整个安全防御体系的防御效果自然也就说清楚了。
安全防御也是这样,攻击的类型太多了,且总在变化,面向攻击去设计防御系统,太费劲了。但是资产暴露面就少多了,只要把暴露面保护起来,资产自然就安全了。而且因为暴露面是确定且有限的,资产有多少暴露面是能说清楚的,暴露面是否被保护了也是能说清楚的。以暴露面管理为目标,整个安全防御体系的防御效果自然也就说清楚了。
以风险管理为导向的安全观,让我们有了一套可以一以贯之的底层逻辑。安全投入有了明确的投入产出回报,安全产品摆脱了说不清楚价值的尴尬现状,整个网络安全体系都可以基于这个观念进行构建和评估。
暴露面与风险
细心的读者可能会发现,我们这里对“暴露面”和“风险”的使用有一定的模糊。那是因为,我们认为,相较于过于宽泛的风险概念,暴露面是个更具象的技术指标,或者说更能说得清楚。“暴露面”是《关保要求》里明确提出的概念。一方面,关保要求的风险识别沿用了国标《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)中的有关定义。另一方面,又在“主动防御”章节引入了暴露面的概念。
根据GB/T 20984-2022的定义,风险由三个因素做决定:资产、脆弱性、威胁。
(GB/T 20984-2022风险要素关系内容节选)
要做风险管理,首先是做资产识别,因为脆弱性和威胁都是面向特定资产的,搞清楚资产是风险治理的前提,《关保要求》里也是这么要求的。显然,资产是个特别能说得清楚的东西。
然后说脆弱性。脆弱性这个词就比较模糊了,有点说不清。我们可以具象一下,一般来说就包括两个东西,一个是漏洞,一个是安全配置基线。漏洞总量很大且总有新的漏洞出现,虽然相较于攻击类型而言,漏洞总数确实少多了,但还是说不清。安全配置基线更简单一些也就更能说得清楚一些,比如说账号权限呀,弱密码啥的就属于安全配置基线,不过配置基线本质上也是从攻防实践里总结出来的,虽然基线的量相较于漏洞而言更少了,不过也还是个开放的东西。
然后再说威胁。大概意思就是说,虽然我有很多漏洞,但假如没有攻击的话,我也是安全的。或者说,虽然我漏洞很少,但假如攻击很严重,那我的风险也是很大的。所以做风险评估的时候,得考虑威胁情况。这话对不对呢?挺对的,但是特别说不清。因为这就回到攻防对抗的老路上了,大家看看GB/T 20984-2022就会发现,要做威胁评估,你得知道攻击者是谁,攻击频度,攻击水平啥的,这个跟攻防对抗没啥区别,有用,但是说不清。
所以,在整个风险评估里,真正能说清的就是资产。漏洞、基线、威胁都是开放的东西,总在变,不太能说清。但是在安全基线里有个东西是能说清楚的,那就是网络端口。一般来说,资产要通信都要通过网络端口,外部的服务请求也好,攻击也罢,要进入资产都得通过端口。一个资产有多少开放的监听端口这个是确定的,而不必要的端口开放就是系统最大的脆弱性来源。每个端口上都有与之关联的漏洞,一个不必要开放的端口,就意味着一堆漏洞可以被攻击者利用。反过来说,关闭一个不必要开放的端口,就好比给系统戴上了一个口罩,系统就很确定地比过去更安全了,关闭得越多,越安全。正因为这件事重要,所以在《等保2.0》中有明确的要求,不必要开放的端口必须关闭!而《关保要求》里给了这件事一个新词——“收敛暴露面”。
总结一下,风险的内涵很丰富,但是真正能确定性评估的就是两个,一个是资产,一个是暴露面。所以,风险管理首先应该从资产识别和暴露面识别开始,把这两个工作做好了,再辅以漏洞扫描、基线核查和威胁情报,庶几无差矣。
下一代暴露面治理
资产识别没啥难的,属于七分管理三分技术的事,我们主要谈谈如何评估和治理暴露面。“下一代”这词,在网络安全行业滥觞于十年前的下一代防火墙。在那之后,各种下一代就层出不穷,到今天已经成了个不被有识之士欣赏的烂梗了。然而,蔷薇灵动两个创始人恰恰是下一代防火墙在国内的始作俑者,多少还是有些怀旧情怀,所以姑且使用这种命名方式,以和当下流行的暴露面治理方法做个区别。
暴露面治理分为识别和收敛两个主要动作,我们就从这两个方面来进行对比。先说识别对象。当下的暴露面识别主要集中在互联网暴露面的识别上,也就是那些可以被互联网流量直接访问到的资产端口。但是这在云计算时代其实是远远不够的,多应用混部、多租户混部、业务大集中、数据大集中都要求我们更多关注内部暴露面。而且《关保要求》里既然要求了业务间隔离,那么就应该对业务间暴露面识别。而为了防范勒索病毒,最好也做一下业务内暴露面识别,以尽量下降系统被勒索病毒感染的风险。
再说表征方法,暴露面该怎么描述?说来有意思,我们居然找不到一种公认的暴露面表达法。在行业里,流传着一个叫“端口台账“的词,不过也没有明确的细节,大概意思就是一本账,记载了所有资产上的端口开放和使用情况。注意,这里的使用是个布尔值,也就是有人用还是没人用,没人用的应该关闭,等保2.0基本上就是这么个意思。但是我们说这种表达方式太粗糙了。事实上,除了有一些端口根本没人使用外,还有一种情况是,从业务角度讲,端口是必须要开放的,但是只需要被一两台服务器访问,而实际上却可以被全网服务器访问,如果把这种开放程度的必要性也纳入考量,那么端口暴露面的数值表达就不是0和1,而应该是个正整数。
再说暴露面收敛手段,传统的端口暴露面收敛手段有两种,一个是直接改动服务器配置,关闭端口,还有一种是在边界防火墙上做策略封堵暴露面。是的,防火墙的作用就是收敛暴露面!它把资产保护在网络内部,只把必要的端口暴露出去,这不就是收敛暴露面么。但是这样做,也有问题,一个是对于内部暴露面起不到封锁作用,另外一个就是很难把策略做得特别细,因此暴露面收敛效果往往不佳。
那么下一代暴露面治理应该什么样呢?我们用三句话来概括:全流量评估,访问源赋值,端点级收敛。
● 先说全流量评估。下一代暴露面治理是面向云计算时代的治理手段,不仅要治理互联网暴露面,更要治理内部暴露面。或者说不分南北东西、内部外部,只要有流量可以流入的端口,都需要得到识别和治理,这就叫全流量评估。
● 再说访问源赋值。在过去,端口暴露面的数字化评估就是个0/1的布尔值。而在下一代端口治理体系中,这个值成为了一个正整数,它描述的是能够访问这个端口的访问源总数。在做暴露面收敛的时候,不再仅有开放和关闭两个选项,而是可以通过防火墙在保持端口开放的情况下,把访问源限制到最小。比如说,一个1001台服务器的网络,一个开放端口的暴露面量化评估就是1000,而如果通过防火墙策略把访问源限制到特定的3台服务器,那么端口暴露面的值就变成了3,这种情况下虽然没有关闭端口,但是把端口暴露面缩减了99.7%。
● 再说端点级收敛。为了面向全流量做收敛,除了面向互联网的边界防火墙外,还需要在端点引入主机防火墙。最好的分工是,边界防火墙管理互联网流量,做面向端口的暴露面收敛,而端点上的主机防火墙管理内部访问,做基于访问源的暴露面收敛。
业内人士都公认,防火墙是网络安全的基石,而如果换个角度,也可以说,暴露面治理是网络安全的基石,过去如此,现在如此,将来还是如此。下一代暴露面治理,摆脱了防火墙的产品形态,超越了过去的传统假设,直面当下的基础设施特征和威胁演进态势,与时俱进,为用户的网络安全管理提供了新时代的理论基础。
知心平台暴露面数字化评估与治理
知心是蔷薇灵动在微隔离技术基础上开发的东西向流量安全分析平台,如果用一句话来描述知心平台那就是——“洞察东西向,看懂暴露面”。知心平台最核心的两个能力,一个是对流量的理解,一个就是对暴露面的理解。
知心平台通过三个数据来评估暴露面,一个是主机端口监听数据,一个东西向流量数据,一个是业务白名单策略数据。通过主机端口监听数据,我们可以知道资产的端口监听情况。而通过东西向流量数据,我们就能知道那些端口有被访问,被谁访问了,哪些端口没有被访问。而通过业务白名单策略,我们能知道资产的最小开放权限应该如何,这个数据有的时候和业务数据是一致的,有的时候是不一致的。
(知心平台暴露面治理原则)
通过这些数据,知心平台提供了一系列暴露面管理工具。比如说,业务的暴露面走势图。我们汇总了业务内所有资产的暴露面数据构成业务暴露面(这是GB/T 20984-2022中明确要求又很难解决的一个技术难题),然后再以时间为刻度,标注每一个统计时点业务的暴露面总评分,这些评分在一起就构成了一个走势图,通过这个走势图,可以判断业务的暴露面是否有变大的趋势,也可以评估我们对业务做的收敛工作是否真正发挥了作用。
再比如说暴露面的三个关键指标:最大暴露面,最小暴露面和真实暴露面。最大暴露面是说如果不做任何防火墙策略,那么业务当下的暴露面是多大。最小暴露面是说,从业务需求的角度看,业务最低开放多少暴露面就够了。而真实暴露面则是说,在当前防火墙策略下,业务的暴露面实际是多少。一般来讲,真实暴露面会比最大暴露面小,但是会比最小暴露面大。真实暴露面相较于最大暴露面的缩减率就代表了我们的工作效果,比如说,我们的用户很多都能做到90%以上的暴露面缩减率。而真实暴露面相较于最小暴露面的差异,就是我们可以去提升的空间,遗憾的是,根据我们的经验,这个数值一般也远高于90%。
(知心平台内部暴露面评估)
利用知心的暴露面评估系统,用户可以收获几个关键的价值。首先,最核心的就是一套数字化安全运营指标。“业务真实暴露面”、“暴露面缩减率”等指标可以构成企业的安全运营基线,通过这些指标可以量化的评估企业的安全现状,以及用户的安全工作水平。而这些指标的变化,则给安全运营提供了敏感的信号。比如今年网安嘉年华期间,我们的用户在开始的时候已经把暴露面缩减率做到了90%以上,但是由于网络中临时接入了一些未经暴露面收敛的主机,整个网络的暴露面缩减率瞬间下降到70%左右,而总暴露面则出现了暴增。根据这一信号,我们协同用户管理员连夜奋战,才终于把指标回归到了基线水平。
另外,知心平台的另一个关键作用就是帮助用户定位暴露面来源。暴露面的分布不是平均的,甚至都不是二八分布,而是一九分布乃至更极端。往往三四个业务就贡献了全网70%的暴露面,而一两台主机又贡献了业务暴露面的一半以上。如果没有知心平台的帮助,用户想找到哪些业务和资产的暴露面尤其是不必要开放暴露面是最大的,无异于大海捞针,而知心平台则可以快速的帮用户找到这些风险源,从而实现最有效的工作。
在确认了暴露面之后,通过跟微隔离系统的联动,知心平台可以方便的帮助用户实现快速的暴露面缩减,利用我们的智能策略生成引擎,可以帮助用户一键封堵90%以上的暴露面,可谓神兵利器。如果用户不希望通过微隔离来收敛暴露面,也可以通过关闭资产端口的方法,根据知心的数据分析结果,来进行手工的端口关闭,知心也将实时的反映出暴露面的变化,让您的每一点工作都得到可视化呈现!
知心平台完美实现了蔷薇灵动的下一代暴露面治理理念,为用户从面向攻防转向面向风险的网络安全治理体系打造了一个坚实的数字化运营平台,助力用户为他们的关键基础设施提供更具确定性的安全防御。