三大新兴安全架构:零信任、ATT&CK、自适应安全,哪个最难落地?

前言

传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品,对企业网络边界进行防护。它的核心思想是分区、分层(纵深防御)。边界模型专注防御边界,将“坏人”挡在外面,假定已经在边界内的任何事物都不会造成威胁,因而边界内部基本畅通无阻。

分层防御直观易懂,各企业在其上长期且持续地投入了大量的资源。但是,近年来网络攻击手段不断进化,黑客组织更趋专业化和功利化,连Google、RSA这样的科技公司或专业安全公司都会中招。而移动办公和云服务的增长,也令越来越多的企业难以确立起自己的网络边界。

于是,三种新的安全架构——零信任模型 (Forrester’s Zero Trust Model)、ATT&CK框架 (MITRE’s Adversarial Tactics, Techniques & Common Knowledge Framework)、自适应安全 (Gartner’s Adaptive Security Architecture 3.0, CARTA)——进入了安全人员的视野,甚至部分架构还有了成功落地的明星项目 (Google’s BeyondCorp)。

那这三个模型,哪个最容易上手呢?

零信任模型

2010年提出的零信任模型的核心思想,是默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。

而以Google的实践为例(11-17年,至少花了6年),其核心理念是以下三点:

  1. 发起连接时所在的网络不能决定你可以访问的服务
  2. 服务访问权限的授予以我们对你和你的设备的了解为基础
  3. 对服务的访问必须全部通过身份验证,获得授权并经过加密

深究细节的话,Google和Forrester的模型会有一些差别,但核心思想是一致的。而且其重要组件访问代理 (Access Proxy)与零信任模型中的隔离网关 (Segmentation Gateway),拓扑位置和作用也基本对位。

以笔者角度来看,零信任模型中的部分做法,还是比较好实现的。比如虽然大部分企业使用的Windows AD域环境天然地与零信任模型理念不合(不单单是只能固定密码),但我们仍然可以对Windows认证体系进行加固和改造,极大提高其安全性。有兴趣的朋友可以了解一下pGina这款开源工具,可以与第三方RADIUS服务集成,实现双因子认证。

而在设备端,也可以部署像Cisco ISE这样的网络接入控制管理产品,来限制只有公司配发的设备才能接入网络。当然拦截的位置和BeyondCorp不太一样,实现方式也不同(Google为每台设备签发特定的设备证书),这会影响事后审计的难度。

访问代理 (Access Proxy)是比较难实现的。或者说如果改动,技术上有解,但可能会对日常工作方式和使用体验有较大的冲击。对于企业来说,也许只能一点一点迁移。

ATT&CK框架

2013年由安全研究机构MITRE推出的ATT&CK模型,它是根据真实的观察数据来描述和分类对抗行为。ATT&CK将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术(Tactics)、技术(Techniques)和流程(Procedures),并通过矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示。

ATT&CK模型站在攻击者的视角,比从纯粹的防御角度更容易理解上下文中的行动和潜在对策。

ATT&CK框架提供了对抗行动和信息之间的关系和依存关系,防御者可以追踪攻击者采取每项行动的动机,并了解这些行动和依存关系。拥有了这些信息之后,安全人员的工作从寻找发生了什么事情,转变为按照ATT&CK框架,将防御策略与攻击者的手册对比,预测会发生什么事情。

使用ATT&CK框架来提升检测能力的首要步骤就是对数据源进行盘点。ATT&CK框架已定义了大约50种不同类型的数据源。对于每个数据源,企业需要对数据质量、数量内容等方面进行管理。可以使用ATT&CK导航工具,将数据源映射之后,进行可视化展示。

ATT&CK框架中有300多种技术,并且会随着新技术的推出而逐渐增加。而清点数据源对不少企业也是一项耗时的工作。笔者觉得有志于此的企业在初期可以先了解并熟悉ATT&CK框架中的哪些技术(攻击方法),减少思维盲点并梳理攻击特征,然后将所得应用在现有的安全产品和监控手段上。等将来安全队伍扩大后,再图精进。

自适应安全 3.0 (CARTA)

自适应安全框架是Gartner在2014年提出的面向下一代的安全体系框架,用于应对云计算与物联网快速发展所带来的新型安全形势,并分别在17、18年发布了2.0和3.0版本。它从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。

Gartner咨询公司的角色定位,决定了它提出的概念往往是比较抽象、比较”上层”的。它的这套框架理念,乍一看似乎专业的安全团队或多或少都会融入到日常的工作中。比较显眼的关键字,可能就是retrospective analysis(回溯分析)、anticipate threats/attacks(预测)和baseline system and security posture(安全基线)。

上述几个概念,国内外都有众多对应的产品,有些还是这两年的市场热点,比如UEBA、SIEM、EDR、NDR等等。总之考虑到Gartner的市场地位,业内还是挺认可其提出的概念的。

结论

如果让笔者来选择的话,

  1. 零信任模型是基础,是需要优先实施的改进项(即使只有部分实现)
  2. ATT&CK中的攻击方式需要熟悉,所关联的资产至少要知道位于逻辑或物理的哪个位置,以及数据如何流动
  3. 进一步盘点系统日志和网络流量监控的覆盖程度,尽可能部署全流量捕获/分析系统,提供对安全事件的分析和回溯能力
  4. 引入趋势分析、机器学习、大数据&AI等能力,提供对威胁预测和安全基线感知的能力

安全上笔者信奉适合的才是最好的,安全架构一定要符合公司目前的体量。这样看来,大家觉得哪一个难度最大呢?

 1,870 total views,  5 views today

几款开源NTA/IPS/NDR工具的简单比较

笔者目前所在的公司,办公网用户端有安装桌管软件,IDC服务器有部署某安全初创公司的EDR产品,综合来看在终端这层做得还算到位,能满足目前业务体量下的安全需求。但是在网络这层,却一直是有缺失的。除了SNMP监控,就几乎没有其他的网络监控工具了。以往出现突发事件,还需要在入口处部署一台机器临时抓包。效率低不说,问题回溯能力几乎没有。

先前部署了一套NetFlow流量分析系统后,算是对内网可视化有从0到1的改变,并发现和定位了几起流量异常和员工异常行为。但既然NetFlow都收集了,总忍不住想看一看更底层的数据包,是否能捕获更多的异常事件。于是就收集了一下这几年出现的一些开源的网络流量分析工具,看看有没有能满足基本需求的:

SIEMonster和SecurityOnion这两款,同互联网界的元老级开源SIEM项目OSSIM类似,既做Network IDS又做Host IDS,是大而全的项目,且SIEMonster企业版还支持Human Based Behaviour和Machine Learning。但以笔者经验,小众开源项目走大而全的路子,能出彩的可能性不高(要么就是免费有阉割)。另外系统大了部署和配置就会比较“重”,所以这两款就先观望。

RockNSM项目比较新,据说还拿到了2018年的美国政府创新奖。就是试用下来bug还是不少(100Mbps左右的流量就出现了性能问题、Suricata的数据出不来)。UI也是基于Kibana的简单定制,乍看酷炫,就是比较难抓到重点:

SELKS的完成度就比较高了,部署快,UI除了标准的Kibana还有自己定制的报表和性能看板。新的5.0更集成了全流量抓包工具Moloch。整合的工具不多,但是选取视角和质量都不错。

最终,我们就留用了SELKS作为现阶段临时的网络流量分析工具。剩下的工作就是对Suricata规则的熟悉和理解,争取可以编写自己的规则。

顺便记录一下两个bug:

  1. Rulesets sources里有几个源在github上,需要有梯子才能正常更新
  2. 5.0版本集成的Moloch,一些组件的路径要修改下。否则服务无法启动

当然使用免费开源的IDS工具是不得已的办法,大环境不好,今年IT的预算一定是缩减的。不过另一方面,企业在安全这项的支出上一定要意识到安全专家的人力成本才是最高的,IDS这种产品容易生成海量的告警,总得有人看,对吧?

 3,566 total views,  6 views today

OWASP Top 10十七年演变史

自2003年发布首个版本以来,OWASP Top 10在17年间发布了6个版本 (2003 – 2004 – 2007 – 2010 – 2013 – 2017)。而当前最新版本仍然是2017版:https://owasp.org/www-project-top-ten/ 。这就2020年了,可以期待一下今年会不会发布新版 🙂

根据官网的描述:

OWASP Top 10是针对开发人员和Web应用程序安全性的标准安全意识文档。 它代表了对Web应用程序最严重的安全风险的广泛共识。
公司应采用此文档,并开始确保其Web应用程序将这些风险降至最低的过程。 使用OWASP Top 10可能是将组织内的软件开发文化转变为产生更安全代码的文化的最有效的第一步。

让我们来看看过去的6个版本都有哪些变化:

可以看到,伴随着互联网浪潮,注入漏洞 (Injection) 一路水涨船高,近三个版本更是牢牢占据榜首。2017年版新增了三种漏洞类型:XML外部实体 (XXE)、不安全的反序列化 (Insecure deserialization)、不足的日志记录和监控 (Insufficient logging and monitoring)。

对这些漏洞的具体解读,推荐大家阅读OWASP Top 10中文翻译项目组的作品:http://www.owasp.org.cn/owasp-project/2017-owasp-top-10

对于企业信息安全建设,从来没有终点,希望所有安全相关从业者都关注对照OWASP Top 10,利用好最佳实践,结合自身环境,多方位持续性地自查风险、改善,采取有重点的保护防范措施,在人、技术(工具)、流程三个维度提高业务系统安全性。

 1,014 total views,  2 views today

CISSP CPE学分挣取之路

去年花了大半年的时间与精力通过了CISSP考试并获取了证书,也算是圆了第一份工作(趋势科技)时留下的遗憾。不得不说CISSP证书的含金量在IT认证中确实是数一数二的,光6小时的考试时长就能让不少人望而生畏,更别提它的“认证后”管理。

投入了这么多成本才拿到的证书(699美元),肯定不舍得让它轻易过期,所以renew CISSP必须的CPE(持续专业教育)学分的挣取计划也就提上了日程。CISSP资质有效期是3年,在3年内通过阅读安全书刊、官方课程或参与各种安全实践获得满120个CPE积分,便可保持资质。

在获取官方的CPE课程资源前,需要先加入ISC2的会员。去年7月起,会员费从85美元涨到了125美元,三年就是375美元…

CPE获取方式有很多,例如ISC2官方活动或课程、安全相关的自学、写作或出版、主持网络研讨会或播客、志愿工作、特定的安全项目经历或非安全领域的职业发展活动(有获取上限)等。

更多内容可以参考官方的CPE Guide

 1,114 total views,  3 views today

安全扫描技术操作规范

安全组会使用多种安全工具(免费、商业、自研),周期性地执行以下技术安全扫描操作:

项目说明周期工具
读写共享文件夹扫描Everyone可读的共享文件夹存在数据泄漏风险;Everyone读写权限的共享文件夹易成为病毒传播的媒介每周SoftPerfect Network Scanner 6.2.1
授权:免费
Windows弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Medusa
授权:开源
SQL弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Hydra
授权:开源
未加域机器扫描机器不加入公司域会造成组策略、登录脚本和安全更新无法应用到主机每周Microsoft Baseline Security Analyzer (MBSA)
授权:免费
系统漏洞扫描使用非特权账号,对所有开放的TCP/UDP端口执行网络扫描,根据漏洞数据库检查发现已知漏洞每月OpenVAS
授权:开源
防火墙规则扫描检查可能的防火墙规则配置错误,避免不应该开启的端口曝光在公网上每月ScanLine
授权:免费
防病毒软件安装扫描检查Windows平台防病毒软件安装情况每月Trend Micro Vulnerability Scanner
授权:随安全产品捆绑
微软补丁应用扫描检查Windows平台Service Pack和Hotfix应用情况每月Microsoft Baseline Security Analyzer (MBSA)
授权:免费
域用户登录扫描未使用域帐号登录操作系统会造成组策略、登录脚本和安全更新无法应用到主机每月PsLoggedOn
授权:免费
数据库安全扫描检查数据库服务器不安全的参数配置,并建议安全最佳做法每月(内部服务)
每周(对外服务)
SQLdict
授权:免费
Scuba
授权:免费
Microsoft Baseline Security Analyzer (MBSA)
授权:免费
Web应用安全扫描对Web应用进行安全扫描,防止可能的黑客对我们的应用未经授权的访问并窃取敏感数据
参考:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
按需/每季度Arachni
授权:开源
OWASP Zed Attack Proxy (Paros Proxy)
授权:开源
Acunetix Web Vulnerability Scanner
授权:评估版
Netsparker Web Vulnerability Scanner
授权:评估版

 1,054 total views,  2 views today