第24篇,云安全践行者之路
正文共4246字,建议阅读时间12分钟
我和我的网安之路
第24篇 云安全践行者之路
索引
目录
01 云发展进入快车道
02 云安全的演变
03 对抗的本质和上帝视角
04 基于大数据的向前防御体系
05 网络安全应转化成安全网络
01 云发展进入快车道
02 云安全的演变
有了云,自然离不开云的安全,云的特点是让使用者可以更便捷的访问及应用,同样对于黑客来说,攻击路径也更加简短和直接。
随着互联网技术的广泛应用,网络空间威胁和风险日益增多。主要表现在:网络攻击高发频发,攻击组织性与目的性更加凸显;高危0day漏洞数量上升,信息系统面临的漏洞威胁更加严峻;数据安全防护意识薄弱,大规模数据泄露事件频发;网络攻击自动化程度不断提升,技术对抗更加激烈;集团企业业务系统安全问题依然突出,新技术应用带来新的安全隐患。
十五年之前,Web应用防火墙(WAF)刚在国内发展起来,大量的WAF被买来放入内网边界作为抵御Web应用攻击的防线。而随着云的发展,越来越多的业务上云,越来越多的业务需要安全保护,我们会突然发现硬件的WAF无从部署,不知道怎么融入到云体系内发挥其作用。同时我们也发现了一个重要问题,硬件安全产品放入内网后,基本就降低了它的生命力,无法随着时间的推移而不断积累它的能力。是不是有个熟悉的场景:竞测和招投标PK的时候,友商之间比谁的防护策略种类多、条目多,你说有1000条规则,我就敢写有2000条,等到了实际中标后产品上线的时候,却因为怕误拦截只敢开最小组合的策略包,也许只有100条规则被用了起来,适配无误后,这台硬件防护设备可能就此不会再有人关注,即使时常有策略的更新推送也基本不会被应用。反正我的一个客户,现在仍然在用7年前购买的硬件WAF而从来没有升级过,竟然这个WAF仍然一丝不苟的在服役。
2009年左右,美国有一家叫Cloudflare的云服务公司成立,做云防火墙、DDoS 防护、CDN等业务。到了2019年,它已经占有全球16%以上的CDN市场。Cloudflare能做什么?它可以让你的网站成为永远打不死的小强。不但可以让你的网站访问速度更快,还能抵御绝大部分的网络攻击,智能过滤可疑流量,隐藏你的真实网站IP地址。让许多中小网站十分头疼的DDoS攻击在Cloudflare面前都是小菜一碟。
更不得了的是,Cloudflare还特别的便宜,大家都能用得起,免费服务就可以防御大部分DDoS攻击。便宜是一方面,配置还十分简单,只需要修改域名的DNS解析指向,在Cloudflare后台就可以一键开启防护。即使只是一个个人普通的网站,也可以做到铜墙铁壁。
欧美国家网站普遍使用Cloudflare,如果要去攻击这些网站将会非常痛苦,实际上对绝大多数人来说是根本不可能的,所有攻击都是考虑怎样绕过Cloudflare直接攻击源服务器,但是如果配置正确源站也很少会暴露。Cloudflare还支持IPv6解析,要扫描IPv6是不可能完成的任务。懂点技术的话,在服务器上配置好防火墙,只允许Cloudflare的IP列表使用80和443端口,这样就完全解决了暴露源站IP的问题。Cloudflare有专门用于源服务器与CDN网络之间双向TLS加密的方法。即只能由Cloudflare的CDN与源服务器之间进行通信。
当感受到Cloudflare和传统WAF之间的能力差距之后,我看到了一个趋势和场景,使用云架构的安全产品来防护云的安全,一定会成为了云最主要的防护手段,云也将是隔空和黑客对抗的直接战场,云的安全也将取决于谁能更好的利用云的特性,谁能更快的使用大数据的来发现蛛丝马迹,谁能够协同更多的资源和力量。也正是因为看到了这个方向,我联合创立的安全公司知道创宇里投入了大量研发力量进行了云防护相关的研究和产品开发,做出来一款可以真正和黑客隔空对抗的、可以随着时间的推移不断增加其经验和能力的“活的”云防护产品“创宇盾”。
03 对抗的本质和上帝视角
我经常在思考,攻防对抗的核心能力是什么?思考下来,攻防对抗其实就是人的智慧在对抗,脱离不了攻防者的经验和思路,而安全硬件设备就是希望能够将人的经验固化为机器可操作的指令,因此有了规则。但是人的经验和智慧是随时在变化的,攻防的对抗也在不断升级,你来我往,不亦乐乎。那么机器规则能不能实时的跟进这种升级和变化呢,目前肯定是不行的。时至今日,大家都在提AI,在我看来AI还不能替代人的经验,现在最有效的“人工智能”,应该还是人工+智能的模式,我们经常开玩笑地说:“有多少人工,就能有多少智能”。智能通过大数据、深度学习等技术得出辅助决策数据,供人来判断和使用,而这些数据会随着时间的推移不断积累和反应,直到发生质变,产生高维度的视角和能力。
知道创宇云防护体系的核心,正是由一群极其富有经验和想象力的年轻人组成的“积极防御小组”,这个小组一直保持着精英小队的模式,人人精通攻防技术,熟悉大数据分析和各种深度学习算法,同时也拥有海量的数据,这些大数据经过分析和提炼后,给积极防御小组提供了更高维度的决策依据。比如积极防御小组可以通过一个IP线索,找到历史上这个IP在什么时间,访问过什么系统,从哪里进行的访问,做过哪些操作,是否有过攻击行为,使用过哪些攻击工具或者漏洞,攻击过哪些系统等等;再比如,当出现一个0day的时候,我们可以发现知道创宇云防御体系保护下的100多万系统有多少正在受到攻击,有多少系统已经被攻破了,还可以知道0day公开之前,谁用过这个漏洞进行过攻击。以上这种一览无余的视角我们叫做“上帝视角”。
当云防御体系拥有这种“上帝视角”的时候,很多攻防的对抗就显得相对容易了许多,可以很快发现攻击者的痕迹并进行干预。基于我们长达数年的分析、跟踪和积累后,现在我们的黑客数据库里已经躺了33万黑客的资料,这些黑客都做过什么,用过什么工具,有什么特征,用过哪些IP地址等等,都被我们标记了出来,并且在近几年的国家网络攻防演练中,黑客数据库对溯源都发挥了重大作用。2020年的演练过程中,我们不但溯源到了红队的攻击人员,还溯源到了隐藏在演练攻击流量里的真实境外黑客。当我们将这份溯源报告上报给国家监管部门后,得到了高度的嘉奖和1000分以上的单个溯源报告得分。
04 基于大数据的向前防御体系
向前防御这个概念,就是要将防线推到我的资产边界之外,在前线进行快速、直接的防御,有点类似于篮球战术里的高位逼抢。其实在美国网军的战术里,就多次提到“forward defense”,他们将防线推到自身网络覆盖范围之外,甚至直接在对手的地盘上直接防御和反击。
为什么要提向前防御概念,首先,内网相对来说更像一个灰盒状态,越是大型政府、企业越是如此,虽然运维人员有内网拓扑图,但是实际上内网经常是错综复杂的,包括网络设备、安全设备、数据、策略配置、人等等,每一个因素都可能导致内网产生不可预知的变化,这也给了黑客更多的藏身之所以及实施攻击的便利条件,在内网做攻防基本等同于捕风捉影,即使能够捕捉到对手的痕迹,也可能会为了一个堡垒机、一个服务器的权限争夺开展肉搏巷战,何其惨烈;其次,如果黑客已经进入内网,往往意味着边界防御已经被突破了,可能黑客已经被拿到了权限、账号口令及资产清单,此时再进行防守,相当于亡羊补牢,难度可想而知;最后,向前防御不但可以将防线提前,将战场转移至更加开阔的互联网,更可以通过大数据积累把全网协同能力发挥出来。黑客在外部做攻击尝试时,一定会有痕迹及特征留下来,只是看防御者能不能发现,比如黑客使用了同样的漏洞利用代码在其它类似网站上进行过攻击尝试,比如黑客攻击过同行业的其它业务系统等等,只要能够在外部利用大协同、大连接、大数据的特点发现蛛丝马迹,就可以定位黑客,并按照防守者的意愿全网拦截或者进行攻击诱捕及溯源。
云防御的最新应用和优势,正是使用了向前防御的理念,可以想象,当某集团所有面向互联网开放的业务系统都被云防御安全罩包裹在公网时,所有的攻防边界都将在安全罩的最外层进行,这个安全罩的外层越大,接触面也就越大,那么可以感受到攻击的范围也就越广,也越迅速。
05 网络安全应转化成安全网络
云业务已经成为了一大产业,并已成为了像阿里、腾讯、华为这类巨无霸公司新的发展驱动力,可以预见,云安全也将相辅相成地成为最重要、对抗最直接、发展最快的一块安全阵地。我们希望,安全也能够成为必需品而非奢侈品或者附加品,云的安全能够成为净水器一样的装置,给业务带来纯净的流量,让“水”这个生存的必要条件可以更安全、更可靠。
因此,我们的最终目标,是将网络安全转化成安全网络,让每个网络、业务系统在接入时就可以享受到安全纯净的输入流量,而不用再担心网络里是否有“杂质”,我相信,云防御终究可以达到这个目标。
策划:Calvin 采集:杨安 编辑:阮丹阳