縱深防御:分層的工具與程序為了更好的安全
什么是縱深防御?
縱深防御是指多種安全工具、機制以及政策進行串聯部署的一種安全策略。這樣,即使其中的某道防線失陷了,也仍會有其他防線來繼續抵御攻擊。不光依靠防火墻來阻止黑客進入公司的內部網絡,組織還會部署終端安全軟件和入侵檢測系統(IDS),以檢測任何設法繞過防火墻的攻擊者。縱深防御的目的并不是部署不同的工具來抵御不同的特定威脅;相反,其策略是假設攻擊者會成功破壞或繞過其中某些安全工具,而其他工具則會負責收拾殘局,以不同的方式進行反擊。
縱深防御有時也被稱為堡壘策略:面對擁有許多護城河和圍墻的中世紀城堡,攻擊者不得不進行層層突破。縱深防御的概念起源于軍事領域,描述的是處于劣勢的防御軍隊戰略性地撤退到國土內部,利用空間優勢來爭取時間。然而,這并不是網絡縱深防御的運作方式,因為防御者不會故意將任何系統的控制權移交給攻擊者(就像使用蜜罐一樣)。相反,縱深防御更像是這樣一種情況:攻擊者遇到一系列牢固的防線,每當舊的防線被攻破,便會有新的防線被建立起來。并且這里所有的安全工具都是被當作最后一道防線來設置的。正如Michael Howard 和 David LeBlanc 在《 Writing Secure Code》一書中提到的那樣:“如果你希望防火墻可以保護自己的安全,那么就請以防火墻被破壞為前提來構建系統。”
為什么說縱深防御十分重要
縱深防御之所以那么重要,是因為傳統的邊界防御模式本身是無法維持的。邊界防御的理念是提供盡可能多的資源,利用防火墻以及個體機器上的防御來加固自己的外部邊界,從而阻止攻擊者在網絡中獲得任何的立足點。而這種網絡防御理念已經與我們的現實生活逐漸脫節。線上辦公,以及公有云和私有云的廣泛應用使得我們需要保護的邊界越來越難以定義。
然而,這并不是說實施縱深防御戰略的組織就應該放棄防火墻和其他周邊防御。而是指,他們必須要認識到:防火墻與其他安全工具一樣,對于經驗豐富的黑客或者堅持不懈的攻擊者而言,都是可以攻破的。并且,由于網絡資產的價值不菲,所以攻擊發起時,企業不會是毫無防備的。在現實環境中,防火墻隨時可能會被攻破,甚至用來進行防御的安全工具也需要其他的防御工具來保護自己。
其實,縱深防御在很多方面,都與另一個日益流行的網絡安全理念相吻合,那就是零信任。零信任的體系架構是建立在這樣一種理念之上的:網絡上的任何用戶或設備都應受到持續的質疑和監控,以確保他們沒有對身份進行偽造,并且不會做出一些被禁止的行為。這種理念需要一些安全工具和安全政策的深層防御基礎設施,并且這些工具和政策要能夠監視與網絡交互的所有內容。
縱深防御與分層安全防御
實際上,你可能會經常遇到將“縱深防御”和“分層安全防御”這兩個概念等同起來的情況。對于大部分使用過它們的人來說,其使用目的都或多或少地相似。正如我們所意識到的那樣,深層防御基礎設施包括多個層次的安全工具,并且每一層級都非常重要。
然而,這些層級并不是縱深防御的全部內容。不僅僅限于技術范疇,一個縱深防御架構還需要提前確認:如何應對正在進行的攻擊,以及如何報告和應對那些在事后才發現的內部損壞。換句話來講,工具層次僅是縱深防御的一部分,其余的部分則在于縱深防御策略所需要的組織思維。
縱深防御的要素組成
首先,我們來考慮一下該如何將縱深防御策略中的所有要素結合在一起,以保護組織的網絡基礎設施。一種視縱深防御為整體的思維將防御元素分為了三個大類:管理控制、物理控制以及技術控制。每一類都具有其獨特的重要性。
- 管理控制:是創建一個安全環境的大型組織策略。這可能包括關于如何選取和剔除信息安全工具的策略、安全處理數據的程序以及對來自第三方供應商系統的風險進行管理的架構。
- 物理控制:在某些方面是最簡單的,但也經常會被忽略掉。物理控制措施可以防止來自現實世界的攻擊者訪問組織的數據或者計算機系統。它包括:門禁卡、辦公室和數據中心的防盜門以及保安等。甚至,有些現實世界的攻擊者會冒充公司員工或外賣員來進入到公司內部,從而訪問數據。
- 技術控制:是我們一直在討論的,針對硬件、軟件和網絡的安全工具層。下面我們將會深入討論技術控制中的詳細內容
深層次的防御
這些層次可以劃分為以下幾個廣泛的類別:
網絡:縱深防御策略不能忽視邊界,并且需要從防火墻或IDS開始,來設法阻止對網絡邊緣的攻擊。入侵保護系統和其他網絡監控工具會掃描網絡上的流量,以發現防火墻被攻破的證據,并自動化地作出響應或呼叫人工來進行修復。像VPN這類的工具就是用來對用戶的身份進行驗證,并使其更加安全地連接到組織內部。
反惡意軟件:類似于防火墻這種的殺毒軟件,有時聽起來好像是上個世紀的東西了。但是其中的一些工具仍可以幫助掃描基礎設施中的惡意軟件,無論是通過數據簽名來將文件與數據庫進行匹配,還是利用探索法來發現可疑模式。如果防火墻被攻破了,那么這些就是下一層防御的關鍵內容。
行為分析:現實世界中的警察傾向于關注那些行為可疑的人,網絡安全領域的專業人士也應同樣如此。但網絡安全領域的觀察對象不僅限于人,也可能是自動化程序。需要有專門的工具來判斷他們的行為是否異常(前提是需要對正常行為有一個明確的定義),并將其進行標記以進行調查。例如,是否有人突然訪問了他們往常不會訪問的數據?是否有一些匿名的主機向其他服務器發送了大量的加密信息。如果有,那么就意味著可能存在著一些麻煩。
數據完整性:文件是否已被修改、復制或者泄露?接收的文件是否與網絡上的某個內容不同的文件同名?文件是否與某個神秘或可疑的IP地址有關聯?在最壞的情況下,例如文件被勒索軟件破壞或加密的話,是否有備份來彌補損失?解決以上這些問題的工具則屬于另一個關鍵的防御層級。
縱深防御的工作原理:一個例子
想象一下,一個攻擊者正試圖從數據中心泄露客戶有價值的個人身份信息。他們試圖通過在組織的系統中設置后門,以允許自己擁有訪問特權。
在縱深防御中,有幾點可以抵御此類攻擊。其中,在政策和程序層次上,組織會定期地進行網絡釣魚模擬演練,這樣組織的員工就會時刻保持警惕,不會輕易落入攻擊者的圈套。同時,組織還會定期更新補丁,以確保攻擊者的惡意軟件所利用的漏洞不會在系統中被打開。在技術層面上,安裝有后門的木馬可以被電子郵件檢測系統檢測到,或者后門本身也可以被反惡意軟件工具識別出來。假設有惡意人員設法訪問了企業的網絡,那么一旦分析工具檢測到主機之間的橫向移動,或者發現數據正在被泄露,這些工具就會向安全操作中心發出警報。又或者,應用最小特權原則的身份驗證工具可以將數據庫進行鎖定,這樣攻擊者就永遠無法訪問到組織中最機密的數據。
理論上,這些防御措施中的任何一種都可以抵御攻擊者的攻擊。但是,一些有毅力的對手卻仍有可能會繞過其中一道或多道防線。
如何實施縱深防御
談論完這些,一些道理就呼之欲出了:縱深防御并不是可以直接買到的現成產品,它是構建整體安全理念的一種方式,實現它需要進行大量的思考。如果你想要弄清楚該如何完成該項重大任務的話,那么云供應商Fastly提出的以下事項會是一個很好的選擇:
- 清點組織的攻擊面,并確定目前有哪些保護措施
- 定義好每一層級中所需要的保護措施。
- 尋找對手可能會利用的系統組件中的間隙。
數世點評
同“零信任”理念相同,縱深防御策略旨在應對如今內外部網絡威脅不斷變化以及網絡邊界泛化模糊的新形勢。“零信任”安全架構可以更好地對橫向攻擊進行防御,為系統提供更加全面的保護,以降低威脅風險。而縱深防御則從多層次上整合安全工具,構建功能互補的安全防御體系,以增加攻擊的難度。然而安全程度的提高往往會伴隨著業務效率的降低,分層化的防御策略勢必會給不同層次間的業務協作帶來一定程度的阻礙,甚至會影響系統業務正常訪問的性能。
