美国特勤局的核心使命是保护美国总统,自特勤局开始保护总统起的110年里,只有7名攻击者切实侵入到了总统身边,且只有1名完成了他的任务,尽管总统每年都有数百场公众活动,任期内要会见成千上万人,特勤局依旧保持着这几近不败的记录,可谓战绩彪炳。
网络安全防御者面临类似的问题:他们要防护必须被保护的高价值资产,同时又不得不跟成百上千台其他服务器通信。不过,我们的网络安全记录可不怎么好看——2015年一年就发生了2260起数据泄露事件,绝大多数入侵者还是几分钟之内就攻破系统,而大多数防御者要几天之后才醒悟到泄露的发生。
特勤局一直以来都面对各种重大挑战,也将继续面对下去。不过,任何如此成功地应用了制度偏执的组织,必然在安全领域有可供他人参考的地方。
以下便是网络安全防御者可从特勤局习得的4招:
1. 你保护不了自己都看不见的东西
护卫任何地方的较早步,就是发现潜在的攻击路线。但即便到了今天,大多数网络安全防御,还是建立在靠记忆在餐巾纸上画出的网络拓扑一样的东西上。
事实上,近些年的每个重大入侵,都依赖攻击者对目标网络有着比防御者更好的认知上。2014 Carbanak 银行劫案就是个绝佳案例——数百次入侵,偷掉10亿美元,每次入侵都耗费上至4个月时间对目标网络进行侦察。更近一些的入侵,从孟加拉央行到美国人事管理局(OPM),也都符合相同的模式。
防御者常常对他们数据中心的实时运营只有较小的可见性,意味着他们知道自己的系统该怎样运转,但不知道它们实际上在怎么运行。攻击者就利用了这一缺口。特勤局会从攻击者的角度描绘运作环境,不这么干的防御者面对如今普遍调查详细决心坚定的入侵,自然就特别脆弱漏洞百出了。
2. 仅有可见性还不够——必须减小自己的攻击界面
无论是用绳索、栅栏、高墙还是帐篷,特勤局绝少会留掌控不到的地方。每块环境都有很多攻击路线,全部监视起来将会耗尽所有可用资源。但通过限制通向总统的路径,特勤局减少了风险,也能将资源集中到较有效的地方。
笔者当前职业,是带领团队周期性分析数据中心和云环境,帮助企业发现并关闭他们的攻击界面。我们发现,即使只有100台服务器的数据中心,服务器之间也存在有几十万个开放的端到端的通信路径。监视这么多路径,会让防御者淹没在警报和误报中,也就让公司无法分辨出究竟哪个才是较重要的。我们还发现,很多公司只用了不到3%的路径,引出一个简单的问题:那为什么要留着其他的开放端口呢?适应性分段就是数字版路障和绳线,是让网络安全防御者去除噪音,专注严重威胁的基础。
3. 给你的安全划分优先级
限制了攻击路线数量,形成较大风险的那些威胁便显露出来了。特勤局将其较宝贵资源——特工和监视摄像头,放置在较重要的交叉口和路径上。
很多网络安全防御者还在试图以平等对待每个服务器的方式保护他们的数据中心。如果你不视觉化自己的数据中心并采取措施减小攻击界面,那你别无选择,只能这么干。但这么做,会将防御者置于极度不利的地位,因为你服务器之间有几十万条那么多的路径,几乎不可能分辨出哪些是较重要的。而一旦我们对环境采取控制,减少这些通路,较危险的开放路径就会浮现出来:哪些路径可以让攻击者从开发移动到产品?哪些路径会让攻击者接触到高价值资产?
正如简化环境让特勤局得以更好地遂行护卫工作,简化服务器间的通信路径,也意味着你可以更快识别出数据中心里较危险的点,更有效地使用所有其他安全工具——蜜罐、入侵检测系统、行为分析、狩猎等等。
4. 专注于较有价值资产的安全后果
特勤局主要忧心总统面临的威胁的邻近度。有人穿越白宫栅栏就是个问题,因为这会让他们离总统更近。但这不意味着特勤局指望没人越过栅栏。实际上,有入侵者越过栅栏,但在草坪上被制服,正是安保应有的工作模式。栅栏阻挡了很多潜在闯入者,拖慢了闯入意志更坚定的人,这样他们就能在走得更远之前被阻住。
网络安全防御者依然经常觉得,任何对他们数据中心的入侵都意味着安保失败。但统计数据越来越证明,将全部入侵者当在边界之外是不可能的。较近的一个研究发现,2015年,75%的公司企业都至少被侵入过1次。特勤局明白这一挑战,因为他们从未依赖仅仅一层防御。深度防御是网络安全专家讨论了有些时日的概念,但很多数据中心依然是只要攻击突破边界就束手无措的状态。
入侵者有两个目的:收集目标环境的信息,以及利用这些信息对高价值资产搞破坏。与其专注边界,将之作为较重要的防线,我们更应该转变思维,将环绕高价值资产的围栅筑成较高的围墙。防线离高价值资产越远,将“识别”作为我们的目标就越重要——而不是100%的抗渗性。如果入侵者越过了外层边界,但在穿越草坪时被抓住,那并非失败的标志——而是安全系统照常运作的标志。
