將網(wǎng)絡(luò)可視化打造成為零信任架構(gòu)的底座

時(shí)間:2022-04-08 10:42:31 發(fā)布人:myadmin 來源:Gigamon技盟 點(diǎn)擊量:

2021年5月,美國發(fā)布了關(guān)于改善國家網(wǎng)絡(luò)安全的14028號(hào)總統(tǒng)令,指示聯(lián)邦機(jī)構(gòu)在對(duì)網(wǎng)絡(luò)安全進(jìn)行現(xiàn)代化改造并向云遷移時(shí),必須實(shí)現(xiàn)向零信任架構(gòu)(Zero Trust Architecture, ZTA)的過渡。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(The National Institute of Standards and Technology, NIST)在其發(fā)布的SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中,給出了向零信任架構(gòu)過渡的詳細(xì)指導(dǎo)。此外,美國管理和預(yù)算辦公室 (Office of Management and Budget, OMB)也出臺(tái)了針對(duì)零信任行動(dòng)的指導(dǎo)方針。

盡管總統(tǒng)令只針對(duì)聯(lián)邦機(jī)構(gòu),但它所包含的原則同樣適用于企業(yè)和政府機(jī)構(gòu)。對(duì)于組織來講,要實(shí)現(xiàn)零信任架構(gòu)的成功部署就需要進(jìn)行諸多戰(zhàn)略投資,其中之一便是對(duì)組織之間傳輸?shù)娜縿?dòng)態(tài)數(shù)據(jù)(包括數(shù)據(jù)中心、云和多云環(huán)境)實(shí)現(xiàn)完整、準(zhǔn)確以及及時(shí)的網(wǎng)絡(luò)可視化。


對(duì)NIST零信任架構(gòu)抽象定義的理解

作為零信任的一個(gè)方面,實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)的可視化被劃入SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中活動(dòng)日志邏輯組件的范疇,如下圖所示:


核心零信任邏輯組件


在SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案中, “網(wǎng)絡(luò)和系統(tǒng)活動(dòng)日志”組件的定義為:
“這是一個(gè)企業(yè)系統(tǒng),它聚合了資產(chǎn)日志、網(wǎng)絡(luò)流量、資源訪問操作和其他事件,這些事件提供關(guān)于企業(yè)信息系統(tǒng)安全態(tài)勢的實(shí)時(shí)(或接近實(shí)時(shí))反饋。”

此外,許多聯(lián)邦機(jī)構(gòu)也采用了更多可為零信任架構(gòu)帶來價(jià)值的技術(shù),包括身份和訪問管理(IAM)、端點(diǎn)檢測和響應(yīng)(EDR)以及安全信息和事件管理(SIEM)等。

但是,鑒于組織越來越傾向于采用更加成熟的零信任架構(gòu),即使這些組織已經(jīng)部署了以上技術(shù),其在安全方面仍然存在缺失。例如,物聯(lián)網(wǎng)(IoT)設(shè)備等特定節(jié)點(diǎn)可能與EDR軟件不兼容,主機(jī)的日志可能會(huì)被狡詐的網(wǎng)絡(luò)犯罪分子所操縱等。

在這種情況下,如果存在一種可擴(kuò)展并且集中化的網(wǎng)絡(luò)可視化方法,我們就可以借此降低風(fēng)險(xiǎn)水平。另外,如果我們可以部署某個(gè)領(lǐng)先的網(wǎng)絡(luò)可視化平臺(tái),通過濾除那些安全工具分析所需要的流量中的噪聲和重復(fù)數(shù)據(jù),我們就可以進(jìn)一步優(yōu)化零信任架構(gòu)的效率和擴(kuò)展性。

對(duì)組織中流動(dòng)的動(dòng)態(tài)數(shù)據(jù)(包括東西向流量)實(shí)現(xiàn)全面可視化,對(duì)于部署零信任架構(gòu),緩解IAM, EDR以及SIEM部署帶來的風(fēng)險(xiǎn)至關(guān)重要,如果深挖的話,我們認(rèn)為存在兩個(gè)關(guān)鍵原因。請注意,這里的東西向流量指的是數(shù)據(jù)中心和/或云服務(wù)提供商(CSP)內(nèi)部的節(jié)點(diǎn)之間的數(shù)據(jù)流,而實(shí)現(xiàn)對(duì)這些東西向流量的監(jiān)測,有助于組織檢測并響應(yīng)網(wǎng)絡(luò)犯罪分子從最初的突破點(diǎn)向高價(jià)值資產(chǎn)橫向移動(dòng)的嘗試。

原因之一:網(wǎng)絡(luò)數(shù)據(jù)在零信任架構(gòu)中扮演著核心角色,而實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)的可視化是理解網(wǎng)絡(luò)運(yùn)行狀態(tài)的一個(gè)關(guān)鍵方面。

NIST SP800-207《零信任架構(gòu)》標(biāo)準(zhǔn)草案明確指出:了解網(wǎng)絡(luò)運(yùn)行狀態(tài)已經(jīng)成為零信任架構(gòu)的一個(gè)重要原則,具體內(nèi)容如下:
“原則七:企業(yè)盡可能收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和通信現(xiàn)狀的信息,并利用這些信息改善其安全態(tài)勢。企業(yè)應(yīng)該收集有關(guān)資產(chǎn)安全態(tài)勢、網(wǎng)絡(luò)流量和訪問請求的數(shù)據(jù),處理這些數(shù)據(jù),然后使用獲得的情報(bào)來改進(jìn)策略的創(chuàng)建和實(shí)施。此數(shù)據(jù)還可用于為來自主體的訪問請求提供上下文。”

如何獲取這些狀態(tài)信息,對(duì)于組織來說主要就是收集網(wǎng)絡(luò)流量(包括訪問請求)并對(duì)其加以分析。為了解決《零信任架構(gòu)》標(biāo)準(zhǔn)草案中的活動(dòng)日志組件的問題,我們需要部署一套先進(jìn)的網(wǎng)絡(luò)可視化平臺(tái),這個(gè)平臺(tái)能夠以較高的網(wǎng)速向策略引擎提供有關(guān)網(wǎng)絡(luò)活動(dòng)的海量信息,并最終做出數(shù)據(jù)訪問決策。

此外,對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的分析可以補(bǔ)充或者用來驗(yàn)證數(shù)據(jù)類型的完整性,這些數(shù)據(jù)會(huì)被發(fā)送至策略引擎,同時(shí)還要滿足除零信任架構(gòu)之外的其他的已經(jīng)存在或者正在形成的聯(lián)邦政府安全要求。

原因之二:網(wǎng)絡(luò)可視化可以緩解那些EDR所無法解決的風(fēng)險(xiǎn),同時(shí)對(duì)EDR遙測技術(shù)進(jìn)行驗(yàn)證。

基于主機(jī)的安全產(chǎn)品(如EDR)在零信任架構(gòu)中發(fā)揮著重要作用。但另一方面,并不是所有端點(diǎn)都能部署EDR,明白這一點(diǎn)非常重要。這一現(xiàn)狀會(huì)為用戶帶來安全漏洞,需要采取更多措施加以緩解。

物聯(lián)網(wǎng)(loT)節(jié)點(diǎn)等特殊設(shè)備可能無法運(yùn)行EDR代理。類似地,運(yùn)營技術(shù)(OT)和工業(yè)控制系統(tǒng)(ICS)環(huán)境中通常會(huì)運(yùn)行專有或老舊操作系統(tǒng)的主機(jī),這些操作系統(tǒng)不能運(yùn)行EDR代理,也無法持續(xù)打安全補(bǔ)丁。另外,未經(jīng)授權(quán)的“影子IT”節(jié)點(diǎn)和“惡意IT”實(shí)例(如惡意軟件衍生的流氓虛機(jī)和微服務(wù)),也將在沒有EDR的情況下運(yùn)行。因此,對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測,以發(fā)現(xiàn)是否存在安全威脅,正變得越來越重要。

不過,即便是主機(jī)上可以安裝EDR軟件,風(fēng)險(xiǎn)也將繼續(xù)存在。誠然,設(shè)計(jì)EDR產(chǎn)品的初衷就是抵御篡改,但老謀深算的網(wǎng)絡(luò)犯罪分子在利用漏洞方面道行深厚,他們有能力利用運(yùn)行EDR軟件的操作系統(tǒng)中的漏洞,以及低于操作系統(tǒng)級(jí)別的固件和硬件,發(fā)動(dòng)攻擊。

在對(duì)SolarWinds事件進(jìn)行總結(jié)時(shí),威脅情報(bào)和咨詢公司Mandiant, Inc.發(fā)現(xiàn),一旦攻擊者侵入了特定節(jié)點(diǎn),他們就會(huì)采取行動(dòng)繞過或刪除基于主機(jī)的日志機(jī)制:
“Mandiant調(diào)查到這些攻擊者通過Microsoft Remote Desktop,在禁用了受害者計(jì)算機(jī)上的SysInternals Sysmon和Splunk轉(zhuǎn)發(fā)器的同時(shí)清除了Windows事件日志。”

技術(shù)供應(yīng)商Ubiquiti, Inc.遭遇內(nèi)部攻擊時(shí)攻擊者也使用了類似的技術(shù)。根據(jù)安全記者Brian Krebs的發(fā)現(xiàn),一般內(nèi)線會(huì)一邊采取行動(dòng)控制日志記錄,一邊指責(zé)公司向媒體泄露了信息:
“在這些新聞報(bào)道中,有一種說法是,Ubiquiti沒有保存訪問日志,而這些日志可以讓公司了解入侵的整個(gè)過程。起訴書稱,實(shí)際上Sharp將Ubiquiti系統(tǒng)在AWS中保存用戶活動(dòng)日志的時(shí)間縮短到了一天。”

借助網(wǎng)絡(luò)可視化數(shù)據(jù)來優(yōu)化網(wǎng)絡(luò)檢測和響應(yīng)(NDR)以及SIEM功能,對(duì)基于主機(jī)的安全技術(shù)進(jìn)行增強(qiáng),是降低這些風(fēng)險(xiǎn)的最佳方式。例如,對(duì)一個(gè)沒有被EDR記錄的針對(duì)主機(jī)的網(wǎng)絡(luò)活動(dòng)進(jìn)行觀察,便是一個(gè)強(qiáng)有力的IOC,表明網(wǎng)絡(luò)犯罪分子正試圖隱藏C2流量。另外,除了作為一個(gè)額外的驗(yàn)證點(diǎn),網(wǎng)絡(luò)可視化數(shù)據(jù)一般都是在特定主機(jī)之外生成,網(wǎng)絡(luò)犯罪分子很難對(duì)這種流量發(fā)動(dòng)攻擊。

友情鏈接

總部/北區(qū)

地址:北京市海淀區(qū)高梁橋斜街42號(hào)院1號(hào)樓融匯國際大廈-3A層信亦宏達(dá)
電話:400-650-6601(9:00-18:00)
服務(wù)熱線:13522376611(7*24h)
傳真:+86 010-62260557-666
Email: service@sinynet.com

售前咨詢熱線 400-650-6601

關(guān)注信亦宏達(dá)

微信

微博

2012-2020 版權(quán)所有?信亦宏達(dá)網(wǎng)絡(luò)存儲(chǔ)技術(shù)(北京)有限公司 京ICP備09114115號(hào)-1

京公網(wǎng)安備 11010802032893號(hào)