貌似今年国内信息安全圈子里流行各种会议秀,而砸场子、踢馆等专业行为也在各种秀上演绎的不亦乐乎,今天I’m Kris干脆狂妄一些,抛出一个话题,争取直接砸它半个传统的安全圈子!
娱记写一篇报道,内容编排的好坏无所谓,成功的关键是这篇报道的题目,题目是否足够吸引眼球、是否能够促使读者快速分泌额外的荷尔蒙?咱不是娱记,没法把纵谈信息安全的文章写的让人分泌荷尔蒙,但我还是找了个“砸盒子”的字眼权当是能够吸引一点点眼球吧!
今年RSA 2015的大会召开后,业界不少专家纷纷写文说到,RSA2015的主题是“Change”,而最大的change就是“砸盒子”,也就是说参展厂商所研发和交付的硬件盒子形态的安全产品越来越少了,更多地安全解决方案以软件产品的形态来交付给企业,以更好的适应企业云计算环境的高伸缩性部署需求,或者干脆就是的以云服务的方式进行发布和交付,以更好的适应用户按需享用服务的需求。
我们不妨把砸盒子的说法再仔细的剖析一下,简单的说,十余年来,国内信息安全厂商在企业信息安全领域所部署的众多安全产品(请注意,是众多,不是所有)已然不可能发挥其所倡导的理想价值,这些年绑架和洗脑企业用户的产品销售模式已然不再奏效,安全厂商必须创新思变,重新审视企业本质的安全管理需求,让信息安全融入企业的IT生产、经营、管理和维护各个环节。
这十余年来,国内企业用户部署最多的几大样安全产品恐怕就是防火墙、漏洞扫描和IDS/IPS,但在今天看来,防火墙没用好非常可惜,漏洞扫描可惜不太顶用,IDS/IPS可恨基本没用,咱就拿它们逐个评说。
恶评之一:防火墙,钢铁长城为何成了纸糊的盾牌?
防火墙,似老将廉颇,这十几年来,真可算是战功卓著、忠心耿耿,防火墙几乎是所有企业IT系统安全建设的必选+首选,因为企业做网络隔离、做安全域划分、做网络访问控制策略这都是基础安全需求,而这些需求都是防火墙的拿手好戏啊,仿佛防火墙没啥能被诟病的。但是,当我们用管理的眼光和思维去逐渐接近企业IT网络之后,我们才发现防火墙在企业的实际应用状况让我们大失所望:
- 很多企业的防火墙竟然是Any to Any的允许访问模式,形同虚设!看官,你不要说不可能啊,最多你没见过!
- 很多防火墙的策略配置混乱,常年累计的各种配置策略只有累加,没有精简、没有去重、没有纠错、没有梳理、更没有优化;
- 主备防火墙策略配置不一致,或者策略更新不一致,一旦出现应急的主备设备切换,业务可能出现大面积通信故障;
防火墙是很实用的安全产品,企业选择部署防火墙当然没有错,很显然,错的是防火墙部署后的策略管理。抛却不负责任的Any to Any的访问允许配置方式不说,绝大多数的企业都会因为IT环境的调整变化而不断添加防火墙策略,今天会因为临时性的网络测试需要开通一条访问控制策略,明天会因为一组新设备入网而设置一条访问控制策略,后天会因为通信链路故障而临时打通一条应急绕行访问策略,但是各个企业几乎都没有回收防火墙策略的习惯,也没有注释防火墙策略的习惯,久而久之,防火墙设备所累积的策略条目数很容易就达到了成百上千条,每一条策略配置的目的越来越不清楚,大家也都不愿意轻易改动之前的策略配置,渐渐的,交叉关系、冲突关系、包含关系、逻辑错误的策略就会越来越多,这不仅会严重影响防火墙的运行性能,更为严重的是,不严谨的策略配置将导致防火墙从钢铁长城变成了纸糊的盾牌。
恶评后的思变建议
在企业信息安全建设过程中,任何技术手段的部署都要服务于针对性的企业信息安全管理要求,但能否让企业信息安全管理要求得到有效的贯彻落实,就要去衡量技术手段的使用和推广效果。技术手段的部署,往往只是设备的通电、通网和软件的安装调试;而技术手段的使用推广,往往是策略的配置和优化过程。
如果不考虑 SDN、NFV的趋势,防火墙好像还没到砸盒子的时候,但是在未来企业云计算的环境里,防火墙策略的动态下发和收回将更为频繁,要让防火墙这位老将军继续披荆斩棘,必须要做好防火墙的策略管理,最重要的是能够随时做好防火墙策略的安全核查,通过自动化的提取防火墙策略配置数据,对其中的策略冲突、策略重复、策略包含、目的IP范围过大、目的端口范围过大等配置问题进行智能分析,并对各项策略的配置目的、配置责任进行注释和明确,实现防火墙策略的管理和持续安全优化。
恶评之二:漏洞扫描,悬丝诊脉的时代即将结束!
再来说说漏洞扫描,主要说说现在市场上最常见的网络漏洞扫描产品吧,网络漏洞扫描本身应该诞生在早期的黑客圈子,用来远程探测批量目标的安全缺陷和漏洞,找到最佳的恶意利用点,然后尝试进行入侵。在2000年之前,漏洞扫描逐步被国内外安全厂商产品化,逐步成为厂商向企业推荐的主打安全产品,用来帮助企业扫描发现各种IT安全漏洞、指导企业开展有针对性的安全加固工作。
网络漏洞扫描已经成名于江湖十余年了,当年的大侠还是大侠吗?漏洞扫描真的就是企业风险管理的利器吗?2014年,国内某电信运营商组织开展了一次漏洞扫描产品的深度测试,结果足以让各行业的企业用户大跌眼镜,恐怕各个漏洞扫描产品厂商也要为此羞愧上一大阵子吧。我们截取了部分厂家产品的测试结果统计数据(如图第四五六列所示),针对同样的目标资源,ABC(A为某国内厂家、B为Nessus、C也为某国内厂家)三个厂家的漏洞扫描结果大不相同,就如同三个医生分别给同样一个病人看病,结果分别给出差异很大的诊断结果,病人该听谁的?病人又能去听谁的呢?这让病人该怎么去治疗呢?
其实这么多年,用户也已经体会深刻了:
- 2000年左右盛行的主机漏洞扫描产品因为要在每一台主机上安装扫描软件,不便于用户的部署和使用推广,所以现在主机漏洞扫描产品基本已经消亡;
- 各个厂家的网络漏洞扫描产品,检测能力不一致,检测标准不一致,检测结果不一致,并且没有一家网络漏洞扫描产品能够完整的呈现企业IT资产官方所公开的所有漏洞;
- 不管厂商如何宣称,但实际上网络漏洞扫描产品的误报、漏报依然非常严重;
- 各个漏洞扫描产品厂商在企业用户的机房里已经摆了足够多的漏洞扫描产品了,真的需要部署那么多吗?仿佛这么多年,企业并没有因为部署漏洞扫描产品而比较及时准确的评估企业的IT风险及其变化情况,也没有因为使用漏洞扫描产品而有计划有步骤的大量消除了企业IT安全缺陷和漏洞。
国内很多漏洞扫描产品厂商都有很强的自主挖洞能力、漏洞分析利用能力,这一点在Blackhat2015上微软公布的MSRC Top100的数据中已经充分印证了,确实,这是深厚的技术功底,Kris发自内心的崇拜和赞叹。但挖洞能力不代表漏扫产品能力,网络漏扫的技术机制也许就是瓶颈,从企业用户的角度看,技术手段需要服务于企业管理的需求,企业用户需求的本质大家真的理解透彻了吗?企业用户所需求的不是你针对部分漏洞的超强扫描发现能力,企业更需要的是掌握自己IT资产详实完整的缺陷和漏洞信息,就如同一个体检者不会因为对面的医生是个糖尿病诊断专家而放弃他完整的体检需求。
恶评后的思变建议
同样是在刚才的图中,我们还能看到第三列的漏洞发现数据,远远超出了ABC三种产品所扫描发现的漏洞数量,这是该企业采用了基于配置合规而开发的全量漏洞核查所发现的同一批资源的漏洞数量统计。
全量漏洞核查不同于漏洞扫描,他放弃了悬丝诊脉的网络扫描方式,直接按照IT资源官方发布的漏洞详情去提取资源的相关配置信息,判断漏洞的存在和修复情况,这就如同医院里会采集病人的血样来检测病人的医学生化特征一样,更容易准确的诊断病人的病情,所以全量漏洞核查完全依据IT资源的官方厂商所公布的漏洞信息进行逐一核查,所发现的漏洞更完整、更准确,必然能够帮助企业准确评估IT风险。
我大胆的预测,悬丝诊脉式的网络漏洞扫描的时代即将过去,而基于配置核查所实现的全量漏洞核查将在企业市场里逐渐得到认可和推崇,企业用户云化的全量漏洞核查能力将逐步取代传统漏洞能够扫描产品的部署,拭目以待吧!
好有压力,已经看到了空中砸过来的各种工控机箱,顶住!咱们还要谈谈IDS/IPS
恶评之三:IDS/IPS,您的嗅觉真的有问题!
我记得刚工作的时候,曾经时常要扛着IDS设备去给用户做入侵检测演示,我们总是演示几种特定的攻击行为,然后我们的IDS产品必然会准确、顺利、及时的发现我们模拟的入侵行为,在那个时代,这是一种很炫酷、很直观、很震撼的演示,很容易就能撬开用户的钱袋子。
但在今天看来,这是一种自导自演的游戏,因为在企业的IT环境里,没有真实发生经过导演的入侵行为,基于攻击特征的异常行为分析在在企业入侵检测中并没有太大的实际作为,这一点问问企业的安全管理员就很容易得到认同。
IDS/IPS产品大量频繁的漏报、误报一直都是厂家无法克服的问题,这十多年的发展,看不到好转,漏报误报问题不仅仅严重影响了企业对于IDS/IPS产品检测结果的信任,更重要的是企业对于采用IDS/IPS监控入侵行为的依赖心态也已经消亡殆尽。
企业真实遭到的入侵和攻击能有几次是靠IDS/IPS监控到并阻止的呢?谁还会真正依赖IDS/IPS进行入侵检测呢?
恶评之后的思变建议
入侵特征是一种发散的异常特征,当企业IT环境日益复杂后,异常的访问特征愈发难以定义,难以穷举。大数据技术给了我们很多的启发,采用大数据技术很容易给企业的正常业务和通信模型进行画像,说到这里你可能已经能够认识到了,正常特征是有限的,异常特征是无限的,所以基于异常特征分析就是一条走不到尽头的错路。
取代IDS的新技术形态也许就是基于网络流量大数据分析的流量流向核查,甚至我们都不需要去分析数据包的内容,只需要采用大数据技术建设和不断完善企业正常业务和通信的流量流向特征模型,一旦发现有违正常模型的流量流向特征,我们就可以进行预警,并采用其他技术手段进行排查了。
恶评结束,必须声明,我无意贬低任何一家广受尊重的安全企业,他们为推进国内信息安全进程所付出的艰辛是无法想象的。砸盒子也并不是否定防火墙、漏洞扫描、IDS这三大产品的历史贡献,它们对于提升企业用户的普遍安全意识的贡献是绝对无法抹杀。但是时代在变,环境也在变,我们都知道十年前的感冒药现在恐怕治疗不了流感了,感冒药在这十年里换代更新太多了,所以企业信息安全管理也需要迎接新技术的变革,而这也是各行业用户对于信息安全企业技术创新的期待!
安全圈的娱乐精神,疯言痴语笑看,些许妄言莫怪
欢迎关注我的个人公众号:Kris疯言痴语话安全