在不可信的网络中，未来安全系统怎么建？

文/陈根

大数据时代下，面对千变万化、持续广泛的网络安全威胁，传统安全架构以及安全分析已然陷入被动的局面里，并且暴露出易受攻击、恢复弹性低、低移动性、高消耗等众多问题。如何化被动防御为主动预防，对内容、基础设施开展立体式的防护，重塑网络安全成为人们需要面对的新的问题。

在这样的背景下，针对高级攻击的自适应安全架构受到了越来越多的关注。Gartner在2015年就提出过“自适应安全架构来应对高级定向攻击”的概念，其中实现这套架构很重要的一个阶段就是让系统具备对攻击的预测能力。从应对安全风险到预测安全风险，自适应安全架构正在为人们建立网络安全的新的边界。

从“应急响应”转到“持续响应”

在自适应安全架构之前，我们可以先来看看传统的网络安全架构——传统的网络安全架构基于网络边界防护。企业构建网络安全体系时，首先把网络划分为外网、内网和DMZ区等不同的安全区域，然后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护，构筑企业业务的数字护城河。

不过，这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统和应用的信任，从而忽视内网安全措施的加强。然而，美国Verizon公司的《2017年数据泄露调查报告》指出，造成企业数据泄露的原因主要有两类：其一是外部攻击，其二就是内部威胁。

不仅如此，当前，随着网络攻防技术的发展，新型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，往往会放弃代价高昂的强攻手段，转而针对企业内部网络中的计算机，采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部，轻松绕过网络边界安全防护措施。由于人们普遍认为内网是可信任的，因此，攻击者一旦突破传统的网络安全边界进入内网，就有可能带来极大的网络安全问题。

在这样的认识下，传统的网络边界安全架构亟待重新评估和审视。实际上，近年来，相关企业、研究机构也逐渐认识到：传统安全架构过度依赖阻截和防御机制，无法适应未来网络架构的迅速变化以及随之而来的攻击。与之相对应的是，未来网络安全应基于业务自内而外地构建安全体系，企业级网络的核心功能应是对业务行为进行识别分析和持续监控。由此，自适应安全架构应运而生。

自适应安全架构最早由Gartner在2014年的ISC（Internet Security Conference）上针对高级攻击提出，不过，这套架构在当时并未引起足够的关注。尽管自适应安全架构在刚被提出的两年里，认可度并未得到全面的提升，但到了2017年，在对于网络安全的庞大需求下，顺应着技术的发展，Gartner把自适应安全架构列入“2017年十大战略技术趋势”，认为它是现代数字业务的重要组成部分。

Gartner分析师认为，数字业务是融合了设备、软件、流程和人的智能且复杂的系统，而数字业务的安全保障体系将成为一个复杂的安全世界，这就需要一种持续、连贯和协调的方法来保障其安全性。

不难看出，发展自适应安全架构是一种安全理念上的根本切换。首先，自适应安全架构强调从“应急响应”转到“持续响应”，认为攻击是不间断的，黑客渗透系统和企图获取信息的努力是不可能被完全拦截的。系统应承认自己时刻处于被攻击中，并持续检测、完成修复。

其次，发展自适应安全架构在实现上不应再沉迷于阻断，而更多关注检测、响应和预测能力。来自不同供应商的网络、终端和应用安全防护平台应当通过对知识的集成以建立情境感知，提供预测、防御、检测和响应等能力。

最后，对于发展自适应安全架构来说，安全监控和策略执行都直接运作在每个业务单元而不依赖于基础设施或硬件，这赋予了企业级网络更细粒度和更丰富的持续监控能力和行为分析能力，可以真正做到对多形态攻击甚至高级攻击的快速响应及恢复，同时对任何基础设施和业务的变化具备自适应能力。

自适应安全架构能带来什么？

对于信息社会来说，要知道，信息化和信息安全还是有着根本性的不同的。信息化的重点在于初期建设，就像建筑师盖一座大楼；后期的维护工作相对简单，就像是公寓的物业管理。而信息安全则不同，对于信息安全来说，初期建设只是一个开始。实际上，可以说，信息安全是一场战争，它是一个持续的过程，只要信息系统存在一天，战争就不会停止。

并且，就目前的网络攻击来说，如前所述，攻击脚本和恶意程序的增长速度迅速，而如果没有创新的技术，传统的特征库已经无法保证恶意代码的检出率。在这种情况下，新型攻击难以被发现也是必然的结果。

越来越频繁的攻击和越来越多样的攻击技术，带来的结果就是安全团队的工作量越来越大，需要的专业化程度也越来越高。有的安全团队会长期超负荷运转，应付各种重复工作；也有的安全团队采购先进设备，但由于使用太复杂，所难以发挥效果。

基于此，作为一个高价值的体系框架，自适应安全架构则集防御、检测、响应、预测四项关键能力于一身，通过大数据安全分析来实现闭环防护控制，既继承了传统防御体系基于策略的拦截与阻击，又能发现那些逃过防御的攻击，高效调查和补救威胁事务，分析入侵来源，并生成预防手段。

可以看见，一方面，自适应安全架构为网络空间安全保护提供了坚实的保证。比如，国家网络空间安全保护系统（NCPS），又称“爱因斯坦计划”，由美国国家安全部负责设计和运行，旨在开发一套协助联邦政府机构应对信息安全威胁的工具集。该系统为联邦政府机构提供四种网络相关服务的能力，包括入侵检测、入侵防御、证析和信息共享。其中，证析是指通过对数据进行收集、预处理和分析后对得到的知识进行综合；信息共享则指交换网络威胁和事件信息的过程中所有情报知识在企业网络中共享。

不难发现，这个系统与自适应安全架构提出的四大能力即检测、防御、响应、预测几乎是一致的。这个系统已在除美国国防部及其相关部门之外的其余23个机构中部署运行，当前部署的已是第三代爱因斯坦系统，兼顾入侵检测和入侵防御功能，可自动识别和阻断。

另一方面，自适应安全架构还打开了安全即服务的新模式，极大地拓展了传统安全架构的体系和方法论，重塑了安全管理平台，可以推动高级威胁检测、欺诈检测、网络威胁情报分析与协作，催生其他各类安全产品。

比如，在业务模式上，催生了安全即服务（SECaaS）的发展。通过整合大数据安全分析与大数据业务分析，安全数据会成为与业务数据相互伴随的成分，需要安全团队与业务技术部门在交互与协作、开发、运维方面开展新的融合。此外，催生了更多安全管理咨询产业，为企业机构量身分析定制新架构下的实施方案。

成立于2014年的illumio就是全球第一个将自适应安全平台产品化的公司，其产品回答了“云迁移时代企业如何革命性地解决其动态数据中心和云服务上的安全问题”这一重要命题。illumio ASP的核心功能是减少数据中心和云环境可能遭受的赛博威胁，利用自适应的分块和加密算法让应用之间的信息交流透明可见，这种自适应性不受限于网络结构或者更高的监督管理者。

随着数字经济时代的到来，网络信息技术已经从辅助性的配合角色，转变为融合运营技术的关键基础性支撑角色。相应地，网络安全工作也就必须从解决措施“有没有”问题的阶段向注重效果“好不好”的持续提升模式转变。可以预见，。伴随着数字化浪潮的进一步发展，自适应安全机构还将作为极佳安全保护方案，为数字时代的网络安全提供更多保护。