在网络空间,攻击者与防御者的对抗从来没有停止过。常说,攻击在暗,防御在明,所以也就注定在这场世纪较量中,防御方貌似始终会处于弱势和被动状态。
与攻击者对抗,防御方的方法貌似也很有限,能用得上的主要武器无非是防火墙、IPS、IDS等等。它们守卫在业务边界,在边界进行安全检测,一旦判断有可疑,再实施阻杀。
要强调的是,这里有一个我们都习以为常的、但又不明显的关键信息,也就是:无论是防火墙还是其他非边界安全产品,防御方往往不得不让真实业务一起面对攻击者;“背羊一战”,防御者背后就是负有保护责任的“羊”——业务,而边界一旦被突破,面临的结果就是“羊”要任人宰割了。
一切的习以为常并非理所应当,面对越来越复杂的攻击,我们是否有另外的思路来进行这场较量?不与攻击者“刚正面”,亮出“反面”、“侧面”迷惑对手,也许能收到出其不意的效果。以此为出发点,永信至诚提出新的技术理念:平行仿真。
仿真,常常会让我们想到飞行模拟。在计算机领域这也是一个常见词,在这里可以简单理解为对真实网络空间环境的模拟模仿、再造重构。
平行,更容易理解,在一个平面中的平行线是不相交的、没有公共点。在这里并不强调两个平行对象之间的不相交(甚至还要强调之间的关联性),而是强调平行对象之间的同步运行、互相参看(就像两根铁轨,就像伴随高速路的国道)。
平行仿真,两者相结合即意味着把攻防对抗的战场引入到了与业务运行环境相对应的“平行世界”,从而让现实世界更安全。
在近日的一场技术沟通会上,永信至诚高级副总裁潘柱廷对此详细阐述了一番,按照他的话说,“传统的安全大都是‘直杠’式的,基本方法是进行内外分割,边界阻杀。所以对攻击者来说,自身很轻松;因为即使攻击暂未成功,被阻挡在分割线外,对自身也没有任何损失和威胁;可以再尝试下一轮攻击。这就是攻防之间的不对称。”
永信至诚高级副总裁潘柱廷(“平行的大潘”)
“平行仿真”技术则会打破这种现状,结合永信至诚根据此理念衍生出的几大产品解释更容易理解。
一场红蓝对抗,让错发生在靶场
在军事领域,“红蓝对抗”这个词并不陌生,意为用实兵演习检验作战能力,找出薄弱点,提升实战水平。网络靶场则是网络空间安全的“红蓝对抗”,它通过虚拟环境与真实设备相结合,模拟仿真出逼真的网络空间环境,能够支撑网络安全研究、人才培养、实战演练、安全测试、效能分析及态势推演等的试验平台。
永信至诚e春秋网络靶场的价值理念是“让错发生在靶场”。不要让我们的错发生在真实的对抗中,靶场多流汗(热汗和冷汗),战场少流“血”。过去四年,通过构建虚实结合场景,提供真实、安全、可控的实验环境,e春秋网络靶场支撑了包含强网杯、网鼎杯、巅峰极客等万人规模赛事在内的三百余场赛事,并在RHG人工智能攻防大赛方面取得了突破性进展。
以2018年国家网络安全宣传周上、那场32小时不间断的“巅峰极客”攻防对抗演习举例,其模拟了12个关键信息基础设施行业的网络“平行场景”,44支战队扮演了网络空间中攻、防、监、管等8种角色,向外界立体化展现了当威胁发生时,各机构如何进行感知攻击、预警、防护、处置等的配合与联动,真实呈现了网络空间的攻防博弈。
不要仅仅在真环境中投入安全措施,不要仅仅“刚正面”。通过模拟出更多、更复杂、更真实的场景,从而让人员在“平行世界”中修炼,让安全防护体系在“平行世界”中锻造,让潜在的“错”现形,让真实的防御更强韧。
潘柱廷借了一句网络语言,“靶场套路深,敌人杠回村”。
一个“高甜度”蜜罐,诱入平行世界
网络靶场是“平行世界”的演练平台,如果你觉得它还不够过瘾,那么蜜罐则代表了“平行世界”的实战系统。简单对比来说,靶场是我们自己用来学习演练的;而把靶场环境用在攻击者身上,那就是蜜罐了。二者的底层技术都是“平行仿真”。
把靶场仿真成诱捕敌人的环境,诱使对手进入成为踏罐者,“请君入瓮”的好戏就此上演。值得一说的是,与传统蜜罐不同,春秋云阵蜜罐有着不一样的场景逼真度和场景深度。基于大规模靶场技术锤炼出来的平行仿真技术,为攻击者准备了一份大餐(一个更大的环境)。
春秋云阵蜜罐这一餐不仅量大,而且美味。传统低交互蜜罐产品由于“甜度”不够,攻击者通过扫描简单比对相关的标识信息就能分辨出是蜜罐主机还是业务主机,从而绕开蜜罐去攻击其他真实目标。春秋云阵蜜罐抽象和浓缩于最典型的企业内网拓扑架构,对渗透者具有很大的吸引力和纵深空间,真正变成一个“平行空间”。渗透者很容易找到春秋云阵为踏罐者精心准备的熟悉的漏洞点,从而不断深入,误以为渗透成功。又由于春秋云阵仿真场景的深度,使其在云阵的“迷宫”中流连忘返,消磨其攻击时间,留存各种攻击工具和装备,暴漏越来越多的自身信息和攻击资源。在过往的某演习中,防守成绩优异者们正是利用蜜罐系统逆转了理所应当的防御劣势。
潘柱廷认为,蜜罐能够让防御者在“天时地利人和”中,真正掌握“地利”的不对称优势。“蜜罐甜蜜蜜,送我新地利”。
另外,在潘柱廷看来,以平行仿真技术加持的蜜罐系统将会在未来迎来巨大的增长机会,形成一个产业新板块。
两大“平行”能力:检验性安全和欺骗式防御
网络靶场与蜜罐代表着“平行世界”带来的两大能力——检验性安全和欺骗式防御。
为什么要强调检验性安全?在潘柱廷看来,如今甲方、乙方、丙方(监管机构)组成的安全产业链条并不完善,还应该有一个丁方。丁方以测试者的身份替代威胁方,去检验系统到底有什么地方不安全(其实反而证实其有多安全)。不让威胁方对企业产生真正损害,不让错发生在真实的环境,这即是检验性安全的意义。
潘柱廷认为,检验性安全将能够影响未来几年产生出来的百亿量级产业增量。
另外,欺骗式防御对比常规边界的隔离和检测,通过蜜罐形成了冗余的对抗机制。它可以主动吸引攻击者进入“平行世界”并展开攻击行为,有效提升应对突发网络安全事件的应急响应时间纵深;管理员也可借助此机会,了解最新攻击手法、攻击手段,掌握攻击态势,从而抢回主动权。总之,欺骗式防御开始增添了防御的谋略感,从而逆转了传统所理所应当的攻防优劣势。
除此以外,加之态势感知所属的情报式对抗(熵对抗),潘柱廷认为它们将形成对比经典“边界安全”的未来三大新安全方向:检验性安全、欺骗式防御、情报式对抗。
而对于永信至诚来说,也形成了其自身的三大核心支柱,一是通过人才培养,以在线教育平台和竞赛平台构成网络安全人才生态环境;二是攻防兼备,实现了一线攻防技术和经验的工程化、装备化、平台化、规程化的能力传递;三是聚集在平行仿真技术的持续性开发和应用实现了系列产品突破,进而打造全场景网络安全体系。
未来的网络空间,应当是一个有温度、又有味道的,更安全更安心的地方。