零信任架構(gòu)是美創(chuàng)數(shù)據(jù)安全實踐的核心遵循思想,。美創(chuàng)從數(shù)據(jù)不應(yīng)該自動信任任何人的基本觀點開始,,從2010年開始實踐,在2015年左右正式形成了零信任架構(gòu)1.0版本,,在美創(chuàng)科技的每個數(shù)據(jù)安全產(chǎn)品中無縫落地,。在經(jīng)過5年的成熟實踐之后,近期美創(chuàng)科技零信任架構(gòu)即將升級為2.0版本,,以更好的滿足數(shù)據(jù)安全和網(wǎng)絡(luò)安全的訴求,。
我們在上篇文章中已經(jīng)對零信任1.0架構(gòu)四大基本原則之一的“燈下黑”進(jìn)行了詳細(xì)探討(點擊閱讀)。與狼共舞,,帶毒生存是零信任架構(gòu)四大基本原則之二,,也是最核心的原則。而攜漏生存是與狼共舞,,帶毒生存的一種表現(xiàn)形態(tài),,今天我們就以此出發(fā)進(jìn)行探討。從漏洞為王到攜漏生存是一篇舊文,,但可以清晰的表達(dá)美創(chuàng)在零信任架構(gòu)上的思考,。網(wǎng)絡(luò)安全史從某種程度上是一部漏洞(包括弱配置)攻防史,漏洞在網(wǎng)絡(luò)安全史上一直處于核心地位,,無論是黑客還是白帽都以漏洞挖掘和利用(檢測)能力作為其技術(shù)水平的重要標(biāo)簽,。在年復(fù)一年的攻防拉鋸戰(zhàn)中,攻防雙方的水平都在不斷上升,。非常遺憾的是,,在這個過程中,,作為真實利害方:最終用戶的風(fēng)險并未大幅降低,似乎安全漏洞越來越多,,安全相關(guān)的成本費用也越來越高,,安全風(fēng)險反而越來越大。而作為這場拉鋸戰(zhàn)的另一個主角,,軟件開發(fā)商似乎也收益不多,,開發(fā)的軟件在安全性上也沒有多大進(jìn)步或者遠(yuǎn)遠(yuǎn)落后于攻防雙方。在這個網(wǎng)絡(luò)安全風(fēng)險威脅越來越大的今天,,我們來重新審視流行的“漏洞為王”的防御策略是否合適,也許到了需要改變防御思路的時候了,。
我們來看360CERT發(fā)布的一些漏洞統(tǒng)計報告:
近十年漏洞數(shù)量披露趨勢 數(shù)據(jù)來源:360Cert
近十年單月漏洞數(shù)量披露趨勢 數(shù)據(jù)來源:360Cert從最近10年的漏洞披露趨勢報告,,我們很悲傷的發(fā)現(xiàn),漏洞數(shù)量并沒有因為我們的投資和努力而減少,,反而在2017年出現(xiàn)披露漏洞的大幅度上升,。2017年披露漏洞的大幅度上升,應(yīng)該可以確定為由于2016年底和2017年度的勒索病毒大爆發(fā),,使各種漏洞陽光化,,加速了漏洞披露的速度。
漏洞質(zhì)量 數(shù)據(jù)來源:360cert從漏洞質(zhì)量和利用效果分布來看,,甚至也沒有通過我們的努力降低高危漏洞數(shù)量,。漏洞似乎完全脫離我們的努力我行我素,按照自己的節(jié)奏行動,。當(dāng)然同樣可以看到2017年的爆發(fā)情況,,這無非是因為勒索病毒的影響漏洞被陽光化了。 以漏洞攻防為核心的網(wǎng)絡(luò)安全防御困境從360cert 10年漏洞趨勢發(fā)展報告可以明顯的告訴我們當(dāng)前的困境,,這個時候你只能無助的感嘆:道高一尺,,魔高一丈。當(dāng)然從樂觀的來說,,由于我們的有效防御迫使黑客們?nèi)で蟾嗟穆┒匆赃M(jìn)行攻擊,,漏洞攻防是有效的。但是從悲觀的角度來說,,如果大家都不做太多防御,,其最終結(jié)果是否也是類似的。 攻擊分析思路決定了防御方的弱勢 “不知攻焉知防”是當(dāng)前以漏洞攻防為核心的網(wǎng)絡(luò)安全體系的核心觀點或者指南之一,。從簡單的攻防戰(zhàn)役來講,,具有絕對的真理性,畢竟知己知彼,,百戰(zhàn)不怠,。但是網(wǎng)絡(luò)攻防和一般的戰(zhàn)場戰(zhàn)役不同,,你不知道你的攻擊者是誰。古語云:人心難測,,這還是建立在你知道對方是誰的情況下,。當(dāng)你不知道對方是誰,又需要去揣摩對方的想法,,有所紕漏難以避免,。攻擊分析主導(dǎo)的網(wǎng)絡(luò)攻防注定防御方是處于弱勢地位,注定了必需存在一定概率的犧牲,,甚至是大概率的犧牲才可以達(dá)到“知攻”的目的,,然后才能改善“知防”。
在真正的戰(zhàn)場上,,只有絕對的力量才是制勝法寶,,以少勝多的案例在歷史上極少發(fā)生才會成為經(jīng)典。在網(wǎng)絡(luò)攻防戰(zhàn)場上,,黑客方占據(jù)著絕對的優(yōu)勢力量,,是白帽、安全廠商,、開發(fā)商和用戶所無法匹配的,。這種力量對比不平衡是有其深刻的內(nèi)在動因:黑客是逐利的,巨大的利益可以聚集海量的資源,。而作為防御方的白帽,,開發(fā)商和最終用戶則沒有足夠的利益驅(qū)動去完成這場對抗。我們以一個簡單的漏洞發(fā)現(xiàn)為例子:黑客發(fā)現(xiàn)一個具有高利用價值的漏洞,,其收益可以達(dá)到幾百萬甚至幾千萬,,同樣這個漏洞被白帽發(fā)現(xiàn)則收益非常少,甚至是不可兌現(xiàn)的,。
構(gòu)成應(yīng)用程序的軟件代碼是人寫的,,是人寫的代碼必然會在代碼中犯下很多錯誤。事實上,,在軟件開發(fā)實踐中,,代碼不僅僅是人寫的,而且絕大部分代碼是由3年之內(nèi)的年輕工程師寫的,,知識和經(jīng)驗上的缺乏必然使代碼中充滿漏洞,。即使發(fā)現(xiàn)了漏洞,由于高昂的修復(fù)成本,,很多時候軟件開發(fā)商也缺乏足夠的動力去修復(fù)相關(guān)的漏洞
漏洞修復(fù)和應(yīng)急響應(yīng)的成本極為高昂
對于很多用戶而言,,很多漏洞即使已經(jīng)發(fā)布了補丁也是不可修復(fù)的。比如數(shù)據(jù)庫漏洞,,由于修復(fù)漏洞內(nèi)置的巨大業(yè)務(wù)風(fēng)險,,使很多運行中的數(shù)據(jù)庫不敢去應(yīng)用補丁修復(fù)漏洞,。另外由于網(wǎng)絡(luò)對抗的極強專業(yè)性和巨大成本消耗,很少有機構(gòu)具有快速反應(yīng)和入侵對抗能力,。
很多軟件會出于各種不同的目的預(yù)留后門,,也許這些后門預(yù)留的初始目的并不是惡意的。但是隨著時間的推移,,這些后門可能會被壞人掌握,。甚至開發(fā)商有可能由于各種不同原因,從一個不帶惡意目的的后門最終演變?yōu)橐粋€惡意攻擊的后門,,畢竟現(xiàn)在無害并不意味著未來無害,。
在信息化和數(shù)字化滲透到日常生活每一個角落的今天,網(wǎng)絡(luò)安全風(fēng)險已經(jīng)成為了一支高懸的達(dá)摩克利斯之劍,,不知道哪天會徹底摧毀我們的生活,。為了我們的生活可以延續(xù),以漏洞為中心的攻防之戰(zhàn)需要延續(xù),。在延續(xù)漏洞攻防的同時,我們也可以想想新思路新方法:我們需要承認(rèn)漏洞存在是一種客觀現(xiàn)實,,是不可消滅的,。即使當(dāng)前漏洞全部修復(fù)也并不意味著沒有漏洞,只是沒有被發(fā)現(xiàn)而已,。甚至漏洞已經(jīng)存在于黑客的武器庫之中,,只是沒有被曝光而已。從這個角度出發(fā),,也許和漏洞共存共生(攜漏生存)是一種可以選擇的方案,。
低風(fēng)險的自動化或者半自動化補丁應(yīng)用機制
在企業(yè)級應(yīng)用中,,打補丁總是一門高風(fēng)險的專業(yè)活,。我們需要一種低風(fēng)險的補丁自動化或者半自動化應(yīng)用機制,至少對于高危的漏洞補丁提供,。通過自動化補丁機制可以幫助用戶及時止損,,避免風(fēng)險敞口不斷擴大。在補丁應(yīng)用實踐中,,虛擬補丁作為補丁應(yīng)用的快速響應(yīng)具有比較好的價值,。防止應(yīng)用程序被靜態(tài)或者動態(tài)代碼注入
可以采用簽名、md5校驗等方式來防止應(yīng)用程序被注入,。一個無法被靜態(tài)和動態(tài)代碼注入的應(yīng)用程序,,攻擊者只能通過應(yīng)用自身的開放接口或者漏洞來進(jìn)行攻擊和傷害。
所有的漏洞都由應(yīng)用程序產(chǎn)生,,操作系統(tǒng),,數(shù)據(jù)庫從本質(zhì)上只是一個復(fù)雜的應(yīng)用程序而已,。我們可以考慮隔離漏洞影響,讓漏洞影響不會脫離應(yīng)用軟件本身,。簡單點說,,一個應(yīng)用程序的漏洞不會成為黑客的媒介,危害到其他應(yīng)用程序和數(shù)據(jù),,讓損害范圍保持在漏洞應(yīng)用程序本身,。
在控制了漏洞危害范圍之后,所有傷害將會局限于應(yīng)用程序自身傷害和應(yīng)用程序業(yè)務(wù)邏輯傷害,。對于業(yè)務(wù)邏輯傷害則可以通過Web防火墻和數(shù)據(jù)庫防火墻等安全措施來加以控制和消除,。
|
