2015-11-20


图片取自Will Diversity Destroy The Left?

为什么我突然想起来要谈谈关于“Security And Diversity”的话题?这要从我近期听到的和了解到的事情说起。我近期听到了很多关于安全未来的发展的讨论,自己也身在其中,并且也表达了自己的一些看法。今天在跑步的时候突然间想到不如把自己关于安全未来发展的想法写下来,留作一个证据,看看我的想法在未来是否能够应验!

我还是直接入题,先阐明自己的观点。在我看来,未来的安全应该是以基于多样性数据分析为主体,多点协同的方式来保护自身的安全。这也就是我给这篇文章命题为“Security And Diversity”的原因。

目前流行的安全方案,例如上网行为管理,深度监测数据包,还有所谓的主动防护。其实这些有两个共同点,单点监测单点防护和后知后觉。单点监测单点防护的意思就是说目前的方案都是基于在网络中的某个点,比如企业的出入口,进行监测和防御。这种方式的弊端就是所有的信息都是来自于这个单独的点,分析不够客观,采样不够完整,因此这种方式只能使用现在的模式匹配的方式进行监测防护。最大的问题是对于出现的问题不能够快速的找到源头,不能从根源处阻断,彻底解决问题。所谓的后知后觉就是指所有的防护都是基于之前已经发现的问题,找到其特有的模式,后续如果发现同样的模式,才能进行阻断。虽然现在很多公司都在鼓吹自己的产品能够主动防御,能够将可疑的数据包进行分析,从而进行阻断。其实这个命题有两个gap,一个是凭什么认为某个数据包是可疑的,难道不是又回到古老的基于模式吗?如果是基于模式的,何来主动防御?第二个gap是“从而进行阻断”,那请问当前的那个会话是允许呢还是阻断呢?如果允许的话那后续的阻断又有何意义呢?亡羊补牢吗?所以在我看来,目前的这种主动防御只是噱头而已,没有实质的变化。

那么我前面所谈到的以基于多样性数据分析为主体,多点协同的方式来保护自身的安全能够解决如上的这些问题吗?首先大家需要知道的是安全永远都是魔高一尺道高一丈,所谓的主动防御只能是相对的,不能是绝对的。而且我还必须要强调,安全不是一两个设备能够解决的,需要的是合理的制度,配合整体的考量。这个是另一个话题,这里就不多说了,以后有机会再谈。回到现有的话题,我所说的未来的安全趋势虽然不能够解决主动防御的问题,但是却能够最小化安全问题带来的影响。

下面我就详细解释一下以基于多样性数据分析为主体,多点协同的方式来保护自身的安全的含义。

何为多样性数据分析?其实很简单,数据的取得并不是来自于某一个点,而是来自于网络中的多个点,将这些数据集中到一起,进行整体分析。这种数据的采集方式就能够覆盖网络中的每个节点,包括网络设备,终端,服务器等。将这些点的数据信息集中到一起进行进一步分析,这样就能够描绘出整个网络中的数据流向和各自的行为特点。例如对服务器的访问,如果单单是从服务器上取样,只能够得到其收到的信息,至于发送的信息并不能获取到。也就是说发出的请求和到达服务器的请求是否一致,无从知晓。是否存在潜在的中间人安全问题,更是不得而知。我举的这个例子只是很普通的一个,类似的例子举不胜举。如果通过不同的点来取得数据,就能够将发出的和收到的进行比较,从而判断出哪些是有效合理的数据,哪些是存在安全隐患的数据。再比如说如何判断行为异常,如果知道了什么样的行为是正常就能够很容易判断异常。大家用自己的基础思维去考虑,正常意味着什么?就是同样的行为重复重复再重复。重复的次数越多,就意味着正常的可能行越大。因此基于数据的分析,就能够得出某个节点的正常行为,从而发现异常的行为。有人会问,有没有可能再正常的行为下隐藏着问题。答案是肯定的,这种可能性一定是存在的。这种问题的发现就要看数据分析的粒度了,粒度越细,发现这种问题的可能性就越大。基于大数据流行的今天,这种数据采集和分析绝对不再是问题,真正的难点在于分析的效率和如何将这些数据合理有效的展现给用户。分析效率决定着安全隐患能否尽早发现,数据的展现决定着用户对产品的接受度。这两个问题解决的能力,决定着产品的竞争力。

何为多点协同?这个跟上面谈到的多点信息收集有关。多点信息的采集其实是多点协同的一部分,这里面还包括对某个异常行为的拦截不单单是某个设备的动作,而是整个网络所有节点的行为,取最近原则,从源头解决问题。当问题发生时,第一时间需要做的不是分析问题,而是将存在问题的节点立即隔离,保护网络中其他节点的正常运行和使用。后续再根据获取的数据来进一步分析问题的原因。如果再网络中发现某个节点行为异常,第一时间将该节点上行的线路断开,使其与网络隔离。这个方案其实非常简单,一般的交换机都能够通过SNMP来实现对某个接口的shut down操作。这里的难点是整合现有的设备,将其与数据分析中心有效的衔接。数据分析中心将会作为整体的核心,进行动作的统一下达。

我这里谈的只是我认为的安全的趋势,并没有在谈论某个产品,这个趋势可能是由一款产品解决,也可能由多款产品配合完成。总而言之,以基于多样性数据分析为主体,多点协同的方式来保护自身的安全是未来各家厂商努力的方向。

多说一句,在我看来最安全,最可靠的办法就是古老的冗余+备份!我认为未来的安全会将冗余,备份有效的整合到安全解决方案中来。

分享到微信朋友圈
打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮
关注随笔记忆微信公众号或者订阅本站完整的RSS Feed
打开微信,扫描下方二维码关注随笔记忆

© 2012-2015 随笔记忆 by Henry Wang

京ICP备15025340号