Embed Size (px)
DESCRIPTION
Citation preview
© 2012 绿盟科技 www.nsfocus.com nsfocus.com www.nsfocus.com nsfocus.com
云安全防护的战略思考
赵粮 [email protected] 2012.05.25
云计算正在重构企业IT的地貌
Internet
Enterprise Data Center Employee
Intranet
Today Public Cloud
Community Cloud
Internet
Private Cloud
Browser Based Cloud Client
Tomorrow 3rd Party
云计算作为一种新技术带来的新漏洞和新型攻击
云计算带来三方面的挑战
现有安全产品技术如何部署以便与云计算环境相互融合、保证效力提高效率
如何充分利用云计算技术和思想来创新变革现有的安全防护技术和产品
与此同时,传统的网络边界千疮百孔
离岸
外包
物业成本
新世代青年
One More Thing - APT
“下一代”威胁咄咄逼人, ”当代”安全设备力不从心
业务越来越复杂,新应用太多,用户位置多变,终端BYOD多样化并且很难规范化 端口失效 - > Applications IP地址失效 -> Users 数据包层面的检查失效 -> Content
攻击变化太快,现有的黑名单机制总是更新不及时
Advanced Malware, Zero-Day, Targeted APT Attacks
病毒样本不胜其多,反病毒程序消耗计算机资源不胜其负
病毒样本库更新太慢 “特征”匹配很容易被“躲避” …
企业IT和威胁的地貌已经“沧海桑田”
怎么办?
怎么办? 下
一代
威胁
APT-高级持续性威胁
社会
工程
内部
滥用
BYOD
僵尸网络
智能终端
Hac
ktiv
ism
拒绝服务攻击 DD
oS
SQL注
入
云计算
虚拟
化
社会
网络
离岸
外包
地下经济
合规
性
协同
攻击
安全
信誉
跨站
0-Day
SCADA安全
异常行为发现
网络空间安全
深度分析
NGFW
NGIPS
Anonymous Lulzsec
移动
计算
Anti-DDoS
CIIP 供应链完整性
WAF SECaaS
MSS
三个重要的假设
假设1: 攻击者正在转向经济目的,攻击者和防守者之间的竞争关键是成本。获得成本优势的一方将会获得“战场”上的优势态势。 假设2:为了降低成本,攻击者必须尽可能地重复使用(Reuse)其攻击代码、工具、技术和手法等。
推论1:一般来说,一种威胁或攻击会出现在多个场合,在一些场合中检测出来并证明为威胁或攻击的行为有非常大的概率在另外的场合下也是威胁或攻击。
假设3:为了降低成本,防守者必须重构防御体系,将部分密集的、重复性的计算转移到“云”中进行,而将计算产生的“智能”(Intelligence)推送到防御功能点(Defense Function Point)。
From SIEM to BIG DATA & Intelligence
Data Source: RSA2012, Tech-303, by Zions
从手工到集中处理、走向分布式、并行处理
BIG DATA ANALYTICS, 也简称 BDA, 不仅仅是处理海量数据,还包含快速、甚至实时的搜索功能、实时分析告警功能、数据展现技术等内容在里面。
BDA -不是- Silver Bullet
时效性 :: 通常“智能”的生产和“大数据”的运算过程都需要相当的时间。这个时间可能会造成“有效性”的降低。
例:目前一个恶意代码的生命周期可能只有3~5天,而产品规则升级的频率常常是星期级,无法应对快速变化的威胁。 如果提取特征、挖掘规则过程很慢,一则输出的“规则”实际上是没有意义的,更麻烦的是,该恶意代码已经消失,增加的“规则”反而白白消耗了检测系统的资源。
数据质量 :: 业界在元数据方面进展甚微,数据格式和含义参差不齐。在各类数据的ETL方面可能耗费巨大,而成效不大,导致Garbage-in-Garbage-out的杯具。
• 什么是“行为”? – 行为是分析目标和信息系统产
生互动、引起信息系统发生某些改变的过程。行为可以由一个或多个信息系统的记录来描述。
• 什么是“异常”? – “当然了,不正常吗,就是异常了”…
• 怎么发现“异常”? – 把“正常”得拿出去了…
关于行为和行为异常发现
人
内存 硬盘 外设 网口
终端应用程序
网络层协议
应用层协议
系统 文件
配置 信息
进程
系统应用程序
地址
地址
智能驱动的下一代安全图像
安全专家/攻防团队
计算 集群
服务 集群
页面爬取集群,页面内容分析集群, 恶意代码分析集群,漏洞扫描集群
智能挖掘集群
IP信誉/文件信誉/域名信誉/URL信誉/恶意行为/安全漏洞/攻
击手法/…
业务识别能力 信息获取能力
处理逻辑和规则分离 快速升级能力 灵活部署能力
下一代安全的主要特征(1)
集约化
主动性 生态化
•消除壁垒
•荣辱与共
•长期合作 服务外包 联合研究
•攻击预警
•措施前置
•兵不厌诈
智能化 服务化
•信息共享
•动态策略
•协同联动
•分析工具
•产品形态
•内容形式
•管理方式 •人力资源 •系统资源
虚拟化 数据集中
下一代安全的主要特征(2)
安全厂商
最终用户 IT 厂商 •软件系统厂商 •硬件系统厂商 •关键信息设施提供商
•个人用户 •企业用户
社区组织 权威机构 •开源项目 •专业组织 •协会联盟
•政府部门 •立法机构 •标准组织
下一代安全的竞技场 – 庙算者胜
快速响应能力 快速规则升级能力 快速部署能力 快
全 技术覆盖能力 行业覆盖能力 地理覆盖能力
多 正则匹配 统计分析 数据挖掘 快速搜索…
夫未战而庙算胜者,得算多也,未战而庙算不胜者,得算少也。多算胜,少算不胜,而况于无算乎!"
About the Cloud Security Alliance
• Global, not-for-profit organization • Over 33,000 individual members, 150 corporate
members, 60 chapters • Building best practices and a trusted cloud ecosystem
– Research – Education – Certification – Advocacy of prudent public policy
• Innovation, Transparency, GRC, Identity
“To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of
computing.”
Key CSA Contributions
Governance and Enterprise Risk Management Legal and Electronic Discovery
Compliance and Audit Information Lifecycle Management
Portability and Interoperability Security, Bus. Cont,, and Disaster
Recovery Data Center Operations Incident Response, Notification,
Remediation Application Security Encryption and Key Management Identity and Access Management
Virtualization
Cloud Architecture
Ope
ratin
g in
the
Clo
ud
Governing
the Cloud
Security as a Service
CSA GRC Stack
Control Requirements
Provider Assertions
Private, Community & Public Clouds
• Family of 4 research projects
• Cloud Controls Matrix
• Consensus Assessments Initiative
• Cloud Audit
• Cloud Trust Protocol
• Tools for governance, risk and compliance mgt
• Enabling automation and continuous monitoring of GRC
CSA STAR Registry
• CSA STAR (Security, Trust and Assurance Registry) • Public Registry of Cloud Provider self assessments • Based on Consensus Assessments Initiative
Questionnaire – Provider may substitute documented Cloud
Controls Matrix compliance • Voluntary industry action promoting transparency • Security as a market differentiator • www.cloudsecurityalliance.org/star
CCSK – Certificate of Cloud Security Knowledge
• Benchmark of cloud security competency • Measures mastery of CSA guidance and ENISA cloud risks
whitepaper • Understand cloud issues • Look for the CCSKs at cloud providers, consulting partners • Online web-based examination • www.cloudsecurityalliance.org/certifyme • www.cloudsecurityalliance.org/training
Security as a Service • Information Security Industry Re-invented • Define Security as a Service – security delivered via
the cloud • Articulate solution categories within Security as a
Service • Guidance for adoption of Security as a Service • Align with other CSA research • Delivered as the 14th domain within CSA Guidance
version 3. • https://cloudsecurityalliance.org/research/working-
groups/secaas/
CSA Mobile Mobile – the Portal to the Cloud • BYOD, New OSes, application stores, mobile clouds…
Our Initiative • Security Guidance for Critical Areas of Focus in Mobile
Computing • Secure application stores • Solutions for personal and business use of a common mobile
device • Cloud-based security management of mobile devices • Security frameworks and architecture • Scalable authentication and secure mobile app development • www.cloudsecurityalliance.org/mobile
Contact Information
• www.cloudsecurityalliance.org
• csagcc.org
• LinkedIn: www.linkedin.com/groups?gid=1864210
• Twitter: @cloudsa
• http://www.nsfocus.com
谢 谢
