您的位置: 首页  >  文章  >  高质量解读《互联网企业安全高级指南》三部曲(技术篇)——防御架构原则

高质量解读《互联网企业安全高级指南》三部曲(技术篇)——防御架构原则

分类: 文章 2024-05-09 21:07:16

前言:

高效读书,一张逻辑图带你读懂、读薄书中重点。

注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。

防御架构原则逻辑思维图

高质量解读《互联网企业安全高级指南》三部曲(技术篇)——防御架构原则

  1. 防守体系建设三部曲
    1. 信息对抗
      1. 信息对抗的目的是知己知彼,从两方面进行

数据化

数据化指的是企业自身安全风险数据建设与分析,需要根据基线数据、拓扑数据、业务数据梳理清楚可能存在的攻击路径与攻击面,针对性设防

社会化

这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的攻击而与路径需要及时补防

    1. 技术对抗
      1. 针对攻击者,每个突破点可以在更高维度以及多维度进行检测与防守
      2. 方案有了,接下来就是工程能力,把方案落地优化才能有最终的效果
    2. 运营能力对抗
      1. 在所有未能阻断和发现的入侵案例中原因统计

有1/3不到是因为诸如0day漏洞等技术原因

大概1/3是系统故障

大概1/3是运营工作没跟上

      1. 运营能力主要体现在两方面

风险闭环。简单说就是“一个问题不能犯两次”,通过闭环运营让企业自身安全能力不可逆地走向更好

执行力

  1. 大规模生产网络的纵深防御架构
    1. 互联网安全理念
      1. 比较核心的需求:快速检测、有限影响、快速溯 源、快速恢复
    2. 攻击者视角
      1. Plan-A

通常路径,从目标系统正面找漏洞,远程直接rootshell在现代基本没有了,大多数是以应用为入口,先获取上层应用的权限,然后通过上传webshell等方式间接获得系统shell,最后提权获得rootshell

      1. Plan-B

如果正面没有明显可利用的漏洞,就需要曲折迂回,从周围信任域开始下手,这个信任域是广义上的,包括可arp重定向的、可嗅探的、可会话中间人的、可链路劫持的、相同内网的、密码满足同一规律的、互联互通信任关系的,灾备或镜像站点等

      1. Plan-C

如果直接针对生产网络不行,就需要考虑社会工程学了。针对管理员和办公网 络的APT,水坑攻击;针对应用后台管理员的社会工程学技巧,搞定SA自然也就搞定了所有服务器

    1. 防御者模型
      1. 安全建设是反入侵视角,针对攻击活动中的每一步“埋点”
      2. 具体分层

第一层是安全域划分

这个安全域是对业务的抽象,并不是对物理服务器的划分,在 大规模分布式架构中,同一个安全域的机器可能并不一定位于同一个物理机房,但是它们对应相同的安全等级,共享一组相同的访问控制策略,只对其他安全域或Internet暴露有限的协议和接口

第二层是基于数据链路层的隔离

第二层使用VPC、Vxlan、Vian等 方法相当于在安全域的基础上对一组服务器以更细的粒度再画一道防线

第三层就是端口状态协议过滤

这是绝大多数“防火墙”应用的场景

第四层就是现在讨论最多的App安全

这层主要是解决认证鉴权、注入跨站上传之类的应用层漏洞,尽可能把入侵者堵在信息和资源的唯一入口。如果你在开发WAF,那你对应的也是这一层的工作

第五层是容器、运行时环境

对抗 webshell在这一层处理

    1. 互联网安全架构设计原则
      1. 纵深防御

整个企业的安全架构是由多层次的安全域和对应的安全机制构成的,要保护关键数据, 需要层层设防,层层包围,这样就不太可能被攻击者得手一点就全部失守

      1. 多维防御

对同一种攻击有多种维度的防御和检测手段,逃过一层还有额外机制

示例

对抗 SQL注入,第一层WAF,第二层Web 0志分析,第三层RASP,第四层SQL审计

譬如从SDL环节来看多维:防御漏洞第一层是静态代码扫描,第二层是编译过程, 第三层是运行时保护,确保的是当其中一层失效时还不至于功亏一簧

      1. 降维防御

降维防御是针对降维攻击而言的,大意是在攻击者不可达、不可控、无感知的更底层进行检测和拦截

示例

例如在内核态检测用户态攻击,使用RASP在运行时而不是在cgi层面检测webshell, HIDS的攻击检测不在本机判定,而是在云端计算,入侵者对其无感知

      1. 实时入侵检测

实时入侵检测偏重的是事中进行时的检测能力而不是事后的指标

      1. 伸缩性、可水平扩展

针对互联网的业务架构本身追求水平扩展,所以对应的安全解决方案也应支持

      1. 支持分布式∣DC

需要支持去中心化,多级部署,解决 一系列的失效、冗余和可用性问题

      1. 支持自动化运维
      2. 低性能损耗
      3. 能旁路则不串联

“分光”、“旁路”是互联网偏爱的一种方式,究其原因是不想对业务逻辑改动

串联型安全措施最有可能产生的问题

业务响应的延迟

误杀,阻断了正常用户的请求

对业务逻辑的影响

      1. 业务无感知

安全方案的落地尽可能地对业务侧:不断网、不改变拓扑、不改变业务逻辑、无性能损耗无缝集成

      1. 去"信息孤岛"

信息不能封闭在一个程序或设备中, 必须可联动,可关联1OC的信息必须在企业内部做到兼容、共享和流通,这也是多维和 纵深防御的一个前提

      1. TCO可控

 

相关推荐