動態(tài)自適應(yīng)演進安全架構(gòu)研究

黨引弟，宋寧寧

(華北計算機系統(tǒng)工程研究所，北京 100083)

0 引言

云計算與大數(shù)據(jù)的迅猛發(fā)展極大地推動了社會各個領(lǐng)域在服務(wù)模式上的顛覆式變革。云計算虛擬整合硬件計算資源，通過網(wǎng)絡(luò)為用戶動態(tài)配置計算服務(wù)[1-2]。作為創(chuàng)新性的IT基礎(chǔ)設(shè)施，云計算技術(shù)與產(chǎn)業(yè)深度融合，賦能行業(yè)轉(zhuǎn)型升級。伴隨承載事務(wù)的不斷豐富，云計算平臺面臨的安全風(fēng)險隨之凸顯[3]。自2017年以來，“WannaCry”、“Petya”、“BadRabbit”、“Locky”等勒索病毒頻繁沖擊全球網(wǎng)絡(luò)安全防線，多個國家的政府機構(gòu)、銀行、企業(yè)等均受到大規(guī)模攻擊，造成了巨大的經(jīng)濟損失。除此之外，APT攻擊、DNS劫持以及針對軟件供應(yīng)鏈的攻擊同樣對企業(yè)帶來了極其嚴(yán)重的威脅。尤其針對云計算基礎(chǔ)設(shè)施漏洞發(fā)起的高級網(wǎng)絡(luò)攻擊，無疑給云計算安全帶來更多未知的挑戰(zhàn)。

面臨著日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅，傳統(tǒng)的基于防火墻、IDS、WAF等安全設(shè)備的安全體系已經(jīng)不能匹配云計算平臺的安全需求。高級定向攻擊可輕易繞過傳統(tǒng)防火墻與基于黑白名單的防御手段，進而攻擊云平臺的核心數(shù)據(jù)。依托被動的縱深防御方式無法真正解決云安全威脅，在此背景下，可實現(xiàn)主動防御與持續(xù)響應(yīng)的自適應(yīng)安全架構(gòu)應(yīng)運而生。

2013年，美國總統(tǒng)奧巴馬簽署行政命令EO13636《提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》[4]。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)隨即開發(fā)了一系列安全架構(gòu)，旨在降低關(guān)鍵基礎(chǔ)設(shè)施面臨的安全風(fēng)險，并于2014年公開發(fā)布了1.0版本的整體安全架構(gòu)，主要包括三個安全模塊：核心層、實施層、實例化層[5]。

2014年，Gartner首次提出了針對高級定向攻擊的自適應(yīng)安全架構(gòu)[6]。與傳統(tǒng)的依托縱深防御策略重視防御和邊界不同的是，該架構(gòu)不再被動地進行防御與應(yīng)急響應(yīng)，而是另辟蹊徑重點強調(diào)實時監(jiān)測與動態(tài)響應(yīng)，通過持續(xù)性地監(jiān)控與分析，具備對未知的網(wǎng)絡(luò)攻擊的預(yù)測能力，構(gòu)成了防御、監(jiān)測、響應(yīng)以及預(yù)測的安全防控流程閉環(huán)。

2016年，該安全架構(gòu)得到了全球網(wǎng)絡(luò)安全廠商的認(rèn)可，比如終端安全廠商Cabon Black，以及網(wǎng)絡(luò)安全提供商Illumio均結(jié)合自己的產(chǎn)品打造了自適應(yīng)的安全平臺。國內(nèi)云安全服務(wù)商青藤云也致力于自適應(yīng)安全架構(gòu)的產(chǎn)品體系。2016年由Gartner發(fā)布的十大戰(zhàn)略科技趨勢中，自適應(yīng)安全架構(gòu)名列其中[7]。從自適應(yīng)安全架構(gòu)的提出到初步受到廣泛關(guān)注，2016年可以定義為“自適應(yīng)安全架構(gòu)1.0時代”。自適應(yīng)安全架構(gòu)1.0示意圖如圖1所示。

圖1 自適應(yīng)安全架構(gòu)1.0

2017年，“自適應(yīng)的安全架構(gòu)2.0”進一步發(fā)展，添加了一部分內(nèi)容從而完善了防御、監(jiān)控、響應(yīng)與預(yù)測四部分的循環(huán)體系[8]，如圖2所示。首先，在持續(xù)監(jiān)測加入了對用戶和實體進行行為分析模塊(User & Entity Behavior Analytics,UEBA)。UEBA通過機器學(xué)習(xí)與大數(shù)據(jù)分析，能夠?qū)τ脩?、終端以及應(yīng)用層、網(wǎng)絡(luò)層等網(wǎng)絡(luò)設(shè)備進行行為實時分析模擬，搜集相關(guān)安全缺陷，輔助終端安全廠商與網(wǎng)絡(luò)安全廠商發(fā)現(xiàn)更深層次的安全問題。其次，防御、監(jiān)控、響應(yīng)與預(yù)測間的大的循環(huán)體系不變的同時，在各自模塊內(nèi)引入小的循環(huán)體系，形成了動態(tài)持續(xù)的主動防御能力。最后，在防御、監(jiān)控、響應(yīng)與預(yù)測間的大的循環(huán)中加入了策略與合規(guī)性要求，并闡明了該循環(huán)的目的與意義。策略與合規(guī)性問題的引入進一步提升了自適應(yīng)安全架構(gòu)的普適性，而非僅僅針對最初的高級攻擊防御架構(gòu)。

圖2 自適應(yīng)安全架構(gòu)2.0

2017年6月，來自Gartner的三位著名分析師Ahlm，Krikken與NeilMcDonald在第23屆Gartner安全與風(fēng)險管理峰會開幕式上發(fā)布了名為“持續(xù)自適應(yīng)風(fēng)險與信任評估”(Continuous Adaptive Risk and Trust Assessment，CARTA)的安全體系，可連續(xù)不間斷地針對風(fēng)險與信任進行自適應(yīng)評估，進而形成一個動態(tài)可信任的云服務(wù)環(huán)境。該安全體系被普遍認(rèn)為是“自適應(yīng)安全架構(gòu)3.0”，并被列入了2018年十大戰(zhàn)略科技趨勢中[9]。與“自適應(yīng)安全架構(gòu)2.0”相比，在新提出CARTA體系中引入了云訪問安全代理(Symantec CloudSOC Cloud Access Security Broker，CASB)，形成了自適應(yīng)安全架構(gòu)與CASB內(nèi)外雙環(huán)的循環(huán)保護結(jié)構(gòu)，無論是自適應(yīng)的認(rèn)證鑒權(quán)體系還是安全防御體系均形成了監(jiān)測、防御、響應(yīng)與預(yù)測的閉環(huán)。自適應(yīng)安全架構(gòu)3.0示意圖如圖3所示。

圖3 自適應(yīng)安全3.0構(gòu)架

自適應(yīng)安全架構(gòu)核心愿景是構(gòu)建一個具備自適應(yīng)、威脅情境感知、動態(tài)調(diào)整的智能防御體系，面對不可避免的安全風(fēng)險時，具備主動防御與彈性部署的防控能力，為企業(yè)創(chuàng)造一個可信任的網(wǎng)絡(luò)環(huán)境。上述自適應(yīng)安全架構(gòu)均面向企業(yè)領(lǐng)域，目前針對網(wǎng)絡(luò)空間安全保密場景制定適用的自適應(yīng)安全框架的研究較為薄弱。深入理解并合理利用自適應(yīng)安全架構(gòu)，構(gòu)建在網(wǎng)絡(luò)空間安全保密場景下可管、可控、可視、可持續(xù)、自適應(yīng)的安全防御體系，突破智能化防御態(tài)勢分析與攻擊行為預(yù)測，可極大提升信息系統(tǒng)的安全事件快速響應(yīng)能力，實現(xiàn)網(wǎng)絡(luò)安全主動防御能力的躍升。

1 自適應(yīng)安全架構(gòu)詳解

自適應(yīng)安全架構(gòu)是面向云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能領(lǐng)域[10-13]的下一代安全防護體系框架，包含防御、監(jiān)測、響應(yīng)、預(yù)測四個外環(huán)模塊以及云訪問安全代理內(nèi)環(huán)，通過持續(xù)處理與循環(huán)形成了安全防控雙層閉環(huán)，可通過細粒度、全方位、實時不間斷的安全威脅分析處理，自適應(yīng)地適配多種網(wǎng)絡(luò)威脅環(huán)境，動態(tài)調(diào)整安全防護策略，優(yōu)化自身安全防護機制，形成智能集成聯(lián)動的安全防御體系。

(1)防御：是指通過部署安全防護產(chǎn)品，制定安全防御策略與機制，降低信息系統(tǒng)的攻擊面，形成動態(tài)主動防御能力，在形成有效攻擊之前完成攔截。防御模塊主要分為三個層面：加固與隔離、轉(zhuǎn)移攻擊、攻擊事件防御。在加固與隔離系統(tǒng)中，基于滲透測試和模糊測試可識別系統(tǒng)自身漏洞與惡意代碼，進而對信息系統(tǒng)進行加固。此外加固與隔離系統(tǒng)結(jié)合端點隔離與沙箱技術(shù)，限制攻擊者通過系統(tǒng)接口觸及系統(tǒng)核心的能力。轉(zhuǎn)移攻擊則構(gòu)建了一個基于網(wǎng)絡(luò)主動跳變快速遷移的動態(tài)系統(tǒng)環(huán)境，隨機更改網(wǎng)絡(luò)節(jié)點屬性，攻擊者無法有效識別鎖定信息系統(tǒng)核心。攻擊事件防御則采用已有的安全防護手段確保信息系統(tǒng)運行安全，包括防火墻、入侵檢測、動態(tài)防御、漏洞掃描設(shè)備等。

(2)監(jiān)測：是指針對繞過安全防御機制的攻擊行為進行監(jiān)測，并在盡量短的時間內(nèi)隔離已被感染的數(shù)據(jù)與系統(tǒng)，降低攻擊帶來的損失。監(jiān)測模塊分為四個層面：攻擊檢測、行為分析、風(fēng)險評估與事件隔離。由于網(wǎng)絡(luò)攻擊與防御的不對稱性，任何信息系統(tǒng)都無法避免地存在被攻破的可能性，一旦攻擊者繞過已部署的防御措施，通過持續(xù)監(jiān)控系統(tǒng)態(tài)勢，檢測攻擊行為特征形成的異常，快速判定入侵攻擊情況。檢測到入侵攻擊后，針對事故風(fēng)險進行態(tài)勢評估，明確攻擊行為特征，將被感染的數(shù)據(jù)與資產(chǎn)進行劃分，形成可視化的圖形界面，迅速隔離被感染的系統(tǒng)和賬戶，形成有效的阻斷機制，封鎖該攻擊路徑，防止其他正常系統(tǒng)被進一步入侵。

(3)響應(yīng)：是指針對監(jiān)測的入侵攻擊行為，通過智能化的分析獲取此類攻擊特征、來源、路徑、方式以及最終目標(biāo)，相應(yīng)地更改安全防護措施，制定有效的預(yù)防機制防止類似攻擊。響應(yīng)模塊包含攻擊分析、更新策略與系統(tǒng)修復(fù)三個層面。通過回溯分析整個攻擊事件，利用事件中所有監(jiān)測到的態(tài)勢數(shù)據(jù)，對其進行特征分類，挖掘出導(dǎo)致此次攻擊的最根本的原因。更新已制定的安全防護策略，對部分導(dǎo)致此次攻擊入侵的漏洞進行加固，關(guān)閉攻擊路徑中涉及的無用端口，升級信息加密措施，形成具備子模塊聯(lián)動的響應(yīng)機制，修復(fù)原有信息系統(tǒng)存在的安全問題。

(4)預(yù)測：是指上述三個模塊積累的攻擊模型持續(xù)智能優(yōu)化基線系統(tǒng)，能夠?qū)崿F(xiàn)對于未知攻擊威脅的預(yù)測，對信息系統(tǒng)可能存在的漏洞風(fēng)險進行預(yù)判，并將預(yù)知的結(jié)果不斷反饋至防御、監(jiān)測、響應(yīng)模塊，形成整個自適應(yīng)安全防御體系的閉環(huán)。動態(tài)基線系統(tǒng)、攻擊預(yù)測、風(fēng)險探索是預(yù)測模塊的三個子模塊，其中動態(tài)基線系統(tǒng)可適應(yīng)性地針對信息系統(tǒng)的變動進行變化。攻擊預(yù)測可分析知曉攻擊者的意圖，調(diào)整安全防護機制，提升主動防御的能力。風(fēng)險探索則針對已有情報信息進行處理，對信息系統(tǒng)威脅風(fēng)險進行預(yù)測評估等。

(5)云訪問安全代理部署于自適應(yīng)安全架構(gòu)與信息系統(tǒng)核心數(shù)據(jù)中間，能夠?qū)崿F(xiàn)集中的可嵌入式的安全策略，包括：單點登錄、認(rèn)證鑒權(quán)、用戶授權(quán)、安全審計、數(shù)據(jù)加密、集中管控、威脅告警以及異常偵測/阻斷等，可解決業(yè)界公認(rèn)的云安全難題Shadow IT。云訪問安全代理可進行可視化管理，讓云安全態(tài)勢能夠清晰明了地展示，監(jiān)測和防護企業(yè)與用戶對云端數(shù)據(jù)的連接訪問。此外，云訪問安全代理保證云數(shù)據(jù)的合規(guī)性，數(shù)據(jù)擁有者可對云服務(wù)提供商進行安全審計與信任管理。除此之外，數(shù)據(jù)安全與威脅防護保證了云基礎(chǔ)設(shè)施與云端數(shù)據(jù)的健壯性。

2 動態(tài)自適應(yīng)演進安全架構(gòu)

現(xiàn)有Gartner提出的自適應(yīng)安全架構(gòu)，是從企業(yè)安全防護的角度出發(fā)，具有一定的局限性，無法直接使用于網(wǎng)絡(luò)空間安全保密防護場景，此外現(xiàn)有的架構(gòu)只給出了概念性的解釋，缺乏關(guān)于安全架構(gòu)中功能邏輯、數(shù)據(jù)流向、依賴關(guān)系等重要內(nèi)容的闡述。本文基于現(xiàn)有自適應(yīng)安全架構(gòu)思路，設(shè)計一種動態(tài)自適應(yīng)演進安全架構(gòu)，該架構(gòu)能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)空間威脅風(fēng)險，并根據(jù)智慧決策生成自適應(yīng)策略，通過動態(tài)執(zhí)行功能實施動態(tài)防御和風(fēng)險處理，融合全息態(tài)勢評估執(zhí)行效能，實現(xiàn)內(nèi)部驅(qū)動智慧決策的自適應(yīng)生成，同時該架構(gòu)引入先驗決策和新型威脅，同構(gòu)外部驅(qū)動實現(xiàn)智慧決策的動態(tài)演進。動態(tài)自適應(yīng)演進安全架構(gòu)如圖4所示。

圖4 動態(tài)自適應(yīng)演進安全架構(gòu)圖

動態(tài)自適應(yīng)演進安全架構(gòu)包括智慧決策、自適應(yīng)策略、動態(tài)執(zhí)行、全息態(tài)勢、外部驅(qū)動五種模型元素，可以分為監(jiān)測預(yù)警、動態(tài)防御、態(tài)勢感知、效能評估、演進決策五種功能元素。模型元素和功能元素從不同的視角實現(xiàn)對層次和功能的劃分，各元素之間包括生成流、控制流、數(shù)據(jù)流、邏輯流四種流向。生成流標(biāo)識決策動態(tài)地生成自適應(yīng)功能決策；控制流表示功能元素之間的管控關(guān)系；數(shù)據(jù)流標(biāo)識功能元素之間的數(shù)據(jù)流向管理；邏輯流突出功能元素之間的邏輯順序。

2.1 模型元素

(1)智慧決策

智慧決策基于大數(shù)據(jù)分析、深度學(xué)習(xí)、生成對抗網(wǎng)絡(luò)等人工智能技術(shù)，能夠?qū)χR進行理解和聯(lián)想，完成知識歸納與分析，實現(xiàn)決策的判斷和評估。

(2)自適應(yīng)策略

面向監(jiān)測預(yù)警、風(fēng)險防御、態(tài)勢感知和效能評估的動態(tài)自適應(yīng)需求，智慧決策根據(jù)其功能需求和動態(tài)反饋，生成自適應(yīng)策略，指導(dǎo)控制其功能執(zhí)行。

(3)動態(tài)執(zhí)行

在自適應(yīng)策略的指導(dǎo)控制下，各功能元素按照自適應(yīng)策略的部署方案、執(zhí)行流程進行動態(tài)執(zhí)行，執(zhí)行過程可以根據(jù)自適應(yīng)策略進行動態(tài)的調(diào)整。

(4)全息態(tài)勢

在功能元素動態(tài)執(zhí)行過程中，實時獲取風(fēng)險威脅等監(jiān)測態(tài)勢、安全和保密等防御態(tài)勢、信息系統(tǒng)的綜合態(tài)勢，融合形成整個網(wǎng)絡(luò)空間的全息態(tài)勢。

2.2 功能元素

(1)監(jiān)測預(yù)警

監(jiān)測預(yù)警通過決策生成的監(jiān)測策略實時動態(tài)控制探針部署、監(jiān)測執(zhí)行和風(fēng)險分析。首先將探針部署到信息系統(tǒng)中，在監(jiān)測執(zhí)行過程中，通過探針實時收集整個網(wǎng)絡(luò)空間的網(wǎng)絡(luò)、計算、存儲、終端、用戶、應(yīng)用等運行狀態(tài)信息；基于人工智能技術(shù)執(zhí)行風(fēng)險分析，發(fā)現(xiàn)網(wǎng)絡(luò)空間已知或未知的安全威脅、風(fēng)險漏洞；根據(jù)監(jiān)測策略對安全威脅和風(fēng)險漏洞進行監(jiān)測預(yù)警，將預(yù)警信息反饋至演進決策功能元素，實現(xiàn)內(nèi)部驅(qū)動演進；同時通過邏輯流將信息傳送給防御執(zhí)行功能元素。

(2)動態(tài)防御

動態(tài)防御通過決策生成的防御策略實時動態(tài)控制防御執(zhí)行與風(fēng)險處理。首先根據(jù)防御策略，在信息系統(tǒng)中部署加密、認(rèn)證、可信、防火墻、漏洞掃描、入侵檢測、防病毒等安全保密功能設(shè)備和密碼管理、安全管理、安全審計等安全保密管理設(shè)備，包括部署位置、層次、數(shù)量、安全域劃分、隔離交換等部署屬性，并根據(jù)監(jiān)測預(yù)警情況，對可能發(fā)生安全威脅和風(fēng)險漏洞進行有針對性增強防護；對已經(jīng)發(fā)生的入侵和漏洞進行風(fēng)險處理，防御阻斷入侵攻擊，修復(fù)安全漏洞，清理病毒木馬，保證網(wǎng)絡(luò)空間的安全可控。

(3)態(tài)勢感知

態(tài)勢感知通過決策生成的感知策略實時動態(tài)控制態(tài)勢融合與態(tài)勢感知。安全態(tài)勢包括監(jiān)測預(yù)警執(zhí)行過程中直接監(jiān)測和通過風(fēng)險分析、監(jiān)測預(yù)警間接處理得到的網(wǎng)絡(luò)空間安全威脅和風(fēng)險漏洞的實時狀態(tài)和發(fā)展趨勢；防御態(tài)勢包括防御執(zhí)行和風(fēng)險處理過程中的安全保密相關(guān)裝備部署和運行狀態(tài)，抵御入侵和防病毒的防御狀態(tài)，入侵和漏洞等風(fēng)險處理的處理狀態(tài)，以及防御狀態(tài)的發(fā)展趨勢；綜合態(tài)勢包括信息系統(tǒng)中的網(wǎng)絡(luò)運行狀態(tài)、終端運行狀態(tài)、計算和存儲資源使用狀態(tài)，以及各狀態(tài)的發(fā)展趨勢；態(tài)勢融合通過數(shù)據(jù)清理、數(shù)據(jù)標(biāo)注、數(shù)據(jù)特征工程等實現(xiàn)對各種態(tài)勢數(shù)據(jù)的融合；態(tài)勢感知通過態(tài)勢數(shù)據(jù)可視化呈現(xiàn)和態(tài)勢預(yù)測判斷為演進決策提供數(shù)據(jù)支撐和輔助分析。

(4)演進決策

演進決策是動態(tài)自適應(yīng)演進安全架構(gòu)的核心，能夠?qū)崿F(xiàn)監(jiān)測策略、防御策略、評估策略和感知策略的生成。首先，演進決策能夠?qū)W(wǎng)絡(luò)空間態(tài)勢、監(jiān)測預(yù)警情況、執(zhí)行評估結(jié)果進行總體視角的研究判斷；根據(jù)判斷結(jié)果，能夠制定生成執(zhí)行策略、細分執(zhí)行任務(wù)、統(tǒng)籌執(zhí)行計劃、突出執(zhí)行重點和難點；能夠根據(jù)網(wǎng)絡(luò)空間的狀態(tài)和發(fā)展趨勢，動態(tài)地調(diào)整各類執(zhí)行策略；能夠?qū)胪獠肯闰灈Q策實現(xiàn)網(wǎng)絡(luò)空間的初始防護，能夠根據(jù)各類功能執(zhí)行后的結(jié)果實現(xiàn)內(nèi)部驅(qū)動的決策演進，能夠根據(jù)外部導(dǎo)入的新型威脅風(fēng)險實現(xiàn)外部驅(qū)動的決策演進。

2.3 架構(gòu)特點

(1)動態(tài)自適應(yīng)

安全架構(gòu)整體具有動態(tài)自適應(yīng)的特點，能夠持續(xù)地對網(wǎng)絡(luò)空間威脅風(fēng)險進行監(jiān)測，并動態(tài)自適應(yīng)地調(diào)整監(jiān)測策略、防御策略、評估策略和感知策略，應(yīng)對持續(xù)多變、已知未知的安全威脅。

(2)執(zhí)行流程閉環(huán)

安全架構(gòu)包括監(jiān)測、防御、評估、感知、決策等功能，形成了網(wǎng)絡(luò)空間安全保密防護的流程閉環(huán)，是一個有機的融合整體，能夠?qū)W(wǎng)絡(luò)空間安全進行一個全面、完整的安全防護，并不斷迭代更新。

(3)內(nèi)外雙驅(qū)動演進

安全架構(gòu)能夠根據(jù)系統(tǒng)應(yīng)對內(nèi)部實時威脅風(fēng)險實現(xiàn)內(nèi)部驅(qū)動的防御演進，同時能夠?qū)胪獠啃滦屯{風(fēng)險，實現(xiàn)外部驅(qū)動的防御預(yù)先演進，具有較高的威脅風(fēng)險應(yīng)對能力和預(yù)防能力。

3 結(jié)論

自適應(yīng)的安全架構(gòu)能夠以智能集成聯(lián)動的方式應(yīng)對高級攻擊威脅，具備防御、監(jiān)測、響應(yīng)與預(yù)測四種安全防控能力，并與云訪問安全代理構(gòu)成了內(nèi)外雙環(huán)的循環(huán)保護結(jié)構(gòu)，為企業(yè)搭建了可信任的安全防護體系。針對網(wǎng)絡(luò)空間安全保密防護場景，自適應(yīng)的安全架構(gòu)存在一定的局限性。本文基于原有自適應(yīng)安全體系設(shè)計了一種可動態(tài)演進安全架構(gòu)，綜合運用智慧決策、態(tài)勢感知與動態(tài)防御等技術(shù)手段，實現(xiàn)了網(wǎng)絡(luò)空間威脅的實時感知、內(nèi)部驅(qū)動智慧決策的自適應(yīng)生成與演進、未知安全威脅的精準(zhǔn)預(yù)測。