产业观察:发展网络安全保险产业 构建新型网络安全生态(3)
主动防御是一种前瞻性的安全策略。2023年5月1日开始实施的国家标准《信息安全技术关键信息基础设施安全保护要求》将主动防御列为新的安全要求。主动防御以对攻击行为的监测发现为基础,采取暴露面收敛、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,以提升对网络威胁与攻击行为的识别、分析和主动防御能力。与遭受到攻击后才进行安全应对的被动防御不同,主动防御的重点在于预防与发现,被称为“护卫模式”;而被动防御的重点在于抗打击和不被攻垮,称之为“自卫模式”。主动防御对于推动网络安全保险行业的发展具有重要意义。一方面,网络安全保险可以推动被保企业中实施主动防御策略来监测被保系统的安全状况,全面评估网络安全风险,提高企业安全管理水平,减少网络安全事故造成的损失,增强企业竞争力。另一方面,网络安全保险可以作为一个统一的抓手,统筹所保护企业之间的攻击情况,及时发现大范围的关联攻击,以最小的代价最大程度地及时发现攻击者存在,从而降低网络安全事故发生概率,推动网络安全产业的发展。“护卫模式”的关键在于“感知—研判—阻断”。其中,感知为基础、研判构核心、阻断是根本。因此,“护卫模式”的基础在于“感知”,即要确切地发现攻击者的存在。为此,我们提出了“蜜点”的概念,旨在及时发现攻击者的身份。(二)“蜜点”的技术思路传统的网络安全保障体系主要遵循防范-检测-响应-恢复(PDRR)模型,即事先防范、事前入侵检测、事中应急响应、事后恢复。在入侵检测方面,一般采用规则检测或异常检测,即便采取了基于“蜜罐”的诱捕策略,也只是规则检测(行为检测)的一种延伸。然而,对于攻击者而言,其攻击手段可以突破已知的各种防御手段。因为大部分防御手段都是公开的,如果攻击者知道自己无法成功攻击,他们通常不会浪费时间和资源去做无用功。对于一些民间黑客而言,他们采取的就是“打哪儿指哪儿”的攻击模式,通过随机寻找存在漏洞的目标进行攻击;而APT攻击则属于“指哪儿打哪儿”的攻击模式,攻击者必定会使用被攻击者未知的攻击的手法。因此,依靠规则检测或异常检测等方式很难发现这些攻击行为的存在,自然就不可能知道攻击者的身份。“蜜点”的思路不再是检测攻击流量,而是假定我们无法检测出未知攻击。因此,“蜜点”的策略是布设陷阱,设置一些内部人员不会或不应访问的IP地址,一旦攻击者成功渗透到内部网络并试图进行横向移动攻击,他们会有很大概率碰撞到这些IP地址。由于我们预先假定正常人员不会访问或者没有超链接等渠道访问这些IP地址,所以只有采取探索技术的横向移动攻击者才会踩到这些“蜜点”。因此,我们不再依赖规则或异常检测来锁定攻击者,而是直接通过“踩蜜点”的行为来判定攻击者是否出现。对于那些路径固定的、对外提供服务的应用服务器而言,可以采取在系统内部署一些不会被普通用户所使用的目录路径、文件等作为“蜜饵”,一旦有人触碰到,就可认定是攻击者。由于攻击者无法事先了解哪些是路径蜜点、哪些是诱饵蜜点,在他们尝试攻击的过程中,会有很大概率触碰蜜点,从而暴露其身份。尽管此时防御者尚不清楚攻击者的具体攻击手法,但已经知道了谁是攻击者,让攻击者处于明处,自然就可以对其进行防御。所以,“蜜点”的基本逻辑是“以未知应对未知”,既以攻击者对“蜜点”的未知,来应对防御者对攻击者的未知。当前,“蜜点”的理念已在冬奥会、广交会、大运会、亚运会等活动中得到了成功实践,发现了大量传统入侵检测和异常检测无法发现的攻击行为。(三)“蜜点”与网络安全保险在网络安全保险服务的三个阶段中,“蜜点”都有很好的应用。首先是投保前的风险评估阶段。这个阶段的关键在于研判被保企业是否具备攻击感知能力,可以建议企业通过设置“蜜点”的方式来提升其对网络攻击的感知能力。其次是承保中的风险控制。保险企业可以委托相应的安全支撑企业以低成本的方式在被保企业中广泛布设“蜜点”,并将其汇总到专门为保企业构建的安全监测中心来。这样做有三个好处:一是“蜜点”的设置不同于在企业网关上进行监测的传统方式,不会观察企业自身的网络流量,从而不会侵犯企业的隐私,这种做法容易被企业所接受;二是一旦发现“踩蜜”行为,可以及时通知被保企业进行整改。如果“踩蜜”者来自外部,则需要核查该来源还访问过哪些系统,需要立即排查;如果“踩蜜者”来自内部,则说明攻击者已经控制了内网的结点,需要对之立即清除,并进行溯源,以了解攻击发生的时间、入侵途径和方法。由于攻击者的身份已经确定,这种核查就变得易如反掌,其能力的大小仅取决于被保企业的日志记录的详细程度以及记录周期的长短。三是由于所有被保企业是共用一个安全监测中心,因此,如果一个被保企业监测到了“踩蜜点”的攻击者,可以将它同步到其他所有被保企业,从而实现主动协同防御。最后是出险后的响应与理赔。在理赔过程中,首先要确定攻击者的“采蜜者”身份是否在承保过程中已通知给了被保企业,如果是,则需要深入研究为何在知晓攻击者身份的情况下让其得逞?这将为是否理赔以及理赔额度的判定提供依据。
四、结语