自適應安全技術淺析

中國煤炭地質總局 王金輝

在網絡與信息技術飛速發展的今天，在產業互聯網和數字經濟發展浪潮下，云（計算）、大（數據）、物（聯網）、移（動互聯）、智（慧城市）等新技術不斷發展和完善，打破了傳統的思維，對企業發展模式帶來重大的變革，企業業務變化迅速，數字資產成為了企業的核心資產。受利益驅動，網絡攻擊技術也在不斷發展，有組織的持續性攻擊屢見不鮮。諸如IPS、WAF等傳統基于特征對比判斷的安全產品，在這些高級攻擊手段面前，已力不從心，大量的高級持續攻擊已經突破企業傳統的安全壁壘，對企業信息安全造成了難以估量的損失。如何敏捷高效的維護IT安全的問題，擺在企業決策者面前。反思的結果催生了自適應安全理念的誕生，重在解決當前開放性網絡環境下企業核心資產的安全。

自適應安全（APA Adaptive Protection Architecture）是由全球最具權威的IT研究與顧問咨詢公司Gartner在2014年首先提出的下一代的安全理念。APA激發了一種全新的面向主機的的安全防御技術的誕生，該技術通過駐留在系統內部的探針，利用機器學習和智能分析技術，識別出攻擊者的行為，并在最終危害行為發生之前予以阻斷或終止。

1 自適應安全技術

1.1 自適應安全架構體系（見圖1）

Gartnert將自適應安全劃分為四個階段：預測、防御、監控、響應，核心是持續監控。通過提高攻擊者的成本，無時不在的檢測和分析，對攻擊行為及時進行鎖定和處置，來降低網絡攻擊所帶來的安全風險，甚至防患于未然。

實際上，為了應對各種攻擊，有效的防御、檢測、響應和預測不是封閉固定的功能，而是以智能集成聯動的方式工作，提供持續完善保護。

圖1 自適應安全四象限

自適應防護架構的關鍵能力表現在以下四點：

（1）防御能力

防御能力是指可以用于防御攻擊的一系列策略集、產品和服務。通過減少被攻擊面來提升攻擊門檻，并在攻擊行為造成損害前攔截攻擊動作。

（2）檢測能力

檢測能力用于發現那些逃過防御網絡的攻擊，旨在降低威脅造成的“宕機”以及其他潛在的數據泄露等損失。

（3）回溯能力（響應能力）

回溯能力用于高效調查和補救被檢測分析功能查出的安全事件，以提供入侵認證和攻擊來源分析，并產生新的預防手段來避免未來安全事件的發生。

（4）預測能力

預測能力使安全系統可以從外部監控下的黑客行動中學習，以主動鎖定對現有系統和信息具有威脅的新型攻擊，并對漏洞劃定優先級和定位。該情報反饋到預防和檢測功能，從而構成整個流程的閉環。

不難看出，四項能力中檢測能力是關鍵。只有能夠檢測到攻擊行為的發生，才能響應和處理，否則一切皆枉然。

1.2 態勢感知體系

態勢感知是自適應安全的基礎，其核心理念由兩部分組成，即本質行為和關系模型。這里的本質行為是指攻擊者為獲取利益所采取的異于合法用戶的非正常行為。

首先是針對黑客本質行為的持續檢測。要實現安全必須了解守護的對象，即對企業的業務資產不斷進行梳理，弄清楚哪些數據是重要的，哪些算法是機密的，哪些業務流程是不可復制的，實時感知資產變化情況，圍繞這些核心對象來建立保護體系，進行持續監控。不管攻擊者如何小心隱秘，非常的目的必有非常的行為，只要一露出不軌意圖，行為稍有不端，就能被迅速發現。

其次是關系模型，企業業務系統里各個角色的構成關系、之間的聯系，有著一定的穩定型。攻擊者不管利用了什么樣的漏洞，想竊取哪部分的數據，其行為一定會違背正常的業務關系，露出蛛絲馬跡。這種情況下不需要去匹配漏洞或者是規則，通過發現這種異常的聯系就能揪出黑客的動向。

泛濫一時的Apache Struts 2漏洞，在還沒有正式披露時，部署在企業主機的自適應安全agent就已經感知到了利用這個漏洞的攻擊。

2 自適應安全策略

網絡安全攻防是一個動態持久的過程，最為合理的解決方案要求企業對自身的安全要做到持續地監控。要動態掌握網絡內部資產狀況；做好可以預料到的，諸如Webshell、非法上傳、SQL注入、弱口令等的攻擊防護；建立有效的補償機制，即一旦系統被入侵，能及時、有效發現攻擊者的攻擊行為，并在損害發生之前予以阻斷，從而將風險降至最低。

自適應安全產品具備以下功能：

（1）風險分析，使風險清晰可衡量

自動清點業務資產，理清可能的風險點；通過自定義安全基線和合規性檢查，深入發現暴露和潛在的風險點。

清點內容包括：主機和設備、網絡結構、操作系統、軟件應用、進程和端口、系統賬號、web站點、web應用、web接口等。如表1所示。

表1 資產清點列表

系統安全風險主要包括兩個方面：一是人為因素造成的風險，如：弱口令、錯誤配置、暴露端口、不當管理等；二是系統自身安全漏洞。自適應安全產品可以精準發現這些風險，并且針對不同的風險做出精確的分析，提供精確到命令行的修復建議，降低了漏洞分析的難度和修復工作的復雜性。具體風險分析包括：軟件漏洞、web漏洞、風險文件、弱口令、基線檢查、操作審計、異常登錄、web攻擊檢測、暴力破解等。如表2所示。

（2）入侵監控，第一時間發現入侵并迅速處理

通過設立特征錨點、分析行為模式、建立關系模型等手段，在第一時間發現入侵，并及時作出響應處理。如表3所示。

（3）管理加固，構建安全防御體系

幫助企業理清業務角色，根據不同的業務角色靈活配置不同的安全防御功能組件，根據業務需要，制定合理的安全策略來構建安全防御體系。

表2 風險分析列表

表3 入侵診斷列表

（4）高效運維，清算管理大量服務器安全

支持公有云、私有云部署方式，有效管理上萬臺主機安全，解決大規模基礎平臺的運維問題。

不同于傳統安全產品，自適應安全架構，將視角轉移到防火墻之后的業務系統內部，強調基于業務自內而外構建安全體系。同時，將安全從傳統的安全事件防護轉變為一項持續的安全響應和處理過程，從而從多維度持續保護企業安全。

結語：隨著IT技術的不斷進步，企業內部IT環境變化加快，黑客攻擊手段和技術層出不窮，網絡安全威脅日益嚴峻，企業面臨安全基礎體系不完善，同時又極度缺乏專業安全人才的囧境，自適應安全從外到內關注企業IT安全，隨著其技術和產品的不斷發展成熟，無疑將成為解決企業安全難題的金鑰匙，開啟企業信息安全解決之道。