数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
一、背景
近两年谈了较多数字安全的问题,相对于网络安全,强调更多的是数字化对业务、客户、合作伙伴、监管部门相关的企业生态对企业网络信息的影响。相对于信息时代网络安全对企业员工,企业办公网,企业信息基础设施安全的保障需求,数字时代网络安全的内涵与外延都发生了充足的变化。
相对于边界问题,狭义理解是网络边界,即传统意义上的办公网边界的问题,内网作为安全的信任基础,边界作为安全把控的一道关键防线,随着云服务的出现,应用系统与访问应用终端的网络环境发生了变化,软件定义边界或零信任作为该场景的安全解决方案,逐渐成为企业安全边界的新方式。
但从广义上来看,企业安全的网络边界并不能涵盖数字安全的边界保障的覆盖范围,如何定义数字安全的边界,需要更多的思考和解决方案。
二、数字安全范围
如果谈边界,我们先要看一下数字安全的范围以及数字安全的目标,数字安全的范围与目标我在最近组织架构的文章中有过详述,本文仅略做回顾,这和企业的行业,规模,文化,资源,能力密切相关,但整体上大致分为四类。
一是传统的以保障员工参与企业业务运作范畴的信息安全保障为主,也即我们传统意义上的网络安全范畴,也可以称作为企业安全,我曾命名为In B(企业内部)或2E(对员工)的安全。
二是向消费者提供互联网渠道产品和服务的运营网络安全保障,也是互联网企业关注的互联网安全,是运营安全,我曾命名为2C的安全。
互联网业务的开放特性,涉及到企业生态参与各方,安全作为生态的一部分,关注供应链、合作伙伴、监管部门的安全,我曾经细分为2B、2G的安全。
三是企业的产品具备信息化和数字化属性,以Inhouse的方式销售的软硬件产品,需要保障产品的脆弱性和漏洞的修复,升级,称之为产品安全。更关注的是产品研发过程的安全管理和产品生命周期的安全保障,在数字化时代以互联网为渠道的产品和服务的企业运营系统开发过程,同样需要产品安全保障应用研发安全的过程管理。
以过程管理的角度,从时间维度划分不同阶段的话,数字安全需要关注准备阶段的安全政策,组织,流程,制度的建设,研发阶段的预防措施、监测、预警、响应能力的集成,已知漏洞的检测与修复,运营阶段的威胁、漏洞、风险、事件的监测、预警、响应以及修复,整改与加固。
从不同企业的角度来看,传统企业可能只涉及企业安全以及准备阶段与运营阶段,但互联网属性的企业会涉及到企业安全,产品安全,运营安全的准备,研发与运营阶段。对于产品数字化和智能化日益普及的制造业而言,产品安全的准备,研发,运营阶段的安全是不容忽视的关键领域。
三、数字安全的边界
1、 定义边界
边界是什么,网络边界我们关注的是防火墙,通过5元组控制网络的边界,源IP、源端口,目的IP、目的端口,传输协议,这是四层网络防火墙定义的网络边界。相对于网络边界,业务系统关注的是账号,权限,通过账号和权限确定数据资产的访问策略。边界是检测点,边界是区分不同检测点策略的界限。
边界区分不同检测点,检测点检测的是可验证的控制。例如,为了规避账号盗用的风险,我们需要对实人的身份鉴别,验证,需要对实人执行操作的终端环境,网络环境进行检查,验证,防止被操纵,破坏,伪造,假冒,非授权的监控,记录。同时,我们需要合法的监控,记录以及对风险的预警,响应和处置。从而实现可验证的控制。
2、 企业安全边界
员工在企业集中办公地点一般是传统意义的内网范畴,内网在受控的网络环境中,企业内部的安全控制措施是内网的安全基线,例如,通过准入系统控制网络接入的终端,通过防病毒或EDR、XDR规避终端被控制,破坏,入侵的风险,通过桌管系统监控管理终端的应用,账号,账号行为的安全风险,通过上网行为管理控制员工外网访问需求,这些策略的一致性,是默认的安全策略,在访问信息系统时默认通过应用账号控制应用访问数据资源的策略。
分支机构通过VPN接入集中办公地点,无论是二层,三层还是四层VPN,前提都是网络的接入管控,但终端设备,实人和账号的检查点未做检测,在移动办公越来越普遍的前提下,VPN账号出租的风险有所暴露,核心原因在于未做实人,终端的可验证的检测点检测。零信任和软件定义边界就是重建可信任的检测点,对终端,账号,以及策略做检测与验证。
这是通用的架构,假设是应用在内网,针对云服务,应用在云上,企业的安全策略可验证控制的检测点促生了CASB的解决方案,企业员工访问云服务,需要在企业可验证控制之下。
整合了多办公集中环境,多应用部署环境,多终端环境的一体下解决方案,既要验证终端,又要验证用户,还要验证应用,形成一个完整的策略控制集,实现统一的企业可验证控制的检测点的方案,就是SASE。
3、 运营安全边界
运营安全的边界主要是使用业务应用系统带来的安全风险的边界。
从访问量的维度来看运营系统的安全,首当其冲的是消费者,消费者访问业务应用系统的边界是消费者边界,提供互联网渠道的服务意味着可以从任何网络,任何设备以消费者的身份访问业务应用系统,这也是当下互联网安全面对的主要问题,爬虫,机器人,身份盗用,假冒,伪造,业务欺诈等不一而足。
如何构建可验证控制的检查点的基础,是消费者安全边界需要解决安全风险的关键问题。移动互联网的普及,APP相对建立了可验证控制检查点的基础,但在消费者终端构建安全防线,如何避免对用户隐私的侵犯和严厉监管的违规,是个需要综合平衡的问题。
业务运营系统中企业员工承担业务作业的执行角色,从安全边界的维度而言,与企业安全边界相同,只不过相对于企业应用系统,业务应用系统是消费者和企业员工共同参与的应用系统,如果未做服务的拆分和边界的管理,应该执行不同可验证控制检查点的运营界面像消费者界面一样暴露在互联网,将增加运营系统的安全风险。
把业务应用系统的运营边界,即企业员工作业系统纳入企业安全边界管理,避免与消费者作业系统一样,直接暴露在互联网,不做可验证控制的检查点。无论是以零信任的方式收敛到企业零信任的解决方案中,还是以CASB的方式增加可验证控制检查点,都可以作为解决方案。
互联网或数字生态的开放性,涉及到供应链的安全边界风险,供应链分为人的边界和应用的边界,人体现在运营外包和供应链业务作业两部分,相对于企业员工作业环境的可验证控制,运营外包员工如果不是驻场办公,则网络,终端,身份的认证,检查,验证将难以可验证的控制,这是容易忽视的环节。
供应链应用的边界是应用系统对接的边界,也是我所谓的B2B的边界,一般的安全控制措施,是隔离单独的前置层网络,通过网络白名单机制进行网络层接入控制(当然有条件专网接入的安全等级更高),通过应用协议以账号/密码,API Key,数字证书等机制保障应用层身份的认证以及传输层的加密安全。但对于跨边界的安全缺少对内容,行为以及风险和事件的检查与审计机制。对于庞杂的供应链而言,接入供应链的应用身份生命周期管理缺乏,对于传输内容缺少检测,监测,预警,审计机制,同样带来重大运营风险。
运营外包和供应链业务作业系统的安全均依赖于外包企业的安全体系,虽然可以通过安全审查进行供应链的准入许可,以安全服务协议SLA进行约束,以安全审计和安全责任奖惩作为保障,但相对于企业运营安全而言,不是实时可验证的控制点,风险始终存在,如果业务作业系统未做隔离,则运营安全保障等级等同于供应链安全体系最弱的合作伙伴安全等级。
监管的安全界面是个全新的话题,传统的合规监管主要针对过程记录的静态监管,无论是审计和检查,主要依赖于信息安全制度建设和流程管理的控制点的实施记录的静态检查,对应用系统的安全也是依赖于对安全基线的扫描和检测,不涉及动态实时的监测和监管。但《个人信息保护法》《数据安全法》的出台,涉及到对互联网业务的消费者权益保护的范畴,APP的开放性,让监管部门具有了实时监测和检测监管的可能性。合规的监管与通报APP成为了有效的抓手,但不可避免的是过度监管让企业丧失了APP作为可验证控制检查点的平衡,最终受到损失的可能是消费者。
4、 产品安全的边界
产品的丰富性与复杂性,注定了产品安全边界的复杂性,如果产品只是一个具备独特传统产品功能的数字化终端,卖产品只是企业卖运营服务的开始,那么这基本上是一个具备可验证控制检查点的数字终端,在关注运营安全边界的同时,需要保障数字终端自身的安全,在产品生命周期的过程中,关注设计,制造,应用的全生命周期安全。
运营安全的边界范围如3所述,产品安全的边界需要根据产品传统产品功能的安全(Safety)基础上,关注数字化带来的安全风险,是终端安全的范畴,可能麻雀虽小,五脏俱全,通信,算力,算法,协议,模型,供应链,非一言两语可以说清,需要个案分析。
四、解决方案原则的建议
1、 身份
身份不仅是账号,要建立实体与身份之间的关系,要建立同一实体不同账号间的对应关系,要做到账号的生命周期管理基础上的审计与责任追溯。这就要求对账号行为的记录,建模,形成异常行为基础上的身份监测,预警,响应。IAM产品,CIAM产品,UEBA产品,2FA认证产品,SSO产品,均是在可验证控制与用户体验之间的平衡。
在供应链安全边界中,对外包员工的身份管理往往变成了应用账号的管理,外包员工实体离职,应用账号依然重复使用,以外包员工账号作为爬虫爬去运营数据,租售外包员工账号,都是带来巨大运营风险的问题。
应用,API的身份管理遵循同样的原理和控制措施。
2、 终端
终端包含终端设备的身份识别,终端环境风险的检测,终端安全基线的验证,终端应用安全的检查。如果终端被黑客控制,感染病毒,应用被篡改,业务被跟踪,带来的是数据泄漏,身份盗用,业务攻击等一系列安全问题。企业安全我们终端默认是受控的,虽然未必每次业务访问都做可验证控制的检测,但企业的安全策略会有终端受控安全策略的检测点,而供应链安全边界的合作伙伴的终端未必有,消费者的终端未必有。
APP承载的移动终端更是存在着ROOT,篡改,模拟等系列风险,构建终端安全的可验证控制点包含以安全SDK做终端的设备认证,安全检测,和应用的完整性检测,也可以基于JS脚本建立设备认证和安全检测的可检测控制点基础。但是由于终端安全权限的控制和消费者权益的挂钩,安全SDK的数据采集和检测,监测能力愈加困难,这需要终端厂商提供解决方案,解决终端可验证控制检测点的能力,并开放给合法应用使用。
3、 访问策略
最小化访问策略是安全最知名的原则之一,执行起来却未必容易,尤其是相对于业务权限与资源权限,甚至是安全控制权限界限的问题。应用策略,API策略,URL策略,还是业务策略,基于权限的精细化设计都充斥细节。在缺少微隔离的前提下,仅基于分区的网络五元组控制策略,显然不足以提供足够的安全保障,零信任的用户,应用,动态授权策略是否可以扩展到所有场景中,有待于验证和检验。
4、 数据驱动
威胁情报是重要的外部数据源,在终端和身份的可验证控制检测点缺少终端能力支撑的情况下,外部数据源是有效的检测数据源,例如,移动终端的标识,手机号码,IP地址,这些数据源可以在流量层面从接入网关的角度进行可验证控制的检测,规避终端和身份的风险。
身份行为数据是重要的内部数据源,基于机器学习的行为数据分析的建模,为异常身份行为的分析,检测,预警提供了基础能力,当然结合专家模式的标签与训练建模,效果更佳。
5、 关联分析
为什么要建立统一的实体关联账号的身份管理,为什么要做实体全记录的跟踪与溯源,关键是建立终端,网络,应用,业务不同层面的统一数据源,完善对实体责任的监控,分析,预警,与溯源,压实安全责任。
6、 安全中台
安全中台不是实现安全能力的统一与集成,目标是实现安全的体系化,数据化,智能化和自动化。安全中台不是对现有安全功能的替换与替代,而是实现安全专业能力与通用能力的分离,实现安全专业模型与安全数据的分离,让安全企业的安全核心竞争力聚焦到安全的功能与逻辑,安全中台的目的是赋能安全产品,实现协作与共赢,安全中台我也写过一篇文章,有兴趣可以翻翻。
零信任解决了企业步入数字时代的企业安全问题,但并未涉足数字化生态的运营安全,产品安全带来的安全边界问题。从明确的企业边界,到企业边界需要软件进行定义,再到数字化时代的无边界,解决边界安全问题,核心围绕如何构建安全可验证控制的检测点,无论分析问题还是解决方案的原则建议,本文都是挂一漏万,仅作为抛砖引玉的启发,分享给大家。
声明:本文来自IT的阿土,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于IT的阿土,作者:刘志诚;编辑/翻译:数字化转型网默然。
