本文讲的是 网康科技云管端 下一代网络安全架构的“抛砖引玉”,传统的网络安全防护体系主要基于以下2个核心模型:网络边界安全模型和P2DR防御模型。
网络边界安全模型
将网络根据不同业务的需求划分成不同安全级别的安全域,认为与外部网络环境物理隔离的内网是绝对安全的,并通过在网络出口部署防火墙、网关、IPS以及ACL技术来实现。
P2DR防御模型
P2DR是以预设策略为核心的匹配防御模型,包括策略(Policy)、防护(Protection)、检测(Detection)和响应(Responses)四个环节。P2DR防御模型中,所有的防护、检测和响应都是依据策略实施的。策略的完备性是建立在信息资产面临的风险是完全可以充分评估预知的。
近两年,APT攻击等未知威胁的安全事件的频发,,网络“边界”的概念已日渐模糊。信息安全行业人员和企业管理者意识到,网络安全防御架构的建设,已亟待推陈出新。下一代网络安全架构又应该何去何从?网康科技提出的PDFP安全模型或许可以给我们一些参考。
PDFP安全模型
PDFP是以“预测”为核心的安全模型,包括检测(Detection)、取证(Forensic)、防御(Prevention)和预测(Prediction)四个环节。
检测(Detection)和P2DR模型中的根据预置策略的特征库匹配有所不同,指的是对所有用户异常行为的检测。通过设定某一阈值,检测用户操作、流量等行为有没有偏离常规基线,从而判断是否发生了绕过现有的防御侧率的入侵行为,并触发警告。
检测环节得到的可能发生入侵行为的警告,使得取证环节(Forensic)对相应警告进行更加详尽的取证分析,来为之后的防御策略的调整和预测环节的判断提供数据基础。
防御环节(Prevention)除了我们常用的网络出口防御设备外,还有对包括移动端的所有终端设备的杀毒和行为监控以及应用服务器前段的WAF。
预测环节(Prediction)则是动态监测全网的异常行为,将企业自身的安全策略、防护日志、外部的威胁情报、同行业的安全策略、攻击者的最新动态,即人员、行为、日志、攻击、应用等数据信息汇总起来,利用云服务的计算能力进行建模分析,从而在动态、对抗的网络安全攻防中获得先机。
基于PDFP安全模型,网康科技的云管端下一代网络安全架构服务,更为强调主动、对抗的防御方针,并利用网康云提供的服务,对终端和边界设备的异常日志,进行海量数据的建模分析处理,实现终端设备、边界设备和网康云三者的协同预警,主动防御。在终端,通过云查杀获得分析结果,第一时间更新本地防护策略;对于边界设备,实时向云端上传安全日志、异常行为日志、灰度URL样本、异常流量日志等数据;云端,则针对终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,使溯源取证与风险预测可视化。
相比传统以边界防护为核心、相互孤立的网络安全体系,网康的云管端下一代网络架构不再依赖本地静态特征库/策略库,而是利用终端设备、边界设备和云端的联动机制,使得网络安全具备了全局可见性,从而实现一定程度上动态对未知威胁的预测与防御。
原文发布时间为:七月 22, 2015
本文作者:Martin
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/tools-tech/8833.html
