天下大勢,分久必合,合久必分?;ヂ?lián)網(wǎng)的計(jì)算模型也正在經(jīng)歷從中心化回歸去中心化的一次重大結(jié)構(gòu)性變革。
1969年10月,第一條互聯(lián)網(wǎng)信息從加州大學(xué)洛杉磯分校(UCLA)的一臺計(jì)算機(jī)成功發(fā)送到斯坦福大學(xué)的另一臺計(jì)算機(jī),預(yù)示著ARPANET的誕生。ARPANET設(shè)計(jì)的初衷是建立一個(gè)去中心化的、冗余的通信網(wǎng)絡(luò),即使局部被破壞也能保持運(yùn)行。
在接下來的五年中,互聯(lián)網(wǎng)不斷發(fā)展,我們見證了網(wǎng)絡(luò)和計(jì)算模型交付方式的全面轉(zhuǎn)變——從集中式大型機(jī)到分布式桌面革命,然后又回到集中式數(shù)據(jù)中心,在那里集中實(shí)施強(qiáng)化的安全控制和數(shù)據(jù)治理。
如今,我們再次見證了這種鐘擺運(yùn)動(dòng),隨著物聯(lián)網(wǎng)、邊緣計(jì)算和去中心化組織的崛起,互聯(lián)網(wǎng)再次回歸去中心化——但這一次,我們面對的去中心化計(jì)算模型是完全不同的“怪獸”。如今,應(yīng)用程序和數(shù)據(jù)都分散在多個(gè)公共云環(huán)境中并自動(dòng)復(fù)制,它們可以運(yùn)行在本地?cái)?shù)據(jù)中心或?qū)S盟接性浦械娜我馕恢?。在全球新冠疫情持續(xù)兩年多后的今天,網(wǎng)絡(luò)邊界的概念早已被遠(yuǎn)程辦公和去中心化團(tuán)隊(duì)拆毀。
去中心化互聯(lián)網(wǎng)時(shí)代已經(jīng)到來,有人稱之為“原子化網(wǎng)絡(luò)”,也有人稱之為web3.0,這并不重要,真正的變革在于,今天我們面對的是一個(gè)流動(dòng)的計(jì)算環(huán)境,應(yīng)用程序、數(shù)據(jù)甚至系統(tǒng)資源都處于永久的運(yùn)動(dòng)狀態(tài)。對于黑帽黑客來說,這也許是最好的時(shí)代,他們現(xiàn)在擁有可以隨時(shí)發(fā)動(dòng)攻擊的廣闊而分散的攻擊面。
去中心化網(wǎng)絡(luò)的安全挑戰(zhàn)
網(wǎng)絡(luò)安全一直是極具挑戰(zhàn)性的工作,保護(hù)去中心化網(wǎng)絡(luò)的安全更是大大提高了難度和賭注。根據(jù)Statista的調(diào)查,2021年全球平均每個(gè)組織使用110個(gè)云應(yīng)用程序,同時(shí)還支持?jǐn)?shù)百個(gè)在云中運(yùn)行的自定義應(yīng)用程序。
云計(jì)算的快速發(fā)展使得今天的IT領(lǐng)導(dǎo)者能夠混合和匹配不同云服務(wù)和功能,打造更快速響應(yīng)業(yè)務(wù)需求和更靈活的基礎(chǔ)架構(gòu)。但是,硬幣的另一面,網(wǎng)絡(luò)或應(yīng)用程序“上云”的同時(shí),也增加了復(fù)雜性。當(dāng)然,隨著網(wǎng)絡(luò)變得更加去中心化,查看所有內(nèi)容資產(chǎn)以及與之關(guān)聯(lián)的資產(chǎn)變得愈加困難。
當(dāng)然還有最重要的資產(chǎn)——你的數(shù)據(jù)。在去中心化網(wǎng)絡(luò)中,數(shù)據(jù)現(xiàn)在可以通過云在分布式環(huán)境中無縫移動(dòng),往返于不斷變化的遠(yuǎn)程工作地點(diǎn)。這些獨(dú)特的環(huán)境需要不同的安全控制。但是,這些安全工具從未設(shè)計(jì)為協(xié)同工作,它們也沒有通用界面來幫助安全領(lǐng)導(dǎo)者真正了解其網(wǎng)絡(luò)中發(fā)生的事情。
去中心化網(wǎng)絡(luò)產(chǎn)生的復(fù)雜性,導(dǎo)致公司可能需要數(shù)月甚至數(shù)年才能意識到他們的網(wǎng)絡(luò)遭到入侵。根據(jù)IBM的調(diào)研,企業(yè)平均需要280天來識別和控制違規(guī)行為。這意味著攻擊者有大量的時(shí)間來觀察、學(xué)習(xí)和隔離受害者基礎(chǔ)設(shè)施中的弱點(diǎn)——發(fā)動(dòng)更大規(guī)模的攻擊。
保衛(wèi)去中心化網(wǎng)絡(luò)的三大數(shù)據(jù)安全策略
雖然沒有人知道未來的網(wǎng)絡(luò)會(huì)是什么樣子,但隨著企業(yè)將更多的應(yīng)用程序和工作負(fù)載遷移到云端,去中心化的趨勢已經(jīng)不可逆轉(zhuǎn)。無論當(dāng)下流行的零信任安全模型還是網(wǎng)絡(luò)加密,都需要重新思考如何在當(dāng)今的去中心化網(wǎng)絡(luò)中提供有效的網(wǎng)絡(luò)安全功能。
專有安全硬件設(shè)備和深度數(shù)據(jù)包檢測的有效性正在不斷降低。鑒于這些挑戰(zhàn),安全團(tuán)隊(duì)?wèi)?yīng)該采取哪些措施來保護(hù)去中心化網(wǎng)絡(luò)?以下三點(diǎn)值得考慮:
1.利用網(wǎng)絡(luò)元數(shù)據(jù)作為威脅情報(bào)的主要來源
傳統(tǒng)的網(wǎng)絡(luò)威脅檢測和響應(yīng)需要在整個(gè)網(wǎng)絡(luò)環(huán)境中部署深度數(shù)據(jù)包檢測設(shè)備。由于網(wǎng)絡(luò)流量的加密以及零信任方案的快速普及,深度數(shù)據(jù)包檢測的實(shí)用性和有效性將大幅下降。畢竟,你無法檢查加密的流量,也沒有合適的位置來放置這些“中間盒子”設(shè)備——在去中心化網(wǎng)絡(luò)中,不再有中間件。
但是,這并不意味著企業(yè)無法分析網(wǎng)絡(luò)上的加密流量。正如NIST指出的那樣:“企業(yè)可以收集有關(guān)加密流量的元數(shù)據(jù),并使用它來檢測網(wǎng)絡(luò)上可能的惡意軟件通信或活躍的攻擊者。機(jī)器學(xué)習(xí)技術(shù)……可用于分析無法解密和檢查的流量。”
應(yīng)該注意的是,任何成功滲透到網(wǎng)絡(luò)內(nèi)部的攻擊者也必須在同一網(wǎng)絡(luò)內(nèi)來提升權(quán)限,并且會(huì)反復(fù)嘗試,總是會(huì)以網(wǎng)絡(luò)元數(shù)據(jù)的形式留下痕跡。因此,實(shí)時(shí)收集和分析網(wǎng)絡(luò)元數(shù)據(jù)的能力將成為現(xiàn)代安全團(tuán)隊(duì)的一項(xiàng)關(guān)鍵能力。
2.跳出二元安全控制模型
在過去的二十年里,區(qū)分應(yīng)用程序和實(shí)體的白名單和黑名單一直是網(wǎng)絡(luò)安全控制的第一道防線。但是,維護(hù)這些列表的過程可能很麻煩,而且難以解決攻擊者的策略演變的問題。正如老練的黑客能很快適應(yīng)并逃避基于簽名的檢測工具一樣,他們同樣找到了繞過這些二元安全控制的新方法。
如今這個(gè)問題在攻擊面更大的去中心化網(wǎng)絡(luò)中變得尤為明顯。雖然基于二元安全控制模型的方法和安全工具可能會(huì)繼續(xù)在安全團(tuán)隊(duì)的工具箱中發(fā)揮作用,但保護(hù)去中心化網(wǎng)絡(luò)需要安全團(tuán)隊(duì)能夠解釋并果斷地處理更廣泛的數(shù)據(jù)。
3.豐富數(shù)據(jù)源以提供行為上下文信息
數(shù)據(jù)豐富策略應(yīng)被視為有效的威脅檢測、威脅取證和緩解的關(guān)鍵因素。使用富化數(shù)據(jù)可將事件和非事件上下文信息都添加到安全事件數(shù)據(jù)中,將原始數(shù)據(jù)轉(zhuǎn)化為有意義的見解。能夠?qū)崟r(shí)豐富數(shù)據(jù)并補(bǔ)充業(yè)務(wù)和威脅情報(bào)詳細(xì)信息的能力也很重要。
許多安全領(lǐng)導(dǎo)者正試圖全面了解他們的去中心化網(wǎng)絡(luò),從這些網(wǎng)絡(luò)上的所有不同系統(tǒng)收集重要的元數(shù)據(jù),提高資產(chǎn)可見性和攻擊檢測能力、消除盲點(diǎn)、阻止威脅、警告惡意流量等,這才是保護(hù)去中心化網(wǎng)絡(luò)的最佳方式。