安全抽象 | 網路安全生態系統從複雜臃腫到有效自動化的發展之道

當前，全球網路安全形勢錯綜複雜，甚至難以管控。究其原因，一方面在於各種高級網路攻擊活動持續增多，從本質上打破了安全平衡；另一方面在於，讓人眼花繚亂的各類安全產品應運而生。

然而，這些安全產品雖各具功能特色，但也容易陷入「安全孤島」，從總體上限制了安全效應發揮。

舉例來說，假如一個機構，為安全投資部署了至少35種不同技術和上百種安全設備，然而由於這些技術設備使用的協議和運行模式不同，其最終結果可能是，構建了一堆「笨拙、反應遲鈍」的安全設施平台，達不到建造安全、發揮安全的目的。

相反，這種情況，可能還會被攻擊者利用。

這種「越多越好」的觀點迫使安全團隊監控管理那堆亂糟糟的設備，一旦遇到安全威脅，還需投入大量精力在混亂的防護警報中尋找關聯信息，相當麻煩。即使對那些大型或有經驗的安全團隊來說，這也是一項艱巨而繁雜的任務。

我們的網路安全生態系統需要

簡化

！

這是安全的根本性挑戰，以至於在行業內早已是不再談論的話題。而簡化真正需要的是「安全抽象」的核心內含。在我們之前的專欄文章中提到，「抽象」方法曾被成功用於解決，當系統達到一定體量和複雜度時面臨的情況。

安全抽象方法的概念

安全抽象的含義是使複雜的安全模型簡單化，其目標是使用一種通俗語言，根據安全形色優缺點定義方法，把網路安全生態系統劃分為相關的抽象組件，這樣我們就能從複雜的安全模型中得到簡單的安全視角。

安全抽象方法的意義

安全抽象方法的前提需要深入領會每種安全形色能力（安全顆粒），其目的在於，當相應的有針對性的攻擊發生時，能夠快速了解安全事件，從中發現威脅產生的實質。

安全抽象法能夠快速識別安全事件，讓組織機構能充分部署相應的最佳安全防護策略去解決威脅。當處理真實威脅時，這種抽象過程可以做到精心調配，反應及時準確。

有些人可能覺得這不可能。當然，這是一個巨大的挑戰，但並非不可能，因為在過去幾年，一些重大技術改變正悄然發生：

API：基於重要客戶和供應商需求的API設計發展比以往更具預測性和穩定性。

SDDC&NFV ：客戶對「開放性」和「可編程性」的需求，促進底層網路技術的整合、定製和自動化，使其更加適合他們的自身業務需求。

AI：人工智慧技術的進步發展顯著，特別是機器學習技術可以實現分類演算法的人為認知理解。

所有這些技術都是安全抽象方法成為現實操作的基礎。複雜安全模型的抽象化包含兩層意思：

按照不同的檢測、偵查、緩解或修復能力對安全設備進行分析分類，這是一個持續的過程，因為安全產品的持續更新將會產生新的安全數據和能力（例如每周的入侵攻擊資料庫更新、惡意軟體哈希值更新等）。

通過海量的日誌文件分析和安全目標分類，把威脅抽象化。

機器學習

機器學習技術著力解決，在學習過程中，如何分配一個新的數據點到一個數據集群的問題。

在網路安全問題中，這些數據點可以想像為IDS/IPS資料庫中的攻擊簽名，惡意軟體名稱、特徵、哈希，或安全規則等，而數據集群則代表不同的安全目標。各種集群都有不同的安全含義（威脅意圖或防護目標）。該過程如下圖所示：

根據上面的說明，很明顯，通過分析了解安全日誌（右邊的威脅數據集群），可以非常容易地關聯出相應的最佳安全防護策略或能力（左邊的防護數據集群）。

以下是一個把攻擊日誌和安全意圖（安全顆粒）中的安全功能進行分類的具體例子，其中包括了選擇分類好的威脅數據點，以及對應的威脅結果項：

機器學習在創建抽象視圖中起著重要作用。在同一硬幣的兩面中，安全功能和威脅本身如影隨形，而機器學習能有助於創建一個直觀的自適應安全分類，從而提高海量安全數據的分析能力。

同時，機器學習的即時數據關聯性也將大大簡化攻擊事件的調查難度，並最終匹配出相應的最佳安全應對策略。

機器學習分類演算法的價值超越單純聚類行為，這些演算法可以工作在任何數據源點和組成的安全事件集群中，例如，在不需要知道具體功能的前提下，為那些底層的安全產品劃分安全能力意圖。

這意味著，創建的安全分類可以被認為是一個抽象層，並適用於任何大中型組織的現有安全配置。無論哪個種類型的安全廠商或組織使用，都能提供所需的明確分類。

抽象在很多實例中已經被證明是一個非常成功的概念，應該得到安全行業的更多採用和關注。TCP/IP的OSI通信模型、智能手機的APP平台（如iOS）和網頁設計平台都是抽象模型的典範。

總結

在網路安全領域，安全抽象方法可以創造根本性的改變，能簡單及時地應用於大量威脅識別、調查和緩解過程。

安全抽象的清晰表述可以幫助組織機構有效識別每種安全攻擊事件的類型和起源，並匹配出最佳可用的安全對策。在這方面，一些相關的安全資源已經成型，我們要做的就是，學習並有效整合應用它們。

**參考來源：

securityweek

，FB小編clouds編譯，轉載請註明來自

FreeBuf.COM

。