自动化的下一代网络安全将基于“意图”

本文讲的是自动化的下一代网络安全将基于“意图”，实现基于意图的网络安全(IBNS)需要计划、考虑和增量实现

影响网络安全的技术在理想世界中如何互动，怎样与我们网络中的设备共享信息，如何按需求采取缓解动作？这些理论上的东西，面对快速发展的联网系统，又将如何改善我们的整体信息安全？

最终，这一切都将落脚到信息上——无论存在分布网络中的哪个角落，新的、重要的、异常的东西都能被自动有效地识别出来，这种能力可以用“IBNS”,即“基于意图的网络安全”这个词来概括。

IBNS的具体含义是什么呢？简言之，IBNS就是对网络中部署的各种安全设备上搜集来的信息进行分析的过程。单个安全解决方案已经可以产出大量互不关联的孤立数据，更不用说大规模的复杂的安全系统了。

但是，随着我们同质互联安全网络的建成，我们便可以开始将这些收集来的海量信息关联起来。这种集成就是IBNS的精髓，因为它可使我们把信息大山削减成小土包，然后就可随着网络和威胁态势的变化实时自动精炼安全了。

该集成方法的另一个好处，是可以提供一致的方法，通过通用命名、可靠数据、有效威胁排序等等，关联和组织此类信息。这还只是第一步。在着手实现IBNS之前，我们真心需要理解和定义数据重要性的途径，并有一套一致的通用的方法来描述之。

关于IBNS，有两种完全迥异的看待方式：

第一种是从公司拥有者和安全策略负责人的角度出发。这位要能够方便地定义或更新公司意图，而安全策略和相关基础设施要能翻译该信息，并自动实现合理又充分的响应。比如说，安全策略应能够自动限制系统只能访问被授权的信息和服务。当然，这要求我们在网络设计上更为准确。如果我们继续采用拓荒时期那种“您随意”的态度对待我们的网络，实现起来的困难无疑会大上许多。

第二种，也是较新的一种看待方式，涉及重新思考我们解决安全问题的方式。打造集成响应安全网络的关键组件，是实现能自动评估和确定系统活动是否正常或符合意图的安全工具——也正因此，一组被称为基于意图的安全实践才冒了头。再次强调，对此类方法的简化版描述就是，这是能够解决并自动响应下列问题的方法：系统正在做的事务是否是该用户希望该系统所做的？

创建能真正提供IBNS的系统，有很多事要做：

从物理角度(平台/OS)知道该系统是什么；
知道该系统通常被用来干什么；
知道该系统以前干了什么；
知道该系统现在正在做什么；
知道谁正在使用该系统；
知道系统什么时候发生了改变。
随着我们的安全部署更加全面，我们实时理解和观察系统活动的能力也得到了大幅提高，不再局限于以前孤立的，只有边界防护的安全部署。

尤其是，向虚拟系统和容器的迁移，也使得实现IBNS更加简单直接了，因为给定系统的意图动作数量被减少了，而且它们变得更简单且更细粒度了。

类似的概念可应用到物联网上，因为IoT设备通常只有非常有限的行为集和/或意图通信。理解这些应该能使我们观察到偏离了这些行为的异常动作。比如，销售终端系统(PoS)通常只与公司内部环境或给定区域里的少量系统通信。如果突然间这些终端系统开始与其他地方的系统通信了，那这行为就需要加以阻止并展开后续调查了。

想象一下典型的零售银行分支机构——通常会有很多基于意图的安全方法应用到该物理层级；柜台柜员、ATM机和办公室一般都是隔离良好的。如果你等着跟办公室里的人谈贷款之类业务，等待区通常都远离柜员(你的意图很明确，就是在等办公室里的高级人员)。柜员和ATM机周围的公共区也常被明显的安全摄像头无死角覆盖。柜员抽屉里满是现金的日子早已远去，因为现金如今都被锁在安全的地方，有需要的时候才供应。这些都可以被看作是基于意图的安全，尽管是物理世界中的。

想将这种有效策略应用到我们的网络世界，就要重思考我们计划、设计、组织和部署我们网络架构的方式。确定自家公司基础设施是否准备好转向IBNS策略，可以考虑以下事项：

了解自家网络中含有关键数据的设备：在哪儿？做什么？为什么在那儿？上面授权运行了什么应用？可以和其他什么设备通信？
了解或尝试了解终端用户在用的设备类型，以及这些设备的正常行为；
实现在创建安全执行策略时能利用动态数据的系统(静态五元组规则就让它快速逝去吧)。
实现IBNS这种事，花个周末部署几台设备或平台是办不到的。这需要计划、考虑和增量实现。但是，最终结果必将值回票价，不为别的，就为了把我们老旧的、静态配置的、从来跟不上时代的、高维护的防火墙部署方法给淘汰掉也好啊。

至此，还有个小尾巴尚未解决，就是IDS风格的信息分析方法——大多数基于SIEM解决方案的一部分。为处理IBNS所需大量数据，我们得实现下一代SIEM技术和实时威胁馈送，比如网络威胁联盟(CTA)提供的服务。集成安全系统将能看到并关联取自网络中各个角落的信息，确定意图，在出现异常的时候自动识别并响应。

原文发布时间为：三月 17, 2017
本文作者：nana
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛
原文链接：http://www.aqniu.com/tools-tech/23592.html