盾立方(Shield Cube)是由中国工程院院士方滨兴提出的一种网络安全防御体系。

这个体系在北京冬奥会的网络安全防护中发挥了重要作用,并创造了网络安全“零事故”的世界纪录。

理解“盾立方”的前提:网络安全对抗的三种应对模式

从重保视角看,网络安全对抗有三种应对模式:自卫模式、护卫模式和迭代模式。

1.自卫模式

自卫模式是活动之前实施内生安全自保,特点是依靠自身来抵抗攻击。

自卫模式是自我强化模式,包括容灾备份、HW演练、拟态防御、可信计算、主动免疫、漏洞管理、主机IDS、RASP等安全手段。

自卫模式是内生安全的体现,但内生安全的内生属性反映了安全与系统之间的紧密耦合;动物与人对多数细菌与病毒(如鼠疫、禽流感)的内生免疫机制应该是不一样的,这就是紧耦合的缘故。

自卫模式类比中医,采取的是“支持”模式,旨在强健自身系统安全。

2.护卫模式

护卫模式是活动期间进行外部防御对抗,特点是依靠外部来阻断攻击。

护卫模式是外部协作模式,包括疆界防御、流量清洗、SASE、WAF防护、安全服务、零信任、UTM、安全托管等安全手段。

护卫模式是外置安全的体现,但外置安全必须与被保护系统解耦才具有保护能力的普适性;驱蚊灯可以保护人不被蚊虫叮咬,同样也可以保护其他恐蚊动物不被叮咬,这就是解耦的效果。

护卫模式类比西医,采取的是“保障”模式,如无菌环境采取隔离措施。

3.迭代模式

迭代模式是活动之后转入系统重建迭代,特点是依靠复盘来强化防御。

迭代模式是自我复盘模式,包括攻击画像、地址画像、域名画像、防御迭代、系统重构、规则扩充、系统恢复、缺陷修补等安全手段。

迭代模式是利用攻击后的间隙进行复盘分析,以更新应对模式;如同住院治疗,需要全方位地体检、综合治疗。

迭代模式类比康复,采取的是“调理”模式,旨在重建系统的防御模式。

“盾立方”本质:基于三个维度打造护卫模式

盾立方包括三个维度:设陷探察、关联研判、应对阻截。

设陷探察即攻击者布设陷阱技术,指的是如何设置相应的陷阱以便及时发现异常;关联研判即攻击者碰撞分析技术,指的是如何确认具有攻击嫌疑的源头;应对阻截即攻击者管控阻断技术,指的是如何部署拦裁点阻断异常IP的进入。

1.设陷探察

设陷探察以逐层诱骗的方式感知异常,以“四蜜结构” 为设陷探察的抓手,构建进深式感知能力。

“四蜜结构”指的是:近身蜜点、前置蜜罐、关口蜜网、外溢蜜洞。

“蜜点”是一组人为设置的网络访问点,部署在被保护系统的周边,内部承载着防御者精心设置的“哨兵”进程,外部形态是被保护对象的仿真系统。当攻击者实施渗透侦查活动时,将会无感记录其探测行为。

“蜜罐”是被访问系统的前置机,相当于被访问系统的部分功能。对于牵引到蜜罐中的可疑目标对象,既能够真实地提供初期的服务,还能够观察和分析其行为活动,若最终判定为良性用户,则通过流量牵引到真实系统环境中。

“蜜网”是一个前置于被保护系统的应用网关(WAF)。被保护系统无条件只接受来自蜜网或者其他白名单中的访问请求,并对白名单用户的访问过程进行记录和审计。对外,被保护系统的域名所解析的地址都指向蜜网,外部访问需要通过蜜网来进行。

“蜜洞”部署于靠近攻击者侧的真实网络中。当检测到疑似攻击或非合规访问时,蜜洞系统释放溯源认证工具决定是否放行这一访问,认证放行的前提是访问者需要提供证明其来源和途径的信息,即身份认证凭据。蜜洞部署提升了自动化攻击的成本代价,一方面让访问者知晓面临被溯源风险,从而形成威慑;另一方面,可以搜集关联情报。

2.关联研判

关联研判以立体关联的方式分析攻击,以“点线面体”为关联研判的支撑点,构建立体式研判能力。

“点线面体”指的是:探察点、关联线、碰撞面、协同体。

“探察点”就是探针;“关联线”就是点跟点之间进行碰撞关联;“碰撞面”是政府出面把不同厂商的情报汇聚成面;“协同体”是指建立研判中心,形成国家级IP不良信息库,仿效国家级漏洞库。

3.应对阻截

应对阻截以纵深阻断的方式拦截入侵,以“端边网疆”为应对阻截的落脚点,构建层次式阻截能力。

“端边网疆”指的是:端点自卫、边界防御、网络清洗、疆界阻断。

“疆界阻断”就是国家防火墙;“网络清洗”就是大网防御;“边界防御”就是企业边界防御;“端点自卫”就是内生安全体系。

盾立方解决方案:从防御者视角出发构建全域保障体系

盾立方首先利用“四蜜结构”进行异常感知,将可疑源头通过“端边网疆”的方式进行阻断,然后利用感知汇聚的“点”,先形成攻击碰撞的“线”,再形成网间关联的“面”,最后形成协同感知的“体”,从而有效检测未知攻击。

最后形成一个以设陷感知为基础、关联研判成核心、应对阻截是根本、端点自卫做底线的一个“护卫”+“自卫”模式的安全闭环。

一句话,盾立方是基于三个维度打造护卫模式,并从防御者视角出发构建全域保障体系的安全方法论。

参考资料:

[1]北京网络安全大会发布.BCS 2022方滨兴:在冬奥防护中,“四蜜”探查结构塑造了更加强大的防护模式,2022-07-13.https://bcs.qianxin.com/2022/news/detail?id=55

[2]方滨兴.构建“盾立方”网络安全防御体系,2022-08-17.https://www.bilibili.com/video/BV1bT411c7fY/

[3]每日经济新闻.中国工程院院士方滨兴:网络空间安全防御要经历三个应对阶段,2023-03-30.https://new.qq.com/rain/a/20230330A07PBZ00

题图:

题图创作者:晓兵与AI小助手

算法提供:SDXL

声明:本文来自锐安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。