在危机四伏的数字丛林时代,网络安全行业需要跳出资本和市场的博弈陷阱,通过拯救自己来拯救所有人。当然,政府和资本也应该意识到这一点。
在当今这个数字化时代,网络安全的重要性与日俱增。然而,尽管政府和企业不断强调其重要性,网络安全行业的发展却似乎陷入了一个怪圈。
在斯诺登事件后的黄金十年中,网络安全行业取得了飞速发展,但是近年却陷入低谷和“至暗时刻”,无论企业营收利润还是创投融资,都呈现颓势。在数字化和人工智能技术革命的红利期,到底是什么阻碍了网络安全行业的发展?
今天,大多数企业面临最大安全难题不是黑客攻击,而是安全工具整合。
以网络风险管理为例,在不同规模的组织中,网络风险管理可能包括大量的技术,如攻击面管理(ASM)、漏洞管理(VM)、云安全态势管理(CSPM)、网络威胁情报(CTI)源、配置管理数据库(CMDBs)、渗透测试、红队工具等。那么,安全团队如何将所有这些工具和技术整合在一起呢?忘掉人工智能吧,许多组织仍然依赖于手动流程和电子表格。
安全平台模式存在局限性
平台化是公司强调的网络安全市场最热门的趋势之一,也是对网络安全厂商最具吸引力的概念之一。在平台模式下,企业只需从一家安全厂商那里购买所有技术和服务,并让厂商代表企业进行整合工作。这听起来很有吸引力,平台可能对小型企业有用,但对于大型企业来说,平台有严重的局限性。
对于大型企业来说,“平台”是供应商锁定的代名词,这是企业需要尽量避免的情况。假设一个大型企业对平台感兴趣,它可能需要数月甚至数年的时间,才能从分散的工具迁移到一个集中化管控平台。鉴于此,平台供应商需要说服许多不同的人,让他们相信这种努力是值得的——对于持怀疑态度的网络安全专业人士来说,这是一个艰巨的任务。
今天,威胁态势和相关安全需求的快速变化往往会超出平台功能范围。企业将如何弥合这些差距?当然是通过为特定用例设计额外的点工具,这最终将导致企业坠入复杂性的深渊。
依靠API整合安全是一个错误
现实中,拥有复杂IT基础设施和应用环境的大型企业可能不想用“样样通,样样粗”的安全技术平台来满足安全需求,那该怎么办呢?
毫无悬念,企业安全主管们会掏出网络安全工具箱中的大杀器——API,期待不同的技术通过API实现互操作。
但是,依靠API整合安全是一个错误。理论上,API连接听起来不错,但在实践中的成效却极其有限。要让API正常工作,安全厂商必须向其他厂商开放其API。有时他们会这样做,但更多时候,他们拒绝这样做。即使厂商开放了API,仍然存在问题。
假设客户计划将漏洞管理产品与EDR(端点检测和响应)工具集成,漏洞管理厂商将需要与多个供应商合作,并与不同安全产品的API进行集成,这意味着大量的工作。
这个时候选择一个合适的产品集成再一起进行安全防护是非常重要的,例如德迅云安全的SCDN,能有效的保护好网站解决网络安全困扰
安全加速(Secure Content Delivery Network,SCDN)是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT、API行为分析为一体的安全加速解决方案。已使用内容分发网络(CDN)或全站加速网络(ECDN)的用户,购买服务后可为加速域名一键开启安全防护相关配置,全方位保障业务内容分发。
功能特性
Web攻击防护
- OWASP TOP 10威胁防护:有效防御 SQL注入、XSS攻击、API攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队724小时跟进0day漏洞,分析漏洞原理,并制定安全防护策略,及时进行防护。
- AI检测和行为分析:通过对德迅云积累海量日志进行学习和训练输出多种Web安全防护模型,对用户多请求的多元因子进行智能分析,有效提高检出率,降低误报率;通过信息孤岛、行为检测分析,识别恶意攻击源,保护网站安全。
- 智能语义解析引擎:提供智能语义解析功能,在漏洞防御的基础上,增强SQL注入和XXS攻击检测能力。
应用层DDoS防护
- 威胁情报库:通过大数据分析平台,实时汇总分析攻击日志,提取攻击特征并进行威胁等级评估,形成威胁情报库。
- 个性化策略配置:如请求没有命中威胁情报库中的高风险特征,则通过IP黑白名单、访问频率控制等防御攻击。
- 日志自学习:实时动态学习网站访问特征,建立网站的正常访问基线。
- 人机校验:当请求与网站正常访问基线不一致时,启动人机校验(如JS验证、META验证等)方式进行验证,拦截攻击。
- 慢连接攻击防御:对Slow Headers攻击,通过检测请求头超时时间、最大包数量阈值进行防护。及对Slow Post攻击,通过检测请求小包数量阈值进行防护。
合规性保障
- 自定义防护规则:用户可以对HTTP协议字段进行组合,制定访问控制规则,支持地域、请求头、请求内容设置过滤条件,支持正则语法。
- 网页防篡改:采用强制静态缓存锁定和更新机制,对网站特定页面进行保护,即使源站相关网页被篡改,依然能够返回给用户缓存页面。
- 访问日志审计:记录所有用户访问日志,对访问源进行TOP N,提供趋势分析,可以根据需要提供日志下载功能。
- 数据防泄漏:对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。
HTTP流量管理
- 支持HTTP流量管理:可以设置源IP或者特点接口访问速率,对超过速率的访问进行排队处理,减缓服务器压力。
- 请求头管理:可以根据业务需要对请求头和响应头进行处理,可进行请求头替换或者敏感信息隐藏设置。
安全可视化 - 四大安全分析报表:默认提供Web安全攻击报表、CC攻击防护报表、用户访问统计报表和自定义规则命中报表,满足业务汇报和趋势分析需求。
- 实时数据统计:提供基于均值和峰值带宽统计信息,提供攻击带宽和正常占比,随时关注业务状况。提供多种组件,了解业务监控和核心指标变化情况。
- 全量日志处理:提供全量日志查询和下载功能,可以通过OpenAPI接口获取实时日志或离线日志信息。
网络安全企业“互相卡脖子”
主流网络安全技术/产品存在严重的互联互通问题,这本质上是利他主义和资本主义之间的冲突。不幸的是,对安全行业的所有人来说,资本以很大的优势赢得了这场战斗,这表现为安全厂商为了保住竞争优势而“互相卡脖子”。
个别安全厂商可能赢得了“互操作”局部战斗,但整个行业输掉了战役。举一个简单的例子,没有一个主流漏洞扫描器会直接从竞争扫描器中摄取数据。因此,如果你的环境中有各种扫描器,你必须自己将数据作为你的风险缓解任务的一部分进行整合,尽管每个扫描器执行几乎相同的基本功能。
如何修复网络安全行业的脱节
网络安全行业需要采取开放架构方法,例如安全运营和分析平台架构(或网络安全网状架构(ECDN),这些架构依赖于一些开放标准的创建和协议:
数据格式标准。开放网络安全框架(ECDN)看上去令人鼓舞,但它来得太迟了,太多的供应商没有加入。期待ECDN取得更多进展。
标准API。没有理由需要用多种语言与同一技术类别的不同工具进行连接。每个领域的供应商,或者某个中央治理/工程机构,应该帮助创建和管理这些项目。
补救措施的标准。如果我们想阻止一个入侵指标或生成一个虚拟补丁作为补偿控制,我们需要能够与所有类型的端点安全软件、防火墙和IDS/IPS系统进行通信。应该有一种方法告诉每个安全控制统一采取行动。几年前,我们对名为Open C2的标准充满希望,履行这一角色。希望这正在发生,但如果是的话,很少有人知道。
有人认为网络安全的标准化进程可能会变得混乱,最终变成一个烂尾的工程科学项目。但我们无需悲观,一些安全标准已经取得了显著的成效。例如STIX/TAXII标准提供了一种一致的方式来描述和传达威胁情报细节。通过这种方式,STIX/TAXII提高了威胁情报分析及其随后的风险缓解行动的效率和效果。
谁能推动网络安全标准的努力?一个政府机构或者可能是MITRE、ENISA,或者某种协作项目。金融服务行业的大型组织可以让他们的安全工程师聚在一起,制定一些标准,然后向行业发号施令。
其实早在二十多年前,曾经有个名为Jericho Forum的致力于定义和推广去边界化的网络安全行业组
