王海生:場景復現與網絡安全評估
責編:gltian |2018-06-20 16:10:30摘要:評估網絡安全策略效果,需要對現網風險及未來可能情況進行評估,然后通過場景復現的方式來評估策略的有效性并作必要的補充和修正,提高安全系數。思博倫可訂制、伸縮性強的現網場景再現方法可以快速驗證策略,圖形化展示結果驗證安全策略執行情況。思博倫發起的NetSecOPEN安全評估標準也著重通過現網的場景再現來評估各種安全設備,比較傳統標準,更有現網借鑒意義。
王海生????思博倫業務拓展經理
這是我們在前一段時間一個測試的結果,廠家的名字去掉了。我們測試的一個IPS的設備,是在中國四大銀行之一,他做IPS的選型。他做了一個非常好的方案,這個方案后來做了一些改動,剛開始讓我們去仿真各種攻擊,它的識別率和檢出率來去評判各個廠家的區別。后來我們對客戶說可能IPS在不同場景里面,性能是完全不一樣的。對銀行來說,可能很多業務是和外部溝通的,如果你的測試只是為了測一個覆蓋率、檢出率,可能不是很合適。我們需要什么呢?現網里你怎么用的,我們把這個加進去,我們加模型A、模型B,我們看到加了一些模型之后,你看它的IPS的識別能力會下降非常大。在模型A里面下面25%的識別率,在模型B下面更復雜一點,只有4%的識別率。有些廠家已經達到0了,基本全部是通過的。在銀行這種場景可能有自己的特點,對用戶來說你不要讓用戶感覺加了安全測試以后,用戶的體驗很差。這個例子說明了我們在評估一個網絡安全設備的時候,這個場景是非常重要的,必須要基于場景,你的項目怎么用的,評估的時候要盡量仿真這個場景,可能更有現實意義,而不是只是測一些數據就可以了。
如何讓網絡安全設備評估更有現實意義?這些設備在不同的位置,他們可能面臨的流量,用戶的行為可能是不一樣的。這時候可能就需要更多的輸入,我們要把真實的場景復現出來,第一個是內容復現,現網應用細粒度重現,現網最新攻擊跟蹤,昨天一個最新的攻擊出來,能不能在我們方案里面放進去去評估,另外盡快更新惡意軟件,勒索病毒特別多,引起很大的轟動,造成很大的損失,這些東西能不能盡快仿真出來,然后去評估,評估的時候把它放進去。另外過程復現,沃勒過程是不是可視的,是不是微信聊天,有沒有第三方的東西,有沒有大家可以看到的東西展示給大家看,評估的時候是不是這個微信。另外多個節點多應用多場景仿真,我仿真這個過程,多個節點之間它的交互過程,被控制的主機以及感染的主機之間的行為怎么仿真出來。另外結果的復現,作為一個評估方案來說,我這個結果給你了,結果給你是不是合理呢?我可能只是測的結果,我發了一萬個惡意軟件,可能是阻斷了一千個或者九千個,哪個好哪個壞,九千個未必一定比一千個好,要看每個結果它的細節。這個測試結果盡量是可回溯的,可以看到下次測的結果是一樣的。
思博倫我們在現網的場景復現里面,我們提供了兩種方法,叫做Testcloud,測試云,來源于現網,按日定期更新。比如我們目前有上萬種APP,包括安卓有三千多種,蘋果有2500種的量,包括有PC的,即使同一個安卓版本的微信,比如有六點幾版本,五點幾版本,我們可以提供它的場景,每個應用有若干種場景來提供。數千種Attack,我們在公開漏洞方面加快了速度,盡快為客戶提供有用的新鮮的一些內容。惡意軟件這個力度就更大,專門成立一個團隊和一些第三方的機構一起來合作,每個月更新一千種以上的惡意軟件。我們很多監測機構沒有去把這個特征放進去的,已經在我們庫里面加進去了。另外用戶自定義接口,用戶也可以創建你自己的內容。
過程復現,任何一個攻擊,一個應用,你自己產生的一些惡意場景,都可以生成Call Flow,知道每個主機之間怎么交互的,整個過程是怎么樣的。過程復現,我們會基于我們的硬件平臺,硬件平臺叫CyberFlood平臺注入測試云內容進行可控現網仿真,來去評估各種設備。比如我們在這里面仿真各種攻擊,不像以前單向的。我們專門內置了NetSecOPEN測試方法學,集成到我們設備里面來,這樣的話,可以更快的把現有的流量、場景,各個應用之間的比例關系,來更快的實現出來,我們這個是定期更新的,它的應用分布也是不一樣的,更快的來去仿真我們現有互聯網的場景。
結果的復現,我們說場景復現,除了內容復現、過程復現,還有一個結果復現。在我們測出來的結果怎么去呈現給客戶,任何一個攻擊放在里面或者一個APP放在里面,我們都會提供一個結果給你,這個結果包括兩部分,第一個就是Call Flow,九千個未必比一千個好,我告訴你哪個地方阻斷了。很多時候把大門一關全部阻斷了,肯定是不合理的,任何一個攻擊經過我們評估以后,會提供一個Call Flow給你,告訴你哪個地方被阻斷了。不同的廠家可能對同一個攻擊一個惡意過程它的處理方式不一樣,哪個更合適,Call Flow就比較清楚。另外就是一個可回溯,我們的測試方案評估過程可能提供給你了,測試過程可能會有爭論,你認為是A,我認為是B,沒關系,我們會提供一個文件給你,這個過程是什么樣的,特征在哪里,報文怎么發的,回溯一下我們是怎么做的,我們可以進行一些比較。
另外我們是開放性的一個場景復現,我提供了很多場景,幾萬個給你,但是很多時候還是不能滿足你的要求,客戶的需求是不斷要求越來越高的。提供一個叫開放性的場景復現,任何一個場景我們進去以后,你可以修改,提供一個語言叫MSL,是基于文本的一個描述性語言。通過這個描述性語言,你可以對任何一個場景進行進一步的開發,進行一些培訓,每個攻擊的原理,通過MSL腳本就可以知道整個過程是怎么構建的。
我們思博倫的測試云,以及場景復現的平臺,它提供了一個非常好的現網復現方案,是可控持續更新的仿真環境,可擴展的應用和攻擊庫,你可以不用我們的庫,可以開發自己的庫。另外防護的有效性評估判斷,我們告訴你有效性怎么樣。另外我們會提供比較廣泛的評估方言,另外開放性的接口,你不需要一定要依附于我們,你自己可以做更多事情。這就是我們在現網場景復現以及安全評估方面的一小點,我們的產品比較多,我們就找了一個點,希望和這個會議有一些匹配點。