自動化的下一代網路安全將基於“意圖”

實現基於意圖的網路安全(IBNS)需要計劃、考慮和增量實現

影響網路安全的技術在理想世界中如何互動，怎樣與我們網路中的裝置共享資訊，如何按需求採取緩解動作？這些理論上的東西，面對快速發展的聯網系統，又將如何改善我們的整體資訊保安？

最終，這一切都將落腳到資訊上——無論存在分佈網路中的哪個角落，新的、重要的、異常的東西都能被自動有效地識別出來，這種能力可以用“IBNS”,即“基於意圖的網路安全”這個詞來概括。

IBNS的具體含義是什麼呢？簡言之，IBNS就是對網路中部署的各種安全裝置上搜集來的資訊進行分析的過程。單個安全解決方案已經可以產出大量互不關聯的孤立資料，更不用說大規模的複雜的安全系統了。

但是，隨著我們同質互聯安全網路的建成，我們便可以開始將這些收集來的海量資訊關聯起來。這種整合就是IBNS的精髓，因為它可使我們把資訊大山削減成小土包，然後就可隨著網路和威脅態勢的變化實時自動精煉安全了。

該整合方法的另一個好處，是可以提供一致的方法，通過通用命名、可靠資料、有效威脅排序等等，關聯和組織此類資訊。這還只是第一步。在著手實現IBNS之前，我們真心需要理解和定義資料重要性的途徑，並有一套一致的通用的方法來描述之。

關於IBNS，有兩種完全迥異的看待方式：

第一種是從公司擁有者和安全策略負責人的角度出發。這位要能夠方便地定義或更新公司意圖，而安全策略和相關基礎設施要能翻譯該資訊，並自動實現合理又充分的響應。比如說，安全策略應能夠自動限制系統只能訪問被授權的資訊和服務。當然，這要求我們在網路設計上更為準確。如果我們繼續採用拓荒時期那種“您隨意”的態度對待我們的網路，實現起來的困難無疑會大上許多。

第二種，也是較新的一種看待方式，涉及重新思考我們解決安全問題的方式。打造整合響應安全網路的關鍵元件，是實現能自動評估和確定系統活動是否正常或符合意圖的安全工具——也正因此，一組被稱為基於意圖的安全實踐才冒了頭。再次強調，對此類方法的簡化版描述就是，這是能夠解決並自動響應下列問題的方法：系統正在做的事務是否是該使用者希望該系統所做的？

建立能真正提供IBNS的系統，有很多事要做：

從物理角度(平臺/OS)知道該系統是什麼；知道該系統通常被用來幹什麼；知道該系統以前幹了什麼；知道該系統現在正在做什麼；知道誰正在使用該系統；知道系統什麼時候發生了改變。
隨著我們的安全部署更加全面，我們實時理解和觀察系統活動的能力也得到了大幅提高，不再侷限於以前孤立的，只有邊界防護的安全部署。

尤其是，向虛擬系統和容器的遷移，也使得實現IBNS更加簡單直接了，因為給定系統的意圖動作數量被減少了，而且它們變得更簡單且更細粒度了。

類似的概念可應用到物聯網上，因為IoT裝置通常只有非常有限的行為集和/或意圖通訊。理解這些應該能使我們觀察到偏離了這些行為的異常動作。比如，銷售終端系統(PoS)通常只與公司內部環境或給定區域裡的少量系統通訊。如果突然間這些終端系統開始與其他地方的系統通訊了，那這行為就需要加以阻止並展開後續調查了。

想象一下典型的零售銀行分支機構——通常會有很多基於意圖的安全方法應用到該物理層級；櫃檯櫃員、ATM機和辦公室一般都是隔離良好的。如果你等著跟辦公室裡的人談貸款之類業務，等待區通常都遠離櫃員(你的意圖很明確，就是在等辦公室裡的高階人員)。櫃員和ATM機周圍的公共區也常被明顯的安全攝像頭無死角覆蓋。櫃員抽屜裡滿是現金的日子早已遠去，因為現金如今都被鎖在安全的地方，有需要的時候才供應。這些都可以被看作是基於意圖的安全，儘管是物理世界中的。

想將這種有效策略應用到我們的網路世界，就要重思考我們計劃、設計、組織和部署我們網路架構的方式。確定自家公司基礎設施是否準備好轉向IBNS策略，可以考慮以下事項：

瞭解自家網路中含有關鍵資料的裝置：在哪兒？做什麼？為什麼在那兒？上面授權執行了什麼應用？可以和其他什麼裝置通訊？瞭解或嘗試瞭解終端使用者在用的裝置型別，以及這些裝置的正常行為；實現在建立安全執行策略時能利用動態資料的系統(靜態五元組規則就讓它快速逝去吧)。
實現IBNS這種事，花個週末部署幾臺裝置或平臺是辦不到的。這需要計劃、考慮和增量實現。但是，最終結果必將值回票價，不為別的，就為了把我們老舊的、靜態配置的、從來跟不上時代的、高維護的防火牆部署方法給淘汰掉也好啊。

至此，還有個小尾巴尚未解決，就是IDS風格的資訊分析方法——大多數基於SIEM解決方案的一部分。為處理IBNS所需大量資料，我們得實現下一代SIEM技術和實時威脅饋送，比如網路威脅聯盟(CTA)提供的服務。整合安全系統將能看到並關聯取自網路中各個角落的資訊，確定意圖，在出現異常的時候自動識別並響應。

本文轉自d1net（轉載）