纵深防御与网络阻断
背景
假如单点被突破,如何在网络内进行阻断?如何组织2线、3线防御? 黑客进来后,网络环境其实非常复杂,他在其中也是一个寻找、摸索的过程。例如,IDC/OA 外部攻击进来后,可能通过web 近来,也可能过钓鱼进OA,再进去IDC。 如何从攻击链的角度来卡位:入口、出口、系统组件间联系、边界的关联点,尽可能从黑客视角,找到出入口。目前人工鉴别服务及网络上的关键点。 对外服务,要绑定本地端口,所以端口关键,所以从端口入手,还没有到达智能去感知 蜜罐议案如何部署?理想条件下,IDC主机同时也是蜜罐,危害可控的情况下,尽可能多的搜集信息,判断意图
问题
* 如何权衡控制手段的风险、效果、成本
* 如何结合攻击链条,选取关键点,建立纵深防御?
* 如何找出接入通道上的关键点?比如,能否找出需要重点防御的点?
构想的问题 * 恶意软件的扩散阻断 * 动态隔离策略 * 意图的诱导
可能的场景: * 漏洞的修复,但可能不需要那么复杂的模型,如考虑漏洞修复的时效性选择,成本高、低,有些立刻停止服务; * 内网中有中心机,有些通过授信,有些通过破解密码,不同过程有不同的成本,服务器之间穿梭的路径,成本不同。
解决思路
如果形成了对风险的评估,如果有人想利用,则可以基于其渗透的链条,及其在拓扑中体现出来的特征,在各点上进行卡位,插入探头、进行阻断等。
难点 防控成本:自身(防控)系统可用性、给原来系统增加的延时、策略的准确性;服务质量、准确度 轻量可控:针对某个进程的 决策算法是否在线?开销? 网络规模对算法速度的影响? 传播模型,如何定权值?攻击、时间? 拓扑、漏洞、知识库全部建立以后,才会到达这个阶段,需要建立在知识图谱基础上,对动作的效果有先验知识。资产识别、知识图谱,然后才能是决策 成本难以量化 现在的决策比较宏观,通过业务、系统两层去看,控制目前考虑主机的进程、调用的控制,网络对数据的删除