天下大势,分久必合,合久必分。互联网的计算模型也正在经历从中心化回归去中心化的一次重大结构性变革。
1969年10月,第一条互联网信息从加州大学洛杉矶分校(UCLA)的一台计算机成功发送到斯坦福大学的另一台计算机,预示着ARPANET的诞生。ARPANET设计的初衷是建立一个去中心化的、冗余的通信网络,即使局部被破坏也能保持运行。
在接下来的五年中,互联网不断发展,我们见证了网络和计算模型交付方式的全面转变——从集中式大型机到分布式桌面革命,然后又回到集中式数据中心,在那里集中实施强化的安全控制和数据治理。
如今,我们再次见证了这种钟摆运动,随着物联网、边缘计算和去中心化组织的崛起,互联网再次回归去中心化——但这一次,我们面对的去中心化计算模型是完全不同的“怪兽”。如今,应用程序和数据都分散在多个公共云环境中并自动复制,它们可以运行在本地数据中心或专用私有云中的任意位置。在全球新冠疫情持续两年多后的今天,网络边界的概念早已被远程办公和去中心化团队拆毁。
去中心化互联网时代已经到来,有人称之为“原子化网络”,也有人称之为web3.0,这并不重要,真正的变革在于,今天我们面对的是一个流动的计算环境,应用程序、数据甚至系统资源都处于永久的运动状态。对于黑帽黑客来说,这也许是最好的时代,他们现在拥有可以随时发动攻击的广阔而分散的攻击面。
去中心化网络的安全挑战
网络安全一直是极具挑战性的工作,保护去中心化网络的安全更是大大提高了难度和赌注。根据Statista的调查,2021年全球平均每个组织使用110个云应用程序,同时还支持数百个在云中运行的自定义应用程序。
云计算的快速发展使得今天的IT领导者能够混合和匹配不同云服务和功能,打造更快速响应业务需求和更灵活的基础架构。但是,硬币的另一面,网络或应用程序“上云”的同时,也增加了复杂性。当然,随着网络变得更加去中心化,查看所有内容资产以及与之关联的资产变得愈加困难。
当然还有最重要的资产——你的数据。在去中心化网络中,数据现在可以通过云在分布式环境中无缝移动,往返于不断变化的远程工作地点。这些独特的环境需要不同的安全控制。但是,这些安全工具从未设计为协同工作,它们也没有通用界面来帮助安全领导者真正了解其网络中发生的事情。
去中心化网络产生的复杂性,导致公司可能需要数月甚至数年才能意识到他们的网络遭到入侵。根据IBM的调研,企业平均需要280天来识别和控制违规行为。这意味着攻击者有大量的时间来观察、学习和隔离受害者基础设施中的弱点——发动更大规模的攻击。
保卫去中心化网络的三大数据安全策略
虽然没有人知道未来的网络会是什么样子,但随着企业将更多的应用程序和工作负载迁移到云端,去中心化的趋势已经不可逆转。无论当下流行的零信任安全模型还是网络加密,都需要重新思考如何在当今的去中心化网络中提供有效的网络安全功能。
专有安全硬件设备和深度数据包检测的有效性正在不断降低。鉴于这些挑战,安全团队应该采取哪些措施来保护去中心化网络?以下三点值得考虑:
1.利用网络元数据作为威胁情报的主要来源
传统的网络威胁检测和响应需要在整个网络环境中部署深度数据包检测设备。由于网络流量的加密以及零信任方案的快速普及,深度数据包检测的实用性和有效性将大幅下降。毕竟,你无法检查加密的流量,也没有合适的位置来放置这些“中间盒子”设备——在去中心化网络中,不再有中间件。
但是,这并不意味着企业无法分析网络上的加密流量。正如NIST指出的那样:“企业可以收集有关加密流量的元数据,并使用它来检测网络上可能的恶意软件通信或活跃的攻击者。机器学习技术……可用于分析无法解密和检查的流量。”
应该注意的是,任何成功渗透到网络内部的攻击者也必须在同一网络内来提升权限,并且会反复尝试,总是会以网络元数据的形式留下痕迹。因此,实时收集和分析网络元数据的能力将成为现代安全团队的一项关键能力。
2.跳出二元安全控制模型
在过去的二十年里,区分应用程序和实体的白名单和黑名单一直是网络安全控制的第一道防线。但是,维护这些列表的过程可能很麻烦,而且难以解决攻击者的策略演变的问题。正如老练的黑客能很快适应并逃避基于签名的检测工具一样,他们同样找到了绕过这些二元安全控制的新方法。
如今这个问题在攻击面更大的去中心化网络中变得尤为明显。虽然基于二元安全控制模型的方法和安全工具可能会继续在安全团队的工具箱中发挥作用,但保护去中心化网络需要安全团队能够解释并果断地处理更广泛的数据。
3.丰富数据源以提供行为上下文信息
数据丰富策略应被视为有效的威胁检测、威胁取证和缓解的关键因素。使用富化数据可将事件和非事件上下文信息都添加到安全事件数据中,将原始数据转化为有意义的见解。能够实时丰富数据并补充业务和威胁情报详细信息的能力也很重要。
许多安全领导者正试图全面了解他们的去中心化网络,从这些网络上的所有不同系统收集重要的元数据,提高资产可见性和攻击检测能力、消除盲点、阻止威胁、警告恶意流量等,这才是保护去中心化网络的最佳方式。