Helpex - Trao đổi & giúp đỡ Đăng nhập

Kiến trúc an ninh mạng: Tất cả về cảm biến

Chào mừng trở lại cuộc phiêu lưu viết blog của tôi. Trong loạt bài Kiến trúc an ninh mạng của tôi, chúng ta đã dành thời gian thảo luận về giá trị của cách tiếp cận phân tích đối với quy trình ứng phó sự cố. Trong bài viết trước, Kiến trúc an ninh mạng khái niệm cho phản ứng phân tích, chúng tôi đã bắt đầu đi sâu vào không gian giải pháp bằng cách đưa ra một kiến ​​trúc cấp cao để thúc đẩy cuộc thảo luận của chúng tôi. Hãy dành một chút thời gian để xem lại sơ đồ đó để chúng ta hiểu bối cảnh đằng sau cuộc thảo luận ngày hôm nay - mạng cảm biến.

Kiến trúc an ninh mạng khái niệm

Trông đơn giản, phải không? Một cảm biến an ninh mạng thu thập dữ liệu và gửi dữ liệu đó đến lưới phân tích để xử lý. Có, nhưng các chi tiết quan trọng, vì vậy hãy bắt đầu từ những điều cơ bản và tiến lên phía trước.

Trước khi chúng ta bắt đầu, tôi cảm thấy bối rối khi nói chuyện với những người liên quan đến khái niệm kiến ​​trúc an ninh mạng. Kiến trúc khái niệm là cách để hình dung vai trò và trách nhiệm của mỗi thành phần trong tổng thể tổng thể. Việc triển khai kỹ thuật điển hình hợp nhất nhiều thành phần thành một triển khai phần mềm duy nhất.

Vậy tại sao lại tạo ra một kiến ​​trúc an ninh mạng theo khái niệm?

  • Chúng tôi phân chia các vấn đề phức tạp thành các phần đơn giản.
  • Chúng tôi xác định những gì cần thiết của mỗi phần để thành công.
  • Sau đó, chúng tôi áp dụng các nguyên tắc kiến ​​trúc như "khớp nối lỏng" và "phân khúc mối quan tâm" vào thiết kế kỹ thuật.

Cảm biến là gì?

Vai trò của cảm biến trong mô hình khái niệm của chúng ta là phát hiện mọi thứ. Để đến bước tiếp theo, các yêu cầu, chúng ta cần xác định:

  • Nơi phát hiện
  • Những gì để phát hiện
  • Làm thế nào để phát hiện
  • Làm thế nào để chuyển tiếp

Nơi phát hiện: Nơi dữ liệu tồn tại

Hãy đối mặt với thực tế, một cách tiếp cận dựa trên chu vi đối với an ninh mạng mà chúng ta thực sự tin rằng chúng ta có một chu vi kỹ thuật số là không hợp lệ. Thực tế là một chu vi kỹ thuật số đã từng tồn tại, tốt nhất, chỉ là một ảo ảnh sau khi mạng của chúng ta lần đầu tiên kết nối với Internet. Mọi máy chủ kết nối Internet, bất kể nơi cư trú trên thực tế là một cổng Internet vào mạng của bạn.

Vì vậy, nếu chúng ta không thể tập trung vào việc xem chu vi kỹ thuật số, chúng ta nên theo dõi ở đâu? Chúng tôi cần theo dõi bất cứ nơi nào dữ liệu của chúng tôi cư trú hoặc nơi chúng tôi đã tự động hóa các quy trình kinh doanh của mình - những nơi chúng tôi có thể bị tổn thất nghiêm trọng. Điều này có nghĩa là các xu hướng meta tác động đến CNTT cũng ảnh hưởng đến cách chúng tôi triển khai các cảm biến bảo mật của mình. Hãy dành thời gian xem xét các xu hướng và cách chúng ảnh hưởng đến các yêu cầu thiết kế của chúng ta.

  • Zero Trust / Software Defined Networks: Bây giờ chúng tôi đã học được bài học của mình rằng liên kết yếu nhất trong bảo mật của chúng tôi sẽ được nhắm mục tiêu để khai thác và có một mạng phẳng lớn có nghĩa là trang web tiếp thị skunkwork không có bảo mật sẽ được sử dụng để xâm phạm ứng dụng tài chính ngồi bên cạnh nó. Chúng tôi có quyền lựa chọn giữ mọi ứng dụng ở mức độ nghiêm ngặt cao nhất hoặc cách ly các ứng dụng với nhau. Công nghệ này cho phép mọi ứng dụng chạy trong mạng cô lập của riêng nó. Điều này thúc đẩy các yêu cầu thiết kế từ thiết kế giám sát tập trung vào mạng sang thiết kế giám sát dựa trên điểm cuối để đảm bảo việc giám sát của chúng tôi không đánh bại sự cô lập mà chúng tôi đã cố gắng đạt được.
  • Virtualization / Containerization : Sự hội tụ của vật lý với ảo đã tạo ra lỗ hổng trong việc giám sát của chúng tôi vì một máy chủ ảo có thể nói chuyện với một máy chủ ảo khác mà không cần truy cập vào mạng vật lý. Việc giam giữ chỉ là thêm các lớp mù bổ sung cho vấn đề. Điều này một lần nữa thúc đẩy yêu cầu thiết kế đến phương pháp tiếp cận dựa trên điểm cuối có thể nằm trong mỗi máy chủ hoặc bộ chứa VM và cũng thúc đẩy phần mềm cảm biến của chúng tôi không yêu cầu quyền truy cập nâng cao / đặc quyền.
  • Service Orchestration / DevOps / Elastic Compute: Không chỉ các ứng dụng của chúng tôi trở nên ảo; chúng bây giờ là phù du và di động. Thay vì các ứng dụng chạy dài được vá và bảo trì trong nhiều tháng, chúng tôi đang chuyển sang xây dựng từ đầu khi bắt đầu ứng dụng với thời gian tồn tại trung bình được tính bằng giờ. Điều này thúc đẩy một thiết kế trong đó cảm biến của chúng tôi cần theo dõi ứng dụng ở bất cứ đâu và bất cứ khi nào nó cư trú và có thể tự động cấu hình lại theo yêu cầu.
  • Những gì cần phát hiện: Hoạt động

    Cốt lõi của Security Analytics là quá trình phát hiện điều chưa biết và làm cho nó trở thành đã biết. Điều này làm mất hiệu lực toàn bộ khái niệm dựa trên sự kiện / chữ ký mà mô hình dựa trên nhật ký của chúng tôi đã được xây dựng. Chúng ta cần có khả năng hiển thị thô chưa được lọc về những gì đang thực sự xảy ra. Điều tốt là điều này không đòi hỏi trí tuệ đắt tiền để thực hiện; các cảm biến thụ động đơn giản chỉ thu thập dữ liệu và chuyển tiếp dữ liệu đó đến một lưới phân tích sẽ đưa chúng ta từ nhiều tác nhân đến một cảm biến đơn giản duy nhất có thể được tận dụng cho mọi nhu cầu của chúng ta.

  • Hoạt động thô không dựa trên sự kiện:  Chúng tôi cần nguồn cấp dữ liệu thụ động của hoạt động khi nó diễn ra; mạng, quy trình hệ thống & lưu trữ, trạng thái ứng dụng và hoạt động của người dùng.
  • Bây giờ, điều này có nghĩa là chúng tôi không muốn thu thập tất cả các nguồn cấp dữ liệu dựa trên sự kiện hiện có từ chuỗi công cụ hiện có của chúng tôi? Dĩ nhiên là không; tuy nhiên, chúng tôi muốn làm phong phú thêm dữ liệu hoạt động thô với nguồn cấp dữ liệu sự kiện thay vì tin rằng nguồn cấp dữ liệu sự kiện cung cấp khả năng hiển thị đầy đủ.

    Cách phát hiện: Thu thập bằng chứng

    Nhắc lại sau khi tôi, chúng tôi không giám sát; chúng tôi đang thu thập bằng chứng. Mỗi bit dữ liệu có thể được xem xét bởi một ban giám khảo gồm các đồng nghiệp của chúng tôi. Một vài giây đầu tiên của một thỏa hiệp có thể làm cho hoặc phá vỡ khả năng thu hồi tổn thất của chúng tôi thông qua các tòa án. Chúng tôi cần thu thập dữ liệu - với đầy đủ chuỗi hành động lưu ký - trước khi các hành động có ý nghĩa tốt của chúng tôi, những người làm CNTT cố gắng khôi phục dịch vụ hoặc khắc phục sự cố sẽ hủy bằng chứng.

  • Chuỗi hành trình:  Vì bất kỳ dữ liệu nào có thể cần được sử dụng trước tòa án pháp luật, nên việc thu thập dữ liệu theo cách đáp ứng các yêu cầu của bảo vệ bằng chứng là chìa khóa.
  • Làm thế nào để tiến về phía trước

    Vì chúng ta cần các cảm biến của mình ở bất cứ đâu hoặc dữ liệu và quy trình kinh doanh ở đâu, chúng ta cần có khả năng lấy dữ liệu đó thông qua các mạng không đáng tin cậy về tiềm năng, chúng ta cần một bus dữ liệu mạnh mẽ và an toàn để di chuyển dữ liệu đó.

    • Micro-batch: Các  kết nối mạng luôn không đáng tin cậy và khả năng lưu trữ so với dữ liệu bị rơi là yêu cầu cốt lõi.
    • Chuyển tiếp dựa trên mức độ ưu tiên:  Không phải tất cả các hoạt động đều bình đẳng; gửi thông tin rằng báo động cháy vừa kêu quan trọng hơn là cập nhật dữ liệu nhiệt độ trong ba giờ qua.
    • Truyền an toàn:  Vì ứng dụng có thể chạy ở bất kỳ đâu chẳng hạn như nền tảng đám mây, nên việc di chuyển dữ liệu qua các mạng không đáng tin cậy là rất quan trọng để duy trì tính bảo mật và tính toàn vẹn của dữ liệu.

    TLDR (Quá Lâu, Chưa Đọc)

    Được rồi, đó là rất nhiều văn bản, chúng ta hãy tóm tắt. Một cảm biến cảm nhận, thực sự đơn giản. Không có quy tắc, không có chữ ký, chỉ là thu thập thụ động hoạt động thô theo cách thức hợp lý. Dữ liệu này được bảo vệ theo cách lưu trữ và chuyển tiếp vì mạng có thể không ổn định và không đáng tin cậy. Chúng tôi cần nhận ra rằng việc cài đặt một thiết bị lớn trong ngoại vi mạng của chúng tôi để theo dõi lưu lượng truy cập không còn hoạt động vì các ứng dụng của chúng tôi được kích hoạt trên đám mây và dành cho thiết bị di động. Các điều khiển của chúng tôi phải tuân theo dữ liệu dưới dạng một lưới phân tán của các cảm biến giao tiếp qua một bus dữ liệu an toàn.

    May mắn thay, Apache Nifi tồn tại để giúp chúng tôi tạo ra bus dữ liệu này - một chủ đề của bài viết tiếp theo của tôi. Tuy nhiên, khi minifi của Apache Nifi được phát triển hơn nữa, chúng tôi sẽ có thể nhúng bộ thu thập dữ liệu bảo vệ cốt lõi này ngay trong các cảm biến và ứng dụng của mình. Hãy tham gia với tôi lần sau khi chúng ta đi sâu vào thiết kế khái niệm của bus dữ liệu bảo mật của chúng tôi.

    7 hữu ích 0 bình luận 5.5k xem chia sẻ

    Có thể bạn quan tâm

    loading