未来,可观测性在网络空间安全领域具有重要意义。它通过绘制安全架构图、流程图和数据流图等方式,将网络安全方案、安全控制点和安全流程可视化,从而帮助安全团队和业务团队更好地理解并协同实施网络安全策略。同时,它还有助于安全运营团队识别和分析安全资产及其关联关系。庞大的系统中成百上千个节点互相影响,这本身就很复杂。而随着EIP、CDN、SLB、高防以及WAF等云产品的不断丰富,云主机的网络拓扑变得更加复杂,并且资产无法完全掌握,因此很难准确查找存在的安全隐患。
为了解决性能问题,传统的应用性能监测(Application Performance Monitoring,APM)技术采用的是为每个请求过程分配一个唯一的TraceID的方法。该TraceID不仅包含性能方面的信息,还是用户实体行为分析的重要方式。然而,在海量请求情况下,如何保证TraceID唯一并包含请求信息?图1-13展示了TraceID的组成。
图1-13 TraceID的组成
通过这个TraceID,我们可以结合日志掌握这个请求在2022-10-18 10:10:40发出,并且被位于11.15.148.83主机、进程号为14031的Nginx(对应标识位“e”)接收。其中的四位原子递增数的取值范围为0~9999,旨在防止单机并发导致TraceID冲突。
与之类似,网络性能监测(Network Performance Monitoring,NPM)是一种监测网络性能的技术。它可以实时监测网络中的数据包传输速度、响应时间和丢包率等指标,帮助政企识别网络性能瓶颈和异常情况,并提供相应的优化建议。
在可视化方面,APM和NPM都有助于补全资产的关系信息。此外,传统的访问控制集中在南北向流量限制,而对东西向流量进行限制和隔离一直是难点。虽然微隔离技术可以解决这个问题,但缺乏可视化辅助会使交付过程变得混乱无序。
在渗透测试中,安全人员通常会从网络拓扑图入手了解政企的网络情况。访问链(Access Path)可视化是一种利用数字孪生技术展示真实网络环境的方法。这种可视化方法能够将内部状态转换成外部输出,帮助安全运营团队快速识别和分析安全资产及其关联关系,提升安全事件处理效率。
应用架构有很多类型,IBM的克里斯·多特森(Chris Dotson)提出了一种方法来统一展示。这一方法包括构想所有用户可能的数据访问场景,并为某个用户使用何种数据的访问链设定一个具体的场景名字,以卡片的形式呈现出来。这样在设计防御系统时,这些卡片组合能够被清晰地参考和使用。
下面以一个简单的三层设计(Three-tier Design)为例。首先画出一个用户,再加入一个管理员,以此作为起点。然后,画出用户访问的第一个组件(例如Web服务器),再将该组件与用户连起来,并在连线上注明用户的访问方式。继续画第一个组件需要访问的其他组件,再画出它们之间的连线。接着,画出管理员如何访问应用。注意,管理员可能有多种访问应用的方式,例如,可通过云提供商提供的门户或应用编程接口访问,还可通过开放操作系统权限访问。最后的访问链输出如图1-14所示。
图1-14 访问链
通过上述方式,可以快速把访问链上组件间的逻辑关系形象、直观地表达出来。这些生成的拓扑图既包括物理拓扑,也包括逻辑拓扑。逻辑拓扑是指应用之间的逻辑连接关系,物理拓扑是指设备之间的物理连接关系。通常,一台物理设备上可能运行多个应用。
随着元宇宙、AI建模等技术的不断发展,未来几年,是否能够迅速、有效、及时地看见未知威胁,能够看见未知威胁的多少内容(而不是盲人摸象),将成为安全技术与安全企业竞争的主要战场。特别是上云后,IT团队对云基础架构的可见性变差,安全风险的可视化能力也在下降,尤其受云上敏捷开发、新应用和服务交付加快、多云的影响,部署配置错误的可能性急剧增加。
随着云计算的普及,政企面临的威胁已逐渐从已知漏洞变为未知威胁。黑灰产的“武器库”日趋成熟,其中包括未公开披露的漏洞攻击手段(0day)。如何快速定位攻击源以及入侵原因,还原攻击者的入侵路径,在安全威胁检测中变得至关重要。
数字孪生是一种模拟杀伤链(Kill Chain)的技术,能够评估政企的安全威胁情况。随着微服务架构的流行,完整的业务事务逻辑被部署在多个微服务上。用户点击请求可能会触发多个微服务之间的相互功能调用,从而增加系统的复杂性和难度。此时,链路追踪应运而生,它可以快速、准确地定位存在问题的调用链路。
2010年,Google对其内部的分布式链路跟踪系统Dapper进行改造,并将请求按照Trace、Segment、Span三种模型进行划分,其间形成的OpenTracing规范成为链路追踪领域的重要标准。该规范提供了一种标准化的链路追踪方法,使链路追踪技术广泛应用于互联网应用系统中。
日常攻防中,政企等组织希望能够高效发现数据泄露问题,由此接入了SIEM流量日志,以记录所有访问业务的流量。但随之而来的问题是:每天有成千上万条流量日志混杂在一起,根本无法区分哪个人访问了哪个业务。
图1-15是一张2022年最火的安全创业公司WIZ的产品截图,它从访问逻辑角度梳理了链路。在一个网站主机上存在一个权限过大的令牌,最终导致敏感数据泄露。
WIZ平台会收集并整理警报的上下文信息,然后在一个清晰的拓扑图中展示出来。这样做可以帮助聚合相关联的问题,并且快速辨识出可能的安全漏洞渗透路径。这有助于安全团队根据图表中的风险级别进行高效、合理的修复。
该解决方案将拓扑图、时序图和系统地图融为一体,展示应用程序中各个组件(如服务器、数据库、中间件等)之间的关系以及调用时间序列,并显示数据在应用程序系统中的移动方式;同时,基于图技术,在云工作负载中创建多种上下文关系,包括网络暴露、漏洞、密钥、用户和机器身份等。因此,WIZ平台自推出后广受欢迎,给公司带来的收入在18个月内从100万美元增长到1亿美元。
图1-15 WIZ安全产品(来自厂商截图)