世界变化很快,如果抓着这个快速变化的东西不放,也许我们做安全的会累死。比如说漏洞,随着各种软件,服务,解决方案越来越复杂,漏洞必然是越来越多的,而且客户不同,供应商不同,漏洞修复的速度也是不能保障的。因此,如果我们能抓住这个不断变化的世界中,不变或者变化比较慢的东西,也许会为安全问题的解决带来一丝曙光。
-
数据流量加密
目前,互联网上的数据基本上80%都是加过密的,一些企业内网,还有很多服务是不加密的,但是在下面几年中,这些服务也会逐渐变成加密的,尤其是云化,会推动这一过程。很多云化托管的web服务,默认就是https,即使想不加密也难。这意味着,很多基于扫描网络流量内容的安全产品,很快或者已经面临生死关头。这些产品包括,但不限于IDPS,防毒墙。基于代理做中间人解密的产品也许还能活一阵子,但是这个市场本身就不大。基于私有证书做解密也只有一些做Web服务可能有一些用,然而这种情况,大家还不如用内嵌的WAF或者RASP。
-
分布式服务攻击
现在互联网上的DDOS攻击已经很厉害了,但是未来会更厉害。移动互联网已经将几十亿人类连上了网,下一阶段,5G和智能家居,会把上百亿的IOT设备也连接到互联网上。这些设备,也许是路边一个摄像头,也许是你家的电冰箱,洗衣机。和手机不同,这些设备往往会长期处于无人关注,无人监管的状态,如果被黑产控制了,只要手法足够巧妙,你也许永远不会发现。更恶劣的是,这些设备往往没有及时的安全更新,而且同一个型号只需要能攻破一个,其他的自然就可以使用同样的方法进行攻击劫持。这意味着更大规模的DDOS攻击矩阵在未来成为现实,目前的DDOS防御方案,往往是利用服务商的带宽能力硬扛,这种防御方式是需要收费的。想象一下,在未来,由几十亿个IOT设备组成的攻击矩阵对你的服务进行DDOS攻击。我仿佛听到了客户的钱包的哭泣声。
-
云化
现在,越来越多的企业把业务搬到云上,这些业务不仅仅是对外,包括企业自己的一些内部业务也会慢慢地最终全部搬到云上。这意味着什么?我认为,这意味着企业内网这个名词在未来几年也许会慢慢成为历史,目前这些基于企业边界防护的解决方案在一般企业中会慢慢因为不适应而被淘汰。当然,那些提供云服务的厂商也许还有使用一些。当然,这种趋势是一件好事,在以外,突破了企业的网络边界,往往意味着在内网中可以为所欲为。一旦边界消失,攻击者的渗透成本会成倍提高。首先,高价值目标的管理会更严格更合理,没有了内容,要找到这些目标也不容易。其次,原本的渗透目标是渗透内网,内网没了以后,要一个主机一个主机寻找,并进行攻击。业界一些领先厂商很早就发现了这一点,比如Google在大概2012年就提出了Zero-Trust的概念,并逐步地将自己的内网撤除,这些先进的实践,成就了BeyondCorp这个解决方案。
-
自动化攻击
在大众的想象中,攻击者是什么样子呢?在多年媒体的渲染下,我们往往会觉得这会是一个坐在一个阴暗屋子里,顶着杂乱头发的技术高手。事实上,现在很多时候,攻击者可能只是一段程序和脚本,是一个自动化的程序。
现在的攻击者已经工程化了,下面这张图可以很好地说明这件事。
image-20200305115642520.png
网络攻击有自己的后台服务体系,有快速可抛弃的前台CC站点及邮箱和网站服务。这是一个系统化的工程。这意味着什么?我们知道,在每年的攻防演练中,很重要的一个工具是防火墙黑名单。如果攻击者拥有上面的这个体系,那这个黑名单,也许只能起作用很短的时间。
也许还有更多的不变的东西,而目前我只能想到以上几点,在RSAC 2020中,有一个厂商提出了一个见解,即D.I.E,用分布式对抗分布式,用不变的文档保证完整性,用短时间存在的服务/主机对抗攻击者持久化的努力。在我看来比较有意思,但是具体实现起来需要系统化的考量,无法做到一步到位的。推动Zero-Trust,Serverless也许是一个可行的方向。
网友评论