Aruba: 云安全技术趋势和针对物联网的身份认证授权体系

作为一家有线和无线领域领导者的高科技公司,Aruba表面上看起来是一家网络基础设施厂商,但是安全其实一直是它的魂魄。Aruba从创立之初就很重视安全,其许多产品和解决方案都是围绕安全这个核心来展开的。

云安全技术趋势下的发展战略

传统的安全架构和技术仍然是必须的,它能够很好的控制连接和访问,对网络边界进行有效的防护,并且能够阻止“已知”攻击。但它们所依赖的一些假设和条件已经不再普遍适用。

随着智能终端和物联网应用的普及,用户的移动性越来越强,因此网络的边界越来越模糊;同时,现在的应用和管理的发展趋势趋于云端化。随着越来越多的信息通过云端在传递,对于安全的关注点也从原来的端点安全,转移到了交付的应用程序、数据安全和用户体验上。这种焦点的转移,也让业界面临着更多的问题,网络厂商既要保证数据安全,并提供良好的用户体验,同时又要使信息保持完整性和开放性。最后,现在的攻击行为的发起点往往是在企业内部,因此云应用服务商很难区分哪些是正常的用户行为,哪些是恶意的用户行为。就此,Aruba中国区总裁谢建国发表了一些看法。他认为,未来云安全的发展趋势包含如下几个部分:

第一为“开放性”。传统的安全技术都是一个个仓桶式的解决方案,这些安全仓桶之间缺乏一种有效的联动机制,造成其很难应对目前和将来的攻击行为。比如,一台防火墙阻断了一个非法访问或者是某种已知攻击行为,但是它无法与网络基础设施进行联动,这将造成两个问题:其一,无法快速定位问题终端,因为防火墙只能看到攻击者的源IP,但是无法确切知道攻击者的身份、终端类型等信息;其二,不能形成安全闭环,无法通知网络基础设施将问题终端隔离,因此攻击者会一直连在网络上,尝试第二次、第三次攻击。所以Aruba希望未来的安全解决方案能够建立一种开放和标准的生态环境,并且身体力行。目前Aruba已与全球100多家厂商建立了生态环境,这些厂商包括传统安全厂商、终端管理厂商(MDM)、SIEM厂商和网络基础厂商。Aruba与这些合作伙伴进行信息互享,同时也能进行安全联动形成安全闭环。

第二是大数据分析和机器学习技术的应用。传统的安全技术是一种被动模式,在这种模式下,安全管理员只能努力维持现状,只能对已知攻击做出响应。并且在问题发生时,传统的安全系统告警并不足够智能:首先需要大量的手工工作来清除日志噪声;然后确定要处理的真实和最关键的目标;最后,采取几个步骤将不同数据的关联起来,再诊断根本原因——花费数小时甚至数天的时间来理解和修复安全问题。根据2018年的安全分析报告显示,目前87%的终端劫持攻击行为,只需耗时数分钟甚至更少,而68%的被劫持终端需要等到数月甚至更长才能被发现。因此,未来的安全管理模式会从以事件为驱动的模式向以大数据分析为驱动的模式进行转移,在这个新的模式中可以实现自动化的安全闭环。在这个新的模式中,大数据分析和机器学习技术是关键。通过大数据分析和机器学习,我们能主动跟踪用户行为、识别异常、以网络实体为中心自动关联相关信息、最后可以与网络基础设施、安全设备形成自动的安全闭环。目前Aruba已经在全线产品中引入大数据分析和机器学习技术,其中Introspect产品能对异常的用户实体行为进行探测。

第三, 数据采集在很长一段时间内仍然需要下沉到网络边缘。Aruba 认为,在各种云端应用还没有完全打通之前,数据采集仍然需要下沉到网络边缘。比如,一个用户半夜在office365突然下载了大量的公司文档,而作为office365的服务提供商无法判断这到底是一种正常行为还是一种有风险的信息泄露问题。因为他们除了自身的数据以外,无法关联这个用户其它相关的实体信息,因此也就无法对这个行为进行有效的分析。如果将数据采集下沉到网络边缘,便可以通过SIEM平台、认证服务器、网络基础设施采集用户的相关信息,并将这些信息送往大数据分析和机器学习分析平台,由此平台来进行智能的数据关联、识别异常行为。比如通过采集DNS数据来判断此用户是否有DGA异常行为、采集网络基础设施数据来判断是否有外部链接到这台终端、采集邮件服务器数据来分析此用户是否随后向第三方个人邮箱发送了大附件的邮件,同时依据此用户的日常行为基线(比如一般在什么时间访问office365,是否经常下载大量附件),将所有这些数据进行关联分析,这样才能识别出此用户的行为是否为一种异常行为。

如何构建针对物联网的身份认证授权体系

Aruba认为未来的身份认证授权体系不仅仅是针对用户的准入授权,而应该包含对终端的识别和准入授权。物联网的应用是未来的一个发展趋势,在万物互联的时代,将会有海量的物联网终端连接到网络中,包括摄像头、各种感应器、人体穿戴式设备、门锁、交通工具和家用电器等等。而这些物联网终端往往是哑终端,因此很难对这些终端采用传统的安全认证方式,比如802.1x认证、portal认证等。如果采用MAC地址认证,又很难对这些终端所传输的数据进行加密。而这些物联网终端的安全性势必会是未来的关注重点,比如几年前发生在美国的摄像头被劫持事件,造成了全球DNS根服务器被攻击。因此,Aruba提出了一些解决方案:

一是对开放网络的数据进行加密。目前在无线领域广泛使用的WPA2加密算法,其实在开放的网络下对数据不做任何加密,这就意味着采用portal认证或是MAC认证的终端在通过无线传输数据时是用明文进行传输的。因此,Aruba率先开发了WPA3加密算法,这可以使得未来的终端在开放网络下也可以对数据链路层进行加密。

二是应用机器学习对终端类型尤其是物联网终端进行识别和分类。既然哑终端无法采用传统的认证方式,那么就去主动识别出这些终端,最后通过这些终端的类型动态的分配安全策略。但是要识别出物联网终端依靠传统的特征库是很难实现的。比如, 同样是Android系统的终端,它可能是一个摄像头、可能是一个人体穿戴式设备,甚至可能会是一辆汽车,因此需要一种更先进、更智能的方式来识别和分类这些终端。目前Aruba ClearPass认证平台已经具备了应用机器学习来识别终端的能力。此方案是个云端化的解决方案,能够在网络边缘采集这些终端的静态属性(比如MAC地址、DHCP指纹、SNMP等),以及网络流行为(比如使用的网络协议、网络应用类型、传输的数据类型等),并对其行为进行分析(比如访问某个固定的IP地址或是域名)。通过这些数据,实现不依靠传统的特征库便可对终端进行识别。同时通过这个云平台,利用众包机制,优化识别精度。一旦对终端进行精确的识别和分类后,Aruba ClearPass认证平台可以依据这些信息返回不同的认证结果和授权策略,以此来达到智能的准入和授权。