Press "Enter" to skip to content

老柳谈安全 | 零信任架构2.0的进化:基于资产行为的自动识别

 

零信任架构是美创数据安全实践的核心遵循思想。美创从数据不应该自动信任任何人的基本观点开始,从2010年开始实践,在2015年左右正式形成了零信任架构1.0版本,并在美创科技的每个数据安全产品中无缝落地。美创科技根据市场需求的变化不断地发展着零信任架构,在经过5年的成熟实践之后,近期美创科技零信任架构1.0即将升级为2.0版本,以更好的满足数据安全和网络安全的诉求。

 

 

 

零信任架构2.0是在零信任架构1.0的四大基本原则和六大实践原则基础上的进化版本,能够更适应“云大物移”等这些不断开放的网络环境。相较于零信任架构1.0版,零信任架构2.0版的变革和创新之处主要体现在以下三点:

 

 

1、在不可靠网络中寻求可靠支撑点的决心更加坚决,在承认无边界访问的事实之上重新定义安全边界,并以人、边界、资产构成非安全网络的三个基本支撑点。

 

2、采用智能化识别模式来判断每一个行为的上下文变化和匹配情况,并在过程中不断评估信任和风险,可以真正实现基于上下文风险的动态访问。

 

3、充分认知到数据流动已经成为主要的安全场景之一,因此,能够让零信任架构真正覆盖到数据流动场景之中。

 

本篇主要讲述零信任架构2.0中基本支撑点之一:

基于资产的自动行为模式识别。

 

资产一直处于美创零信任架构的绝对核心,从零信任1.0贯穿到零信任2.0。可以说只要建立了以资产为中心的安全体系,就必然会走向零信任。如何认知资产的地位,则决定了零信任架构的走向。 在软件重新定义的资产和边界一文中,明确了以下几点:

 

❖ 美创明确的定义资产的两个构成部分:资产和边界。

 

❖   进一步明确了访问资产的行为分为两部分:访问边界的行为和访问边界内资产的行为 。

 

❖ 美创认为资产不仅是一个被动访问体,而且还是一个主动访问体,自主决定谁可以访问我。

 

如同基于身份有其确定性的行为模式一样,每个资产都有其特定的确定性的访问模式,而确定性正是零信任架构的核心追求。

 

基于资产的行为模式确定性可以由以下部分构成,而行为模式的确定的一个基本原则就是以过去指导未来:

 

1、边界行为确定性

 

2、边界身份和属性访问确定性

 

3、边界内行为链访问确定性

 

边界行为确定性

 

每个资产一旦确定了属性和边界,意味着边界上的行为被完全确定,任何偏离边界的行为都是不合规的。比如定义了归档资产或者日志表格,就决定了边界行为只能被查询,不能被修改,删除操作只有在特定策略下进行。比如定义了个人终端,就决定了该终端边界缺省不会对外开放任何网络服务;定义了数据库文件,就决定了该资产边界只能被数据库进程所访问。有时候我们可能对于资产的认知不足,为了避免边界行为确定性错误,可以进行业务周期的自动学习,通过自动学习来确定边界。

 

边界身份访问确定性

 

资产最终只有被访问才有意义,特别是在数据价值最大化的今天。作为自主体的资产,除了需要确定性的边界行为之外,还需要确定性的身份和属性访问,确定哪些人、哪类人可以访问。在基于身份的自动行为识别中,我们提出了身份链的概念。身份链同样可以作用于资产,确定哪些身份可以访问,要经过什幺样的身份链的访问。但是从资产的角度出发,确定身份访问对于管理者来说是一个巨大的挑战。从资产的角度出发,更加自然的访问确定性是基于属性和标签的访问确定性,也就是确定哪类人可以访问。

 

由于资产认知的复杂性,很多时候我们无法清楚的认知资产的边界访问许可和限制。这个时候,我们需要自动的行为模式识别来辅助我们的认知,从统计学角度以多数认知来帮助我们确定边界身份访问确定性,从而最终确定哪些人,哪类人可以访问资产边界。

 

边界内行为链确定性

 

当访问资产越过边界,进入资产内部,访问就进入了行为链的工作范畴。在基于身份的自动行为模式识别一文中,我们给出了行为链的四部分构成:行为集合,基于概率的行为拓扑链,基于正常行为特征的特征库,基于异常行为特征的特征库。

 

1)行为集合

 

资产由众多的客体对象构成,每个客体对象都包含了边界行为的许可访问,这些对于边界内客体的过往历史行为统计就构成了行为集合。行为集合由四部分构成:对象、行为、出现次数和出现率。当基于独立客体对象出现次数和出现率表现出明显偏离,意味着边界行为信任度下跌,需要附加因素验证来进一步确定信任度。

 

2)基于概率的行为拓扑链

 

行为拓扑链是行为集合的进一步描述,通过条件概率的引入,在行为和行为之间进行相关性检查。条件概率的相关性可以由多种设置方式,比如基于前置条件的概率,基于前置行为的概率,基于前置链条的概率等等。基于概率的行为拓扑链可以让边界内每个行为风险在可控范围之内。

 

3)基于正常行为特征的特征库

 

很多时候,当行为涉及到复杂细节的时候会表现出高度复杂性,比如SQL语句。SQL语句是典型的简单分类行为,高度复杂性的行为细节。由于SQL语句无穷变化的特征,在很多场景下会出现合乎规范的未定义行为(SQL语句)。为了低干扰的判断意外行为的合规性,这个时候基于正常行为特征的特征库支持。当未知行为符合常规行为特征的时候,处于业务连续性的考虑会判断该行为是合规的,事后交由人工确认。

 

4)基于异常行为特征的特征库

 

基于正常行为特征的特征库可以很好的判别出非预期的行为,但是无法将非预期行为归类。基于异常行为特征的特征库作为传统特征库,可以帮助明确非预期行为归类,完成归因分析工作。

 

行为集合、行为拓扑链、正常特征库和异常特征库,本质上都是知白守黑基本原则的落地实践。在具体实践中,我们不一定在每类资产上检测所有行为链确定性。我们可以依据资产的敏感度和损失承受能力来选择不同的行为链作用于资产,完成边界内行为链确定性。

 

 

 

Be First to Comment

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注