網(wǎng)絡(luò)安全中的上下文感知

01 開門見山：Context（上下文）和 Content（內(nèi)容）

Context（上下文）和 Content（內(nèi)容）是一個(gè)有趣的話題。不妨看看幾個(gè)有趣的對(duì)比：



圖1-Context（上下文）和 Content（內(nèi)容） 字形的對(duì)比。

上圖很有趣：圖中的倒影并不是Context（上下文），而是Content（內(nèi)容）。兩者只有一個(gè)字母之差，但兩者卻是幾乎對(duì)立的含義。




圖2-上下文的意義/價(jià)值 上下文的價(jià)值。

從上圖可以看出，上下文（Context）分別賦予了數(shù)據(jù)（Data）、內(nèi)容（Content）、信息（Information）以更多的意義和價(jià)值。正是在上下文的作用下，數(shù)據(jù)轉(zhuǎn)化成內(nèi)容，內(nèi)容轉(zhuǎn)化成信息，信息轉(zhuǎn)化成知識(shí)。上下文（Context）和內(nèi)容（Content）是既對(duì)立又統(tǒng)一的關(guān)系。兩者相輔相成，還可以相互轉(zhuǎn)化。



圖3-內(nèi)容離不開上下文 上下文的地位。

微軟創(chuàng)始人比爾·蓋茨曾說(shuō)過(guò)內(nèi)容為王。營(yíng)銷大師Gary Vaynerchuk卻說(shuō)：“如果內(nèi)容為王，那么上下文就是上帝。”

02 進(jìn)入正題：網(wǎng)絡(luò)安全中的上下文感知

1）上下文感知的含義

上下文（Context）是某事物存在或發(fā)生的環(huán)境/條件/情況/背景，可以幫助解釋或理解該事物。這里的“某事物”也可以理解為上一節(jié)中的內(nèi)容（Content）。

上下文感知安全，是在做出決策時(shí)使用補(bǔ)充性上下文信息，來(lái)改進(jìn)安全決策。為了更快、更準(zhǔn)確地評(píng)估某個(gè)給定的操作請(qǐng)求應(yīng)該被允許還是拒絕，需要在做出安全決策時(shí)加入更多實(shí)時(shí)上下文信息。

2）上下文感知的示例

當(dāng)今，所有網(wǎng)絡(luò)安全領(lǐng)域都在向上下文感知基礎(chǔ)設(shè)施轉(zhuǎn)變。應(yīng)用程序感知、身份感知、內(nèi)容感知、流程感知、環(huán)境感知，都是向上下文感知轉(zhuǎn)變的例子。 先看幾個(gè)熟知的傳統(tǒng)型轉(zhuǎn)變：

網(wǎng)絡(luò)級(jí)防火墻是最先轉(zhuǎn)型的。下一代防火墻已經(jīng)超越了傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)級(jí)屬性（例如端口號(hào)或IP 地址），特別強(qiáng)調(diào)應(yīng)用程序感知能力，也開始強(qiáng)調(diào)身份感知能力。

入侵防御系統(tǒng) (IPS)：下一代IPS系統(tǒng)不再將所有IPS規(guī)則應(yīng)用于所有流量，而是使用實(shí)時(shí)上下文知識(shí)，包括工作負(fù)載正在運(yùn)行的操作系統(tǒng)或應(yīng)用程序的哪個(gè)版本，以及它們所保護(hù)的系統(tǒng)中存在哪些漏洞。這些上下文提高了IPS決策的速度和準(zhǔn)確性，節(jié)省處理資源，減少誤報(bào)率。

端點(diǎn)保護(hù)平臺(tái) (EPP)：EPP的發(fā)展早已超越了傳統(tǒng)的基于簽名的白名單和黑名單方法，正在使用公開情報(bào)和社區(qū)聲譽(yù)，來(lái)確定給定的可執(zhí)行代碼是否足夠可信。

安全Web網(wǎng)關(guān) (SWG)：SWG的發(fā)展遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的靜態(tài)URL過(guò)濾，以在策略決策點(diǎn)處融合上下文信息，例如URL的信譽(yù)、源IP地址的位置和信譽(yù)等。同時(shí)也增強(qiáng)內(nèi)容感知，以監(jiān)控出站連接上的數(shù)據(jù)泄露。

再看幾個(gè)流行的現(xiàn)代型轉(zhuǎn)變：

網(wǎng)絡(luò)準(zhǔn)入控制 (NAC)：無(wú)論是用于訪客網(wǎng)絡(luò)、VPN訪問(wèn)、全網(wǎng)絡(luò)訪問(wèn)，NAC解決方案會(huì)在允許工作站連接到企業(yè)網(wǎng)絡(luò)之前，使用實(shí)時(shí)上下文信息，如對(duì)設(shè)備的“健康”評(píng)估（即零信任終端環(huán)境感知）。

身份和訪問(wèn)管理：身份驗(yàn)證在認(rèn)證決策點(diǎn)融入了更多實(shí)時(shí)上下文，例如當(dāng)事務(wù)上下文反映異常行為時(shí)，則需要更強(qiáng)的身份驗(yàn)證。

授權(quán)決策：授權(quán)決策也變得更加上下文化。超越了傳統(tǒng)的RBAC（基于角色的訪問(wèn)控制）靜態(tài)模型，積極向ABAC（基于屬性的訪問(wèn)控制）的零信任架構(gòu)轉(zhuǎn)變。

數(shù)據(jù)保護(hù)：為了在整個(gè)數(shù)據(jù)生命周期和整個(gè)企業(yè)IT生態(tài)系統(tǒng)中充分保護(hù)敏感信息，策略執(zhí)行點(diǎn)變得更加內(nèi)容感知和身份感知，支持根據(jù)操作時(shí)確定的數(shù)據(jù)分級(jí)分類而動(dòng)態(tài)應(yīng)用策略。

下面，筆者將對(duì)這些上下文感知轉(zhuǎn)型示例，進(jìn)行歸納提升和模型推演，總結(jié)出一般性規(guī)律。

03 模型推演：從安全訪問(wèn)模型到安全操作模型

1）零信任訪問(wèn)模型

零信任訪問(wèn)的目的是：在不可信環(huán)境中，實(shí)現(xiàn)實(shí)體對(duì)資源的安全訪問(wèn)。它本質(zhì)上是要做出一個(gè)安全訪問(wèn)決策：在當(dāng)前的上下文中，主體能否訪問(wèn)客體？ 筆者繪制了如下零信任訪問(wèn)模型：



圖4-實(shí)體之間的安全訪問(wèn)模型

2）零信任操作模型

筆者將上述零信任思想推廣到各種操作類型（而不僅僅只是訪問(wèn)這種操作），就可以得到下面的零信任安全操作模型：

圖5-實(shí)體之間的安全操作模型 分層IT技術(shù)棧模型。

在上圖中，左右兩側(cè)的實(shí)體A和實(shí)體B，按照IT技術(shù)棧進(jìn)行了分層，即網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng) (OS)、應(yīng)用程序、身份、內(nèi)容、業(yè)務(wù)流程。在這種分層IT技術(shù)棧模型中，各個(gè)層級(jí)都包含其物理或邏輯實(shí)體（對(duì)象）——數(shù)據(jù)包、機(jī)器、應(yīng)用程序、服務(wù)、用戶、組、事務(wù)等。 安全操作決策：安全的本質(zhì)是對(duì)操作的安全決策。結(jié)合上圖來(lái)看，網(wǎng)絡(luò)安全可以被視為一組安全決策的執(zhí)行，以實(shí)現(xiàn)IT堆棧中不同實(shí)體之間的操作。如上圖所示，當(dāng)左側(cè)任何層的實(shí)體A想要對(duì)右側(cè)的實(shí)體B進(jìn)行操作時(shí)，就會(huì)發(fā)生安全決策。例如：

網(wǎng)絡(luò)通信：這個(gè)IP地址可以和另一個(gè)IP地址通信嗎？這種類型的策略傳統(tǒng)上由網(wǎng)絡(luò)防火墻強(qiáng)制執(zhí)行。

程序執(zhí)行：這個(gè)用戶可以加載并執(zhí)行這個(gè)未知的應(yīng)用程序嗎？此類策略傳統(tǒng)上由防病毒軟件和應(yīng)用程序白名單軟件強(qiáng)制執(zhí)行。

用戶訪問(wèn)：此用戶可以訪問(wèn)此內(nèi)容嗎？這種類型的策略傳統(tǒng)上由訪問(wèn)控制機(jī)制強(qiáng)制執(zhí)行。

輸入驗(yàn)證：這個(gè)輸入可以被這個(gè)應(yīng)用程序接受嗎？這種類型的策略傳統(tǒng)上由應(yīng)用程序防火墻（例如WAF或數(shù)據(jù)庫(kù)防火墻）強(qiáng)制執(zhí)行。

上下文感知。對(duì)應(yīng)于圖中的每一層，都有各層的上下文，通過(guò)感知各層的上下文，如應(yīng)用程序感知、身份感知、內(nèi)容感知、流程感知，可以將上下文添加到安全決策的輸入中，從而做出更加正確的安全操作決策。

04 范式轉(zhuǎn)變：信任度量需要實(shí)時(shí)上下文

1）基礎(chǔ)設(shè)施轉(zhuǎn)變：從靜態(tài)IT基礎(chǔ)設(shè)施轉(zhuǎn)向動(dòng)態(tài)IT基礎(chǔ)設(shè)施

靜態(tài)業(yè)務(wù)和IT基礎(chǔ)設(shè)施。當(dāng)業(yè)務(wù)和IT基礎(chǔ)設(shè)施相當(dāng)靜態(tài)且明確時(shí)，企業(yè)擁有和控制圖5中的大部分實(shí)體，所以網(wǎng)絡(luò)安全策略執(zhí)行點(diǎn)（如防火墻、郵件安全網(wǎng)關(guān)）通常只放置在企業(yè)擁有的東西（因此信任）和企業(yè)不擁有的東西（因此不信任）之間的分界點(diǎn)（邊界）。

絕對(duì)信任模型。這種信任“我們”（我們擁有它并且控制它）而不信任“他們”（他們擁有它并且控制它）的安全模型，就是絕對(duì)信任模型。 動(dòng)態(tài)業(yè)務(wù)和IT環(huán)境。業(yè)務(wù)和IT領(lǐng)域的多種融合趨勢(shì)，正在打破傳統(tǒng)靜態(tài)IT基礎(chǔ)設(shè)施和業(yè)務(wù)的邊界，正在形成越來(lái)越動(dòng)態(tài)的業(yè)務(wù)和IT環(huán)境：

移動(dòng)化。意味著隨時(shí)隨地使用“可信度”不同的設(shè)備（并非都?xì)w企業(yè)所有）從不同地點(diǎn)訪問(wèn)企業(yè)的系統(tǒng)。

外部協(xié)作化。意味著向外界開放企業(yè)的 IT 系統(tǒng)。訪問(wèn)內(nèi)部系統(tǒng)的外部用戶會(huì)越來(lái)越多，甚至多于內(nèi)部員工。

虛擬化。意味著工作負(fù)載和信息將不再與特定設(shè)備和固定IP地址綁定，從而打破基于物理屬性的靜態(tài)安全策略。

云計(jì)算。意味著企業(yè)不再擁有或控制保存和處理企業(yè)的工作負(fù)載和信息的基礎(chǔ)設(shè)施或應(yīng)用程序。

黑客產(chǎn)業(yè)化。意味著黑客從大規(guī)模攻擊轉(zhuǎn)向針對(duì)性攻擊。導(dǎo)致企業(yè)對(duì)內(nèi)部用戶和系統(tǒng)的信任度降低。

絕對(duì)信任的喪失。在動(dòng)態(tài)的業(yè)務(wù)和IT環(huán)境中，企業(yè)無(wú)法預(yù)測(cè)訪問(wèn)系統(tǒng)和內(nèi)容的所有需求。試圖預(yù)先確定所有可能的使用場(chǎng)景，并使用靜態(tài)的、預(yù)定義的安全策略來(lái)執(zhí)行它們，無(wú)法提供企業(yè)所需的擴(kuò)展性和靈活性。在動(dòng)態(tài)IT基礎(chǔ)設(shè)施的世界中，絕對(duì)信任模型失敗了。

2）安全范式轉(zhuǎn)變：從絕對(duì)信任到信任度量 IT基礎(chǔ)設(shè)施從靜態(tài)向動(dòng)態(tài)的轉(zhuǎn)變，促使安全范式從絕對(duì)信任轉(zhuǎn)向信任度量。與可以提前預(yù)先定義的非黑即白的二元靜態(tài)決策不同，新興IT環(huán)境中的安全決策難以明確定義和事前預(yù)知。IT技術(shù)棧的每個(gè)元素，都需要以一定程度的不確定性對(duì)待。

絕對(duì)信任（即二元信任）將被“信任度量”范式所取代。 我們必須拋棄幻想的絕對(duì)信任（實(shí)際上我們從未真正擁有過(guò)這種信任），將轉(zhuǎn)向一種信任度量的范式，即上下文感知的安全策略執(zhí)行機(jī)制——它可幫助我們回答真正的問(wèn)題：“我是否對(duì)相關(guān)實(shí)體有足夠的信任，可以在我目前的風(fēng)險(xiǎn)承受能力水平和上下文中，執(zhí)行所請(qǐng)求的操作？”

3）不可或缺：信任度量需要實(shí)時(shí)上下文

為了能夠更快、更準(zhǔn)確地度量信任級(jí)別，評(píng)估是否應(yīng)該允許或拒絕給定的操作，我們必須在做出安全決策時(shí)納入更多實(shí)時(shí)上下文信息。這是上下文感知安全的核心。

05 五彩紛呈：安全上下文的類型和來(lái)源

1）安全上下文的類型

除了經(jīng)常使用的環(huán)境上下文（如位置和時(shí)間），還有多種類型的上下文信息，可用于改進(jìn)安全決策。圖5中顯示的任何層，都可以為改進(jìn)安全決策提供額外的上下文。下表羅列了各個(gè)層中的上下文示例：



表6-與安全決策相關(guān)的上下文示例 所有這些層——環(huán)境、社區(qū)、流程、內(nèi)容、身份、應(yīng)用程序、操作系統(tǒng)、設(shè)備和網(wǎng)絡(luò)——都可以為它們下面的層中做出的實(shí)時(shí)安全決策，提供有用的上下文。例如，身份級(jí)別和應(yīng)用程序級(jí)別的信息，可以為網(wǎng)絡(luò)級(jí)別的防火墻決策提供額外的上下文。內(nèi)容級(jí)信息可以為決定是否允許通過(guò)電子郵件發(fā)送文檔提供額外的上下文。

2）安全上下文的來(lái)源

想用好上下文，除了知道有什么上下文，還要知道從哪里獲取這些上下文。下表總結(jié)了一些常見上下文的來(lái)源（即獲取方式）：



表7-上下文的類型和來(lái)源

06 展望未來(lái)：上下文的未來(lái)是圖譜化

1）上下文的未來(lái)是圖譜化

在安全世界中，威脅情報(bào)顯然是上下文的重要組織部分（參見表7中的“威脅上下文”）。而在很多語(yǔ)境中，情報(bào)就是上下文。 筆者明確看到了主流安全情報(bào)產(chǎn)品的圖譜化趨勢(shì)，從而給出斷言：（大規(guī)模）上下文的未來(lái)是圖譜化。 圖譜為何如此重要？因?yàn)?strong>圖譜含有語(yǔ)義(語(yǔ)言有意義，容易被理解)，是最高層次的信息表達(dá)方式。

圖譜以類似人類大腦的方式，組織各種實(shí)體和上下文知識(shí)。對(duì)于海量信息中的知識(shí)探索和發(fā)現(xiàn)活動(dòng)，圖譜無(wú)疑是最值得期待的工具。圖譜采取用圖說(shuō)話的可視化方法，將上下文的易用性提升到新的高度，為降低威脅調(diào)查、行為異常、隱私合規(guī)等安全技術(shù)的門檻提供了可能。

圖譜的難度很大。也許有人會(huì)說(shuō)：圖譜的應(yīng)用門檻沒多高！但筆者想提醒的是：關(guān)系之中見精髓，規(guī)模之上見工夫。實(shí)體和關(guān)系的建模方式、規(guī)模量級(jí)、豐富程度，圖譜的易用性、探索性、啟發(fā)性，無(wú)不是橫亙?cè)趫D譜面前的巨大挑戰(zhàn)。實(shí)際上，圖譜與圖論、本體論、自然語(yǔ)言處理、神經(jīng)網(wǎng)絡(luò)、人工智能等前沿理論關(guān)系緊密。 貧窮會(huì)限制想象力。要做好自己的圖譜，還是應(yīng)該先看看別家的圖譜。

2）VirusTotal圖譜

VirusTotal稱：“上下文是王道（Context is king）”。可見其對(duì)上下文之重視。 VirusTotal認(rèn)為：你不能僅僅依靠“一枚子彈”（即一個(gè)樣本）或“一塊拼板”（即你的本地?cái)?shù)據(jù)），來(lái)與全球范圍內(nèi)的攻擊者進(jìn)行戰(zhàn)斗。你需要有持續(xù)跟蹤惡意活動(dòng)的“整部電影”，必須有盡量完整的上下文。VirusTotal圖譜（VirusTotalGraph）正是你的救星。 VirusTotal圖譜充分利用各種實(shí)體的屬性和關(guān)系，以可視化方式，瀏覽或搜索VirusTotal的海量數(shù)據(jù)集，高效執(zhí)行安全事件和威脅的調(diào)查。

如下圖所示：



圖8-VirusTotal圖譜的調(diào)查示例

3）CrowdStrike威脅圖譜

CrowdStrike將威脅圖譜（Threat Graph）視為自己的云端安全大腦。CrowdStrike聲稱自己是第一個(gè)有目的地使用圖數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的公司，并基于圖數(shù)據(jù)庫(kù)構(gòu)建了威脅圖譜。

正是利用了圖數(shù)據(jù)模型，威脅圖譜得以每天處理數(shù)十億個(gè)事件，處理來(lái)自數(shù)百萬(wàn)個(gè)傳感器的數(shù)據(jù)流，支持每秒50萬(wàn)個(gè)事件寫入，并在紛繁復(fù)雜中快速發(fā)現(xiàn)威脅蹤跡。



圖9-CrowdStrike威脅圖譜（Threat Graph）

4）RecordedFuture安全情報(bào)圖譜

RecordedFuture稱：安全情報(bào)圖譜（Security Intelligence Graph）代表了RecordedFuture用來(lái)完成使命的方法論和專利技術(shù)。安全情報(bào)圖譜用于指導(dǎo)人類分析師和算法的分析過(guò)程。

RecordedFuture安全情報(bào)圖譜綜合了各種各樣的情報(bào)信息，如下圖所示：



圖10-RecordedFuture安全情報(bào)圖譜的信息

安全情報(bào)圖譜連接了數(shù)十億個(gè)實(shí)體，通過(guò)本體和事件，映射網(wǎng)絡(luò)安全領(lǐng)域中的各種復(fù)雜關(guān)系。如下圖所示：



圖11-RecordedFuture安全情報(bào)圖譜的原理

5）Securiti 個(gè)人數(shù)據(jù)圖譜（People Data Graph）

上面展示的都是威脅情報(bào)圖譜，而Securiti構(gòu)建了一個(gè)與身份和數(shù)據(jù)相關(guān)的圖譜——個(gè)人數(shù)據(jù)圖譜（PDG，People Data Graph）。

Securiti是一家數(shù)據(jù)安全和隱私保護(hù)公司，是RSAC 2020創(chuàng)新沙盒的冠軍。PDG是Securiti實(shí)現(xiàn)現(xiàn)代隱私運(yùn)營(yíng)(PrivacyOps)框架的基礎(chǔ)技術(shù)。

PDG可以跨系統(tǒng)地連接到云中和本地、結(jié)構(gòu)化和非結(jié)構(gòu)化的異構(gòu)數(shù)據(jù)源，自動(dòng)發(fā)現(xiàn)和構(gòu)建個(gè)人數(shù)據(jù)與所有者之間的關(guān)系圖譜，從而為隱私合規(guī)奠定了堅(jiān)實(shí)基礎(chǔ)。



圖12-個(gè)人數(shù)據(jù)圖譜（PDG）

07 最終陳述：安全的未來(lái)是安全云

安全的未來(lái)是（實(shí)時(shí)）上下文。上下文感知安全機(jī)制提供了安全策略的抽象和自動(dòng)化層。上下文感知有助于使安全成為動(dòng)態(tài)業(yè)務(wù)需求的推動(dòng)因素，而不是阻礙因素。企業(yè)安全解決方案應(yīng)該具備越來(lái)越強(qiáng)的上下文感知能力。

安全的未來(lái)在云端。

如果安全的未來(lái)是上下文，得到的下一個(gè)推論就是：安全的未來(lái)在云端。因?yàn)?strong>孤島式、分散式的上下文是非常低效的，也不具備共享和擴(kuò)散的價(jià)值。安全上下文需要集中化、規(guī)模化、圖譜化，而只有云化才能承載這樣的要求。 安全的未來(lái)是SaaS化。如果安全的未來(lái)在云端，得到的下一個(gè)推論就是：安全的未來(lái)是SaaS化。雖然很多人都會(huì)爭(zhēng)論說(shuō)，SaaS只適合中小客戶，并不適合大型客戶。但筆者覺得，恰當(dāng)?shù)恼f(shuō)法是：僅有SaaS，是不適合大型客戶的。大型客戶的最佳策略應(yīng)該修正為：客戶本地化安全建設(shè)+廠商云化安全服務(wù)（如圖13所示）。

安全的未來(lái)是安全云。

安全是要花錢的。我們不能平等地保護(hù)一切，我們所保護(hù)的一切也不是同等價(jià)值。網(wǎng)絡(luò)安全預(yù)算不大可能以比整體IT預(yù)算更快的速度增長(zhǎng)。預(yù)算和資源的限制，將迫使我們不斷優(yōu)化風(fēng)險(xiǎn)/回報(bào)比，并采取智能化的安全保護(hù)措施。這正是安全云的意義所在（如圖13所示）。與其部署所有可能的安全控制措施，不如根據(jù)所請(qǐng)求操作的上下文（如受保護(hù)過(guò)程的重要性、所處理內(nèi)容的敏感度、所涉及實(shí)體的信任度、客戶的風(fēng)險(xiǎn)容忍度等），采取更加智能化的控制措施。不論稱之為“基于信任”、“基于風(fēng)險(xiǎn)”、“基于度量”、“基于智能”的安全轉(zhuǎn)型，上下文感知都是最關(guān)鍵的促成因素。



圖13-CrowdStrike云化威脅圖譜與純本地化解決方案的成本比較 CrowdStrike稱：“大數(shù)據(jù)、圖譜、云是阻止當(dāng)今威脅的三個(gè)關(guān)鍵。”這三個(gè)關(guān)鍵，一個(gè)都不能少。而三者合在一起，就是CrowdStrike威脅圖譜，也正是筆者所說(shuō)的“安全云”。



審核編輯：劉清