在上一篇《傳統網(wǎng)絡(luò )（邊界）安全為什么會(huì )失效》發(fā)出，后續的交流中，有同事很?chē)烂C的提出了什么是傳統邊界安全這個(gè)問(wèn)題。確實(shí)，這似乎是個(gè)問(wèn)題，似乎也沒(méi)有什么明確的說(shuō)法，所以有了這篇文章。我們都知道傳統網(wǎng)絡(luò )安全是以防火墻、殺毒軟件和入侵檢測老三樣為代表的網(wǎng)絡(luò )安全家族，但沒(méi)有辦法舉例子說(shuō)明，只會(huì )讓人越來(lái)越迷糊。究竟什么是傳統邊界安全呢？我總結了以下10個(gè)特征，和大家商榷，觀(guān)點(diǎn)未必正確或者全面，供大家思辨。

1、作用在邊界上，特別是物理邊界上

傳統邊界安全最明顯的特征就是為大家守好一道門(mén)，作用在真實(shí)存在的物理邊界上。防火墻、殺毒軟件、IDS、IPS、DLP、WAF、EPP等邊界設備都作用在邊界上，根據在邊界上的行為進(jìn)行防護和監視。

2、通用的保護目標等于沒(méi)有目標

傳統邊界安全保護的目標是沒(méi)有具體所指的，是一個(gè)通用無(wú)差別目標，比如網(wǎng)絡(luò )，主機等。正是因為安全目標的無(wú)差異性，使其無(wú)法在安全目標上獲得支撐，只能面向邊界外部和行為。事實(shí)上這也是傳統網(wǎng)絡(luò )安全最大的問(wèn)題所在，關(guān)鍵基礎設施之所以稱(chēng)為關(guān)鍵基礎設施，不是因為其網(wǎng)絡(luò )和主機多高級，多神秘，而是因為運行在這些服務(wù)器和網(wǎng)絡(luò )上的業(yè)務(wù)和數據具有關(guān)鍵性。而傳統網(wǎng)絡(luò )安全恰恰不關(guān)心關(guān)鍵基礎設施的真正靈魂所在。

3、默認邊界內部都是安全的

傳統邊界安全的眼睛始終是守在門(mén)外看門(mén)外，邊界內部默認是安全的。當然我們都知道，這種假設存在著(zhù)很大的缺陷，最為安全的機要局都存在著(zhù)間諜。

4、默認賬戶(hù)是安全的

傳統邊界安全默認賬戶(hù)都是安全的，只要通過(guò)了賬戶(hù)驗證就認為所有行為都是可靠的。事實(shí)上我們都知道賬戶(hù)盜用和劫持始終是安全最大的問(wèn)題之一。

5、邊界安全設備的處理能力天生不足

邊界安全設備作用在邊界上，性能承受力天生不足。邊界設備一般來(lái)說(shuō)其處理能力都比較有限，特別在嚴苛的業(yè)務(wù)約束條件下，其可做的事情并不多，已知威脅往往是其處理的主要內容。

6、以入侵行為特征為中心

前面說(shuō)了傳統邊界安全不認識安全目標和保護主體，事實(shí)上傳統邊界安全也不關(guān)心或者無(wú)法做到確定是誰(shuí)來(lái)訪(fǎng)問(wèn)，只能實(shí)現以貌取人。無(wú)法感知身份，事實(shí)上和不關(guān)心保護目標是一脈相承的，當你無(wú)法感知保護目標的時(shí)候，自然也就無(wú)法認知訪(fǎng)問(wèn)目標的身份。當保護目標和訪(fǎng)問(wèn)身份都無(wú)法準確感知的時(shí)候，行為就成為了傳統邊界安全的核心研究和防御目標。五花八門(mén)的海量特征庫，成為了傳統邊界安全最為明顯的特征。

7、假設邊界安全是可以容忍安全事件發(fā)生的

傳統邊界安全存在一個(gè)天然假設，保護的安全目標是可以被損傷的，是不會(huì )被入侵擊垮的。從這個(gè)假設出發(fā)，傳統邊界安全認可網(wǎng)絡(luò )安全的目標是降低被攻擊的概率或者是通過(guò)避免被已知危險攻擊來(lái)降低被攻擊概率。你可以認為傳統邊界安全的目標就是做一個(gè)好保安，一個(gè)負責任的保安，但是業(yè)主財富的安全并不僅僅依賴(lài)于保安。

8、強大的已知漏洞檢測和孱弱的未知威脅感知

傳統邊界安全往往對于已知漏洞具有較好的防御效果，但對于未知威脅則知之甚少。未知威脅和0day漏洞是傳統網(wǎng)絡(luò )安全的最大殺手，而所謂的0day漏洞等又基本掌控在入侵者手中。當入侵者采用組合攻擊或者0day攻擊的時(shí)候，傳統邊界安全往往無(wú)能為力。

傳統邊界安全具有很多不足，為了滿(mǎn)足業(yè)務(wù)訴求，近幾年新安全思想層出不窮。新安全是為了解決傳統網(wǎng)絡(luò )安全問(wèn)題而出生的，每家新安全公司都絞盡腦汁尋找新思路新方法，大家主要在以下幾個(gè)方面進(jìn)行努力，希望對于未知威脅可以進(jìn)行更好的防御：

1、對原有邊界安全產(chǎn)品做增強

因為邊界處理設備能力不足，可做事情不多，特別是對于安全密切相關(guān)的關(guān)聯(lián)分析和上下文分析能力基本無(wú)能為力。通過(guò)邊云（中心）架構，在邊上進(jìn)行常規檢測，在云（中心）進(jìn)行增強檢測和分析，彌補傳統邊界產(chǎn)品的不足。比如EDR、 SIEM、態(tài)勢感知、威脅情報等都屬于這方面的增強。

2、加強人機接口，增強人的干預能力

安全本質(zhì)上是人與人的對抗，只有人才能夠更好對抗人的入侵。人要做出反應，首先要可見(jiàn)，其次要可編排和可響應。為了支持更好的人機接口，安全可視化成為安全發(fā)展的一大方向。提供看見(jiàn)的能力，只有看得見(jiàn)，人才能做出明智的分析和響應。比如SOC，態(tài)勢感知，威脅狩獵，SOAR等等。

3、邊界消失之后重構邊界

傳統邊界安全的最大困境在于邊界的消失，并不是邊界安全變得不再重要，而是其生存基礎不再存在。只要我們可以重構邊界，邊界安全思想就可以重新煥發(fā)其生命力。SDP就在這里做出努力，軟件定義邊界。SDP是一種零信任架構實(shí)踐，可以廣泛的作用在身份主體和資產(chǎn)客體之上。

4、眼睛朝內，面向資產(chǎn)

關(guān)鍵基礎設施之所以成為關(guān)鍵基礎設施不在于設備，而在于運行在基礎設施上的業(yè)務(wù)和數據。當認清楚這點(diǎn)之后，安全自然就向資產(chǎn)邁進(jìn)了一大步：資產(chǎn)保護才是安全的終極目標。有了這個(gè)認知，自然也就不會(huì )在乎網(wǎng)絡(luò )內部是否有壞人，而是著(zhù)眼于確保資產(chǎn)安全。零信任架構自然而然就成為面向資產(chǎn)的安全保護的必然選擇甚至是唯一選擇。資產(chǎn)，身份，行為，三個(gè)基本安全要素之中，資產(chǎn)具有極為穩定的確定性，從而使其防御也具有很高的確定性。資產(chǎn)的不可見(jiàn)性，特別是數據的不可見(jiàn)性給面向資產(chǎn)的保護造成巨大挑戰，所以在面向資產(chǎn)的零信任架構中，治理會(huì )成為其核心內容和出發(fā)點(diǎn)，治理的目標是讓資產(chǎn)可見(jiàn)可視，讓風(fēng)險可見(jiàn)可視。

5、眼睛看遠，認清身份

在零信任架構中，身份成為不可缺少的核心要素。即使離開(kāi)零信任，安全身份也可以成為安全增強的利器。在資產(chǎn)，身份，行為，三個(gè)基本安全要素之中，身份具有辨別的困難性和相對確定性，具有很好的安全增強能力。無(wú)論是下一代防火墻還是UEBA都著(zhù)眼于身份這個(gè)因素的增強識別和分析之上。身份管理系統從安全誕生就開(kāi)始了，并不是配置了ldap等身份管理就可以眼睛看遠。要眼睛看遠，認清身份的核心在于讓身份貫穿始終，不會(huì )因為場(chǎng)景變更和上下文切換等干擾就能換個(gè)馬甲或者丟失身份信息。

6、沙盒和誘餌

無(wú)論是沙盒還是誘餌，都是聚焦在最為傳統的行為之上，提供了觀(guān)察行為確定性的一個(gè)媒介。沙盒提供了一個(gè)目標無(wú)傷害的行為觀(guān)測環(huán)境，通過(guò)真實(shí)觀(guān)測發(fā)生的傷害行為來(lái)確定行為是否安全。特別是由于運行在沙盒中，可以附加更多的感知措施來(lái)輔助判斷行為的前后相關(guān)性。著(zhù)名的fireeye就是在這個(gè)領(lǐng)域的佼佼者。

誘餌一般來(lái)說(shuō)有兩個(gè)基本目的：確定安全事件的發(fā)生，遲滯攻擊進(jìn)程以爭取響應時(shí)間。誘餌和沙盒一樣，可以附加更多的感知措施，獲得更多的入侵者活動(dòng)信息。更多的入侵相關(guān)信息和更多的響應時(shí)間，自然可以幫助防御方獲得更好的響應方案?？陀^(guān)來(lái)說(shuō)，誘餌應該成為任何安全解決方案的必要組成部分。

7、云安全和非信任環(huán)境

云重構了整個(gè)IT基礎架構，依賴(lài)于基礎架構的安全措施自然需要為云做整體變化。云天生沒(méi)有邊界，鄰居的好壞都無(wú)法選擇，用戶(hù)甚至連自己的業(yè)務(wù)和數據在哪里也不知道，也不知道是誰(shuí)在管。對于用戶(hù)來(lái)說(shuō)，這是一個(gè)完全的非信任環(huán)境，對于黑客來(lái)說(shuō)，這是一個(gè)打開(kāi)門(mén)的“金礦”。云安全是新安全的一個(gè)大品類(lèi)，幾乎涵蓋安全的方方面面，從安全理論到技術(shù)實(shí)現相比傳統安全都發(fā)生很大的變化。     

8、流動(dòng)過(guò)程中的安全

指令和數據一直在不斷的流動(dòng)，這從以前到現在都沒(méi)有發(fā)生變化，只是流動(dòng)的更多了更加頻繁了。不同于傳統IT環(huán)境的內部流動(dòng)，現在的指令和數據流動(dòng)發(fā)生在各個(gè)層面。流動(dòng)的本質(zhì)在于總是從安全受控環(huán)境流動(dòng)到非安全環(huán)境甚至于失控環(huán)境，可以認為任何流動(dòng)最終都會(huì )走向失控。失控總是會(huì )成為一個(gè)巨大的安全問(wèn)題，這不是傳統網(wǎng)絡(luò )安全的作用領(lǐng)域。內置安全、部署更多的觀(guān)測點(diǎn)、流動(dòng)追蹤和可視化是對抗流動(dòng)過(guò)程安全的基本方法。

9、應用安全和業(yè)務(wù)邏輯安全

任何應用程序總是會(huì )存在漏洞，必須承認這個(gè)是客觀(guān)存在的。我們也必須承認黑客總是會(huì )先于廠(chǎng)家發(fā)現漏洞并利用漏洞。如何保證應用程序和業(yè)務(wù)邏輯在存在漏洞的情況下安全的被使用，如何快速的通過(guò)虛擬補丁修復漏洞，這個(gè)對于安全來(lái)說(shuō)意義非凡。大量的安全公司在這里耕耘，比如更智能的WAF。

10、人是安全的最大挑戰

有一句話(huà)：安全的本質(zhì)是人的安全。所有學(xué)問(wèn)一旦涉及到人就會(huì )變得非常復雜，安全至今為止難成為一門(mén)真正的科學(xué)也是這個(gè)原因。人是理性和非理性的綜合體，很難琢磨。人幾乎是所有安全事件的發(fā)起者和操控者，如果無(wú)法在一定程度上解決人的安全，就很難說(shuō)安全有所進(jìn)展。