論封閉網絡的安全

這兩天Heart bleed漏洞在互聯網上掀起了軒然巨波，作為基礎安全軟件的重大漏洞，影響深遠，各大互聯網公司、甲方、乙方、白帽子甚至央視等媒體全都行動起來，同仇敵愾，競相測試、打補丁、升級、報道宣傳......，大家忙得不亦樂乎，給廣大網民很好地科普了一把信息安全。

與沸沸揚揚的互聯網安全相比，物理隔絕的企業、政府等封閉網絡似乎顯得靜悄悄，關心和了解該漏洞的人估計屈指可數，采取的行動也一定沒有互聯網來得熱烈。因為封閉，表面上沒有亂七八糟的威脅，也沒有技藝高超的黑帽子和白帽子測試帶來的壓力，封閉網絡的網管們一定沒有動力加班熬夜在第一時間補上漏洞。而這種情況，也絕不是第一次出現。

不同于開放的互聯網，物理隔絕的封閉網絡沒有那么多的用戶、沒有那么多的應用、沒有討厭的黑帽子和白帽子。然而，這并不代表封閉網絡高枕無憂，Openssl作為基礎的安全庫，很可能在操作系統、web應用、設備遠程配置、甚至應用安全網關中廣泛涉及。由于缺乏在光天化日之下的考驗，缺乏與***者的共同進化，封閉網絡存在的安全漏洞與開放網絡相比一定過之而無不及。

因此，對于封閉網絡的安全，首先需要有可控的“邪惡”力量對其內部進行***性測試，就像貓和老鼠的共同進化一樣，封閉網絡的防護也不能沒有“天敵”。至少，封閉網絡應該對照已公開的漏洞，對其進行彌補，這是封閉網絡安全的底線。遺憾的是，現實中，有的封閉網絡可能連這條底線都無法滿足，卻要追求所謂的“自主可控”，殊不知，缺乏審查和考驗的私有設計更不值得信任。

除了在威脅發作第一時間打補丁、堵漏洞、升級特征庫以外，封閉網絡的安全還應該注重基于白名單的控制方式，如對用戶進行認證授權、對終端進行準入控制、對應用進行分發管理......，非白即黑，沒被允許的即默認禁止。這也是許多封閉網絡通常所采用的。然而，這里面仍然存在著兩大難題。首先是白名單的管理問題，終端和用戶的白名單尚可解決，難得的是應用，現代操作系統之上的應用可謂汗牛充棟，一旦封閉網絡的規模和用戶大到一定程度，幾乎無法對應用實施白名單，這也不是技術上的難題，難得是安全與業務可用的平衡。更難的還是白名單的判斷問題，何為白？合法用戶、合法終端、合法應用真的就值得信任嗎？一次判斷以后是否就可以高枕無憂，這里的關鍵還在與對其異常的持續檢測，內部人員作惡、合法終端和應用帶有的0day，特別是在APT的大背景下，高價值的封閉網絡幾乎難以幸免***，這更需要對在封閉網絡中獲取各種信息進行精準分析。DARPA的主動認證項目根據用戶內部網絡中的行為如敲鍵方式、軟件操作習慣、甚至在面對異常時的反映來對用戶進行持續的認證，甚至有望取代CAC認證卡和口令，這應該是封閉網絡安全的發展方向。

最后，由于漏洞總是客觀存在，封閉網絡作為高價值目標，難以做到防護的萬無一失，轉而應該借鑒可靠性的一些設計思想，瞄準在遭受***后關鍵業務仍然可用為目標，Mitre將這方面的設計思想稱之為網絡空間彈性Cyber Resiliency。冗余、跳變、關鍵系統的分割、沙盒、對***的重定向、非持續的提供服務，都是具體的彈性機制。這方面的研究且聽下回分解。