惠普姚翔:推動智能防御破譯黑客“生存法則”

責任編輯:editor004

作者:陳廣成

2015-01-05 11:04:47

摘自:ZDNet至頂網

姚翔舉例到,“一名員工進入公司,由于沒有門禁卡,保安會把其他攔住,這是網絡層的防護,在計算機上是匹配端口號。姚翔解讀了整個黑客生態(tài)系統(tǒng),第一是研究攻擊對象,探查企業(yè)網絡是怎樣的,企業(yè)人員構成、營業(yè)和業(yè)務是怎樣的,會有專門的黑客專注于做這些事情。

網絡安全威脅從來沒有停歇,并且愈演愈烈。惠普企業(yè)安全產品北亞區(qū)總經理姚翔近日在接受媒體采訪時披露了幾個足夠引起業(yè)界重視的數據,企業(yè)投資在網絡安全上的成本逐年上升,到最新一年的統(tǒng)計,全球已經投入了460億美元的資金。即使逐年加大安全投入,可是發(fā)生的成功安全入侵的數量反而在過去一年增加了20%。自從2010年起,企業(yè)花費在解決入侵的時間上漲了71%。

惠普姚翔:推動智能防御破譯黑客“生存法則”

惠普公司企業(yè)安全產品北亞區(qū)總經理姚翔

應用層安全危機

在眾多的攻擊中,84%的入侵發(fā)生在應用層,姚翔稱。入侵有很多的方式,以前被人所熟知的是網絡層的安全威脅。因為網絡無孔不入,通過網絡可以訪問很多數據內容,但隨著用戶在網絡上的防范意識越來越強,很多攻擊開始避開網絡層直接到應用層。

姚翔舉例到,“一名員工進入公司,由于沒有門禁卡,保安會把其他攔住,這是網絡層的防護,在計算機上是匹配端口號。但當有一天一個黑客拿著這名員工的門禁卡進公司,那么保安會做兩件事情,第一是識別這是不是一個有效的門禁卡,第二要識別門禁卡上的照片以判斷是不是本人佩戴。第二件事情就是應用層的安全,而現(xiàn)狀是目前很多公司沒有充分關注到這一安全威脅。”

拿微軟來說,很多人都知道它的“周二補丁日”,微軟的軟件開發(fā)在業(yè)界已經是足夠成熟的,然而仍周期性打補丁,更不用說一些集成商定制開發(fā)、外包或內部開發(fā)的應用軟件存在的漏洞了。

過去構建應用系統(tǒng)的時候,不管是電信、政府、銀行在交付軟件的時候都會做測試,測試軟件的性能、功能,以及業(yè)務邏輯等,卻很少有企業(yè)做安全測試。

之所以出現(xiàn)這樣的狀況,姚翔解釋稱,“一是沒有技術手段做安全測試,二是應用安全不被重視,大部分開發(fā)的應用都是以業(yè)務為導向,做功能測試,測試業(yè)務邏輯,殊不知黑客也正在利用這些業(yè)務邏輯做他希望做的事情。”

應用安全一直是惠普重點關注的領域,例如代碼掃描、滲透測試等,如今為了在應用程序層進一步降低風險,惠普新推出了HP Application Defender,這可以看做成在線監(jiān)控的應用安全,它比滲透看到的內容更深入。

“HP Application Defender是在應用服務器的內部或者是在應用的本身從內部去觀察所有的交易、訪問,互相之間的關系是不是會出現(xiàn)一種可疑的、類攻擊方式的請求,從這里面進行識別。比較重要的一點是,它可以對某些識別的高可疑的請求進行阻斷,在應用層進行阻斷。”姚翔說。

Application Defender提供了前瞻的洞察力,它按漏洞查看具體的事件觸發(fā)器并給出堆棧位置跟蹤信息,按照風險分組、事件時間、漏洞分類和嚴重性來過濾漏洞活動,單獨或者按類別防護漏洞事件,為軟件工程打包事件屬性。

姚翔給應用開發(fā)的建議是,在應用驗收前加上代碼掃描的環(huán)節(jié),作為整體驗收的最后一步。“我們做過一個統(tǒng)計,在前期做設計和最后上線的時候,發(fā)現(xiàn)同樣的漏洞花的成本,在上線以后是前期的30倍。”

安全合作聯(lián)盟破解黑客生態(tài)系統(tǒng)

在黑客的世界是有分工的,有人專注于社交工程的研究、有人專注于發(fā)現(xiàn)數據,他們互相之間的關系和交易是用金錢衡量的。

姚翔解讀了整個黑客生態(tài)系統(tǒng),第一是研究攻擊對象,探查企業(yè)網絡是怎樣的,企業(yè)人員構成、營業(yè)和業(yè)務是怎樣的,會有專門的黑客專注于做這些事情。

第二部分叫滲入,怎么樣從外部進入到企業(yè)內部,通過蠕蟲的方式操控在企業(yè)內部的某一臺設備。

第三是發(fā)現(xiàn),滲入以后有一個工程師的設備終端被感染了,怎么樣通過他找到公司的CEO、研發(fā)主管、財務主管的數據?因為這時候所有的企業(yè)都認為這是一個內部結構而不是一個外部結構,這是邊界以內的東西。

第四步是捕獲,黑客發(fā)現(xiàn)CFO每個月的月底30、31日兩天有需要發(fā)布的財務數據是最敏感的,而那時候就是最有價值的時候,所以黑客就要在那個時候抓到那個數據和文件。

最后是滲出,往往有一些企業(yè)特別是成熟企業(yè),他們在整個體系中已經部署了一些解決方案來防范滲出這個問題,所以滲出的技術也是非常重要的一個技術。

黑客完成一次攻擊往往是精誠合作,為了達到目的,他們不惜花費巨大的時間成本。姚翔指出,從2013年開始,黑客平均入侵的時間是243天。這樣的攻擊方式,受害企業(yè)不會在第二天就發(fā)現(xiàn),黑客沒有采取任何手段,243天才采取手段,前面242天在做什么?做研究、滲入、發(fā)現(xiàn)和捕獲,他們沒有任何的敏感數據出去。當前面四步已經做得很完整的時候,最后一步是沒有辦法阻止的。

“現(xiàn)在惠普已經跟一些廠家形成聯(lián)盟,這個聯(lián)盟里包括了安全智能分析的共享,因為今天惠普發(fā)現(xiàn)了一個新的安全威脅,假如這不是惠普的產品能夠解決的,我們會把這個數據分享到這個聯(lián)盟中其他的友商。”姚翔說。

產品層面上,惠普最新發(fā)布的TippingPoint Advanced Threat Appliance (ATA)就是和趨勢科技合作的成果,它為企業(yè)提供了增強的防御措施,幫助其滅活最初的“第一傳染源”,并防止隨后的橫向擴散。新HP TippingPoint ATA系列產品把這些高級威脅功能與HP TippingPoint Digital Vaccine (DV) Labs過濾編寫專業(yè)知識整合到一起,以便進一步加強保護。

為應對高級持續(xù)性威脅增強大數據安全引擎

上面我們提到了黑客為達成攻擊目的,制定了流程化的攻擊模式,往往在最后一刻企業(yè)才發(fā)現(xiàn)受到攻擊。如何在攻擊發(fā)生的那一刻起,就發(fā)現(xiàn)和消除隱患,哪怕是在攻擊發(fā)生后,能夠快速將損失降到最低,對企業(yè)來說也并不容易。

惠普推出了HP ArcSight Logger 6.0,它是HP ArcSight安全信息與事件管理(SIEM)產品組合的核心組件,可以視為大數據安全的引擎。因為新Logger 6.0將性能提高了10倍,數據處理提高了8倍。

6.0版本將數據的索引達到了8TB,如果是壓縮了以后可以達到80TB的數據檢索。這意味著當企業(yè)去關聯(lián)整個日志分析的數據的時候,可以擴展大量的數據在整個的體系中進行關聯(lián)。它的高性能意味著超快取證調查,在幾秒鐘內可搜索1.6 PB數據。

通過分析更多數據,Logger 6.0能夠幫助企業(yè)做出明智決策,破解黑客“來去無蹤”。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號