隨著端對(duì)端加密日益受到重視以及人工智能(AI)的崛起,企業(yè)的安全產(chǎn)品需與時(shí)俱進(jìn)跟上當(dāng)今的威脅形勢(shì)。雖然下一代防火墻(NGFW)仍能為企業(yè)安全解決方案提供關(guān)鍵部件,但卻不會(huì)再提供“一層保所有”的整體解決方案?,F(xiàn)如今,黑客知道大多數(shù)企業(yè)具有NGFW,因此會(huì)專注應(yīng)用層的攻擊,并利用傳輸層安全協(xié)議(TLS)混淆連接。這樣一來(lái),黑客就會(huì)躲過(guò)NGFW提供的防御,企業(yè)需要在邊界網(wǎng)關(guān)使用代理連接或?qū)踩乱浦炼它c(diǎn),從而確保安全。
黑客不斷采用人工智能使用從被黑電腦、欺詐云賬號(hào)或開(kāi)源軟件竊取的計(jì)算時(shí)鐘(Compute Cycle),例如TensorFlow或OpenAI,構(gòu)建AI入侵平臺(tái)不再需要博士級(jí)的專業(yè)知識(shí)或大筆資金。有這樣的優(yōu)勢(shì)加持,網(wǎng)絡(luò)犯罪分子不必花費(fèi)數(shù)天或數(shù)周時(shí)間進(jìn)行手動(dòng)探測(cè)和分析來(lái)實(shí)施應(yīng)用層的攻擊。
借助AI,先前復(fù)雜、耗時(shí)的攻擊現(xiàn)如今實(shí)施起來(lái)就如同執(zhí)行Nmap掃描,之后在網(wǎng)絡(luò)層CVE數(shù)據(jù)庫(kù)中運(yùn)行已知漏洞利用一樣簡(jiǎn)單。NGFW提供網(wǎng)絡(luò)層保護(hù),阻止以往的攻擊。而黑客已經(jīng)在使用應(yīng)用安全掃描器查找漏洞,例如OWASP Top 10,但掃描輸出需要大量人力來(lái)評(píng)估大量的誤報(bào)。
網(wǎng)絡(luò)防火墻和黑客攻擊的發(fā)展情況早期的防火墻只會(huì)提供簡(jiǎn)單的IP地址、協(xié)議和端口過(guò)濾的訪問(wèn)列表。而NGFW支持狀態(tài)封包檢測(cè)(簡(jiǎn)稱SPI),并添加了許多其它功能以提供附加安全。
防火墻一般使用超過(guò)五年,黑客會(huì)利用NGFW的廣泛部署通過(guò)HTTPS頭的(TCP)/443網(wǎng)頁(yè)瀏覽端口將流量發(fā)送出站,因?yàn)檫@類流量可混淆黑客的通信與員工訪問(wèn)大多數(shù)網(wǎng)站的必需通信。由于HTTPS是端對(duì)端加密協(xié)議,再加上出于對(duì)業(yè)務(wù)效率的考慮,幾乎每個(gè)企業(yè)都會(huì)允許出站。在許多情況下,黑客會(huì)通過(guò)被劫持的域名發(fā)送通信,以避免觸發(fā)DNS黑名單擊敗另一個(gè)安全層。安全廠商提供Web應(yīng)用防火墻(簡(jiǎn)稱WAF)代理并掃描連接。由于PCI-DSS 6.6 要求,WAF部署主要保護(hù)面向公眾的網(wǎng)站,尤其電子商務(wù)網(wǎng)站。
邊界安全不夠黑客通過(guò)路過(guò)式下載、網(wǎng)絡(luò)釣魚(yú)和其它攻擊利用企業(yè)員工進(jìn)入網(wǎng)絡(luò)。大量企業(yè)和行業(yè)未在內(nèi)網(wǎng)中部署高級(jí)保護(hù),黑客一旦進(jìn)入便能快速拓寬范圍并控制網(wǎng)絡(luò)。黑客一旦在企業(yè)環(huán)境拓寬活動(dòng),清除工作會(huì)相當(dāng)耗時(shí)、耗資。安全專家將這類黑客構(gòu)成的威脅稱為高級(jí)持續(xù)性威脅(簡(jiǎn)稱APT)。使用被劫持的端點(diǎn),黑客可在不安全的互聯(lián)網(wǎng)連接上通過(guò)命令與控制通道推進(jìn)同步攻擊。員工通常會(huì)通過(guò)開(kāi)放的WiFi熱點(diǎn)或家用網(wǎng)絡(luò)使用筆記本電腦,并未部署高級(jí)安全系統(tǒng)。黑客軟件將通信返回至控制臺(tái)之前,可能會(huì)潛伏數(shù)天或數(shù)周。
隨著攻擊經(jīng)過(guò)數(shù)天、甚至數(shù)周的蔓延,安全分析師將無(wú)法關(guān)聯(lián)事件,通過(guò)“眼不離屏”的入侵檢測(cè)方式亦無(wú)法識(shí)別攻擊,除非安全信息事件管理(SIEM)平臺(tái)SOC能提供高級(jí)關(guān)聯(lián)。
基于主機(jī)的安全誤報(bào)會(huì)挫敗員工安全團(tuán)隊(duì)希望提供深度防御,發(fā)出警報(bào)或直接阻止攻擊?;谥鳈C(jī)的安全軟件能提供重要的層,通過(guò)強(qiáng)大的保護(hù)限制攻擊者的能力和速度。
微軟Windows和蘋(píng)果macOS具備應(yīng)當(dāng)啟用或由第三方解決方案取代的內(nèi)置型數(shù)據(jù)包,因?yàn)榛谥鳈C(jī)的安全帶來(lái)的風(fēng)險(xiǎn)相當(dāng)大。高級(jí)安全設(shè)置將觸發(fā)誤報(bào),從而影響員工的效率。低安全設(shè)置會(huì)錯(cuò)過(guò)真正的入侵,導(dǎo)致漏報(bào),黑客就可借機(jī)可利用系統(tǒng)。
企業(yè)努力提高員工的參與度和效率,基于主機(jī)的安全系統(tǒng)通常會(huì)提供最少的配置或一起被禁用。隨著業(yè)務(wù)線領(lǐng)導(dǎo)與首席戰(zhàn)略官辦公室之間的分歧,大多數(shù)組織機(jī)構(gòu)支持業(yè)務(wù)部門(mén),給予安全團(tuán)隊(duì)足夠的時(shí)間自定義調(diào)整單個(gè)系統(tǒng),或?qū)⒄`報(bào)、漏報(bào)降到最低限度,這樣一來(lái),要將基于主機(jī)的安全變成“一層保所有”的解決方案不太可能。
以牙還牙:AI對(duì)抗AI要在經(jīng)濟(jì)承受范圍內(nèi)阻止AI黑客,企業(yè)需要開(kāi)始尋找并實(shí)現(xiàn)自己的AI平臺(tái)來(lái)監(jiān)控異常,而不是繼續(xù)依靠“眼不離屏”的安全監(jiān)控分析師團(tuán)隊(duì)。許多安全信息事件管理和日志監(jiān)控解決方案新增了基本的AI功能。將數(shù)據(jù)注入系統(tǒng)很關(guān)鍵,因?yàn)锳I無(wú)法分析它沒(méi)掌握的信息。
例如,如果員工拜訪客戶或度假時(shí),流量則不應(yīng)當(dāng)來(lái)自辦公室。雖然企業(yè)無(wú)法竊取計(jì)算時(shí)鐘創(chuàng)建免費(fèi)的AI平臺(tái),但可以使用谷歌、亞馬遜、微軟提供的一站式服務(wù)。想購(gòu)買(mǎi)商業(yè)解決方案的企業(yè)可以考慮用AI支持的安全運(yùn)作與分析平臺(tái)架構(gòu)(SOAPA)替代SIEM。
SOAPA實(shí)例:
此前,E安全曾發(fā)表黑客·大數(shù)據(jù)·SOAPA 這篇文章,其中提到國(guó)內(nèi)首家定位于SOAPA(安全運(yùn)營(yíng)與分析平臺(tái)架構(gòu))的安全公司,蘭云科技,本月初,這家于2016年成立的公司A輪融資5000萬(wàn)。而基于AI支持的安全運(yùn)營(yíng)與分析平臺(tái)架構(gòu)(SOAPA)替代SIEM也正是市場(chǎng)所需。