提到“安全三大件”你會想到什么?防病毒、入侵檢測、防火墻——沒錯,正是這“三大件”幫助人們筑起了一道道網(wǎng)絡(luò)安全的防線。曾幾何時,一個個惡意威脅都被這三條防線拒之于門外。而如今,在APT這類新型惡意攻擊和未知威脅面前,傳統(tǒng)的安全體系在變得破綻百出。
傳統(tǒng)安全體系的沒落
傳統(tǒng)安全體系呈現(xiàn)扁平化的結(jié)構(gòu),僅能進(jìn)行點(diǎn)對點(diǎn)或者某一局域?qū)用娴姆雷o(hù),無法應(yīng)對攻擊方式、攻擊維度更加豐富的新型APT類攻擊。傳統(tǒng)安全防御以問題為驅(qū)動,出一個問題解決一個問題,這就導(dǎo)致安全防護(hù)缺乏統(tǒng)一規(guī)劃。而且傳統(tǒng)安全體系里各家安全企業(yè)之間的產(chǎn)品很難聯(lián)動,面對新型惡意威脅時就無法形成合力,造成了防御體系上漏洞的出現(xiàn)。重安全產(chǎn)品、輕安全服務(wù)的模式,讓用戶過于單純依賴于產(chǎn)品,許多時候卻沒有使得安全產(chǎn)品發(fā)揮其最大效用。單純依靠安全產(chǎn)品的思想,使得面對新型惡意威脅時安全產(chǎn)品淪為了馬其諾防線。另外,由于安全制度建設(shè)的嚴(yán)重滯后,薄弱的安全意識正在“便利”惡意攻擊的發(fā)起,成為一個新的嚴(yán)峻問題。
總體而言,傳統(tǒng)安全體系存在技術(shù)與問題脫節(jié)、產(chǎn)品與產(chǎn)品脫節(jié)、項(xiàng)目與項(xiàng)目脫節(jié)、立法與執(zhí)法脫節(jié)、人腦與電腦脫節(jié)的問題。實(shí)際上,雖然電腦是死的但“人腦” 是活的,兩者相結(jié)合才能讓電腦發(fā)揮最大作用。
構(gòu)筑新型安全防御體系
那么新型安全防御體系應(yīng)該是怎樣的呢?新型安全防御體系應(yīng)該具有大數(shù)據(jù)技術(shù)(大數(shù)據(jù)分析、大數(shù)據(jù)存儲和審計(jì)),要能夠發(fā)現(xiàn)未知威脅(如未知木馬、未知漏洞等等),擁有云計(jì)算、虛擬化安全技術(shù),移動終端安全技術(shù)和攻擊審計(jì)與全過程回溯技術(shù)。
借助大數(shù)據(jù)存儲和審計(jì)不僅提高了數(shù)據(jù)存儲規(guī)模,更提高了檢索的效率,再加上大數(shù)據(jù)分析,任何對數(shù)據(jù)庫里數(shù)據(jù)的異常操作都能被及時發(fā)現(xiàn),并報警。面對未知威脅,傳統(tǒng)特征檢測技術(shù)已經(jīng)力不從心,而以FireEye、南京翰海源、360天眼為代表安全企業(yè)產(chǎn)品針對未知木馬、未知漏洞、未知惡意代碼的檢測技術(shù)則讓人們擁有了新的有效防御手段。蓬勃發(fā)展的云計(jì)算和虛擬化,帶來了新的技術(shù)發(fā)展方向,也引發(fā)了新的安全問題,同樣需要有效的新型安全防御解決方案。隨著移動終端數(shù)量開始超過PC,這意味著移動設(shè)備正在成為新的接入終端,而移動終端的安全防御卻還是一塊短板,這就造成了安全防御體系的木桶效應(yīng)。面對新型惡意威脅,攻擊回溯技術(shù)能夠通過回溯攻擊過程來發(fā)現(xiàn)系統(tǒng)所存在的漏洞,幫助建立更為嚴(yán)密的防御體系。
360企業(yè)安全高級安全咨詢經(jīng)理李博認(rèn)為“融合、開放、走向云端是未來安全產(chǎn)品的基本特征”。未來的安全產(chǎn)品將會有智能SOC平臺、APT類檢測產(chǎn)品、適用于云計(jì)算與虛擬化環(huán)境下的安全產(chǎn)品、移動終端安全產(chǎn)品、工業(yè)控制安全類產(chǎn)品、攻擊審計(jì)與全過程回溯類產(chǎn)品。大數(shù)據(jù)技術(shù)和未知威脅發(fā)現(xiàn)技術(shù)的成熟推動了智能SOC平臺的成熟,使其能夠針對新型惡意威脅發(fā)揮出更有效的力量。移動化的快速發(fā)展,使得BYOD類安全產(chǎn)品正在成為新興的主流?,F(xiàn)今工業(yè)基礎(chǔ)設(shè)施已經(jīng)成為惡意攻擊的主要目標(biāo),所以針對工業(yè)控制系統(tǒng)的安全產(chǎn)品正在成為發(fā)展的重點(diǎn)。“相信在不久的未來,安全項(xiàng)目將作為應(yīng)用系統(tǒng)項(xiàng)目的基礎(chǔ)進(jìn)行統(tǒng)一規(guī)劃、實(shí)現(xiàn)同期建設(shè)。當(dāng)前的安全投入大多不足10%,相信未來安全投入在整體項(xiàng)目里的比重會得以大大提高。安全并非一成不變,安全解決方案中為適配應(yīng)用系統(tǒng)的高度定制化將成為常態(tài)。安全能力的驗(yàn)收將對應(yīng)用系統(tǒng)的驗(yàn)收具有一票否決權(quán)。”
聯(lián)動防御APT攻擊
在新型惡意威脅里,APT類攻擊最為難以發(fā)現(xiàn)、防御。在APT攻擊的目標(biāo)鎖定和信息采集階段,從技術(shù)上難以防范,需要從管理制度上進(jìn)行防御。而在APT攻擊的滲透階段,可以通過落地前檢測、落地檢測、運(yùn)行時檢測實(shí)施防御,這就涉及到了網(wǎng)絡(luò)邊界檢測、終端檢測。FireEye主要通過沙箱技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)邊界的檢測,而Bit9則主要集中在落地時的終端檢測。在攻擊對抗階段防御變得更為困難,需要運(yùn)行時進(jìn)行主動防御,實(shí)現(xiàn)異常網(wǎng)絡(luò)訪問行為的控制,并通過大數(shù)據(jù)挖掘發(fā)現(xiàn)可疑通信。據(jù)李博介紹,360的天眼和天擎實(shí)現(xiàn)了終端和網(wǎng)絡(luò)端的聯(lián)通,能夠?qū)PT類攻擊進(jìn)行聯(lián)動防御。
防御需要立體多維大融合
面對從不同層面發(fā)起的惡意攻擊,同樣需要構(gòu)建多維度、多層次的防御架構(gòu),以全面融合的安全體系共享攻擊信息,對惡意攻擊實(shí)施層層阻擊。
目前美國的安全防御體系就是要實(shí)現(xiàn)網(wǎng)絡(luò)互動、網(wǎng)絡(luò)互連,將安全廠商的產(chǎn)品以及用戶的安全產(chǎn)品完全打通建立互連,實(shí)現(xiàn)人機(jī)相結(jié)合、安全產(chǎn)品相結(jié)合,形成一個龐大的安全網(wǎng)格,建立起有效的立體安全防御體系。
這里我們以360的云加端加邊界的縱深立體防御體系為例來描述下立體多維大融合安全防御體系是如何攔截惡意攻擊的。
在網(wǎng)絡(luò)邊界處,360天眼與傳統(tǒng)防火墻、交換機(jī)實(shí)現(xiàn)聯(lián)動,當(dāng)360天眼發(fā)現(xiàn)APT攻擊時,會實(shí)時通知防火墻做出防御動作,進(jìn)行第一道防線的攔截。同時,360天眼還會與360天擎進(jìn)行聯(lián)動,將所獲取的惡意攻擊信息傳遞給360天擎,讓360天擎能夠在終端建立縱深防線。而360天機(jī)公有云和私有云則為整個防御體系提供了數(shù)據(jù)庫支撐。目前,360已經(jīng)與網(wǎng)神防火墻實(shí)現(xiàn)了互動。再加上360的安全服務(wù),從多維度為用戶建立起一個全面融合的安全防御體系。
惡意威脅在以多樣的方式發(fā)起攻擊,這就需要安全解決方案打破常規(guī)跳出框框,同樣在不同層面建立防線,通過信息共享實(shí)現(xiàn)防線的整體融合,盡量縮小防御漏洞,對惡意攻擊形成防御合力,以整體的力量抵御來勢洶洶的各類攻擊。