傳統安防能否適應現代網(wǎng)絡(luò )安全攻擊

　　近年來(lái)，云計算、大數據、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應用的普及，“互聯(lián)網(wǎng)+”趨勢下傳統產(chǎn)品向互聯(lián)網(wǎng)轉型，使得網(wǎng)絡(luò )已經(jīng)成為老百姓生活不可或缺的一部分;而另一方面，由于0—day漏洞潛在的巨大經(jīng)濟利益，黑色產(chǎn)業(yè)鏈逐漸形成并發(fā)展壯大，網(wǎng)絡(luò )攻擊已從早期的泛攻擊演變?yōu)槔?—day漏洞獲取重大經(jīng)濟、軍事、政治利益為目標的針對性攻擊。這使得網(wǎng)絡(luò )成為有利可圖的場(chǎng)所，甚至已成為除海洋、陸地、天空、太空之外的第五戰略空間。

　　據CNCERT統計，僅2014年，中國就有1108萬(wàn)臺主機感染成僵尸主機，這些僵尸主機結合起來(lái)的能量猶如原子彈一樣，足以摧毀任何一個(gè)目標網(wǎng)絡(luò )。

　　那么，為什么網(wǎng)絡(luò )安全問(wèn)題變得如此突出?隨著(zhù)時(shí)代的發(fā)展，在網(wǎng)絡(luò )安全維護上應該做什么樣的變革?

　　傳統安防已不適應現代攻擊

　　2015年的網(wǎng)絡(luò )江湖依然不平靜。2月27日，主營(yíng)安防產(chǎn)品的某公司的生產(chǎn)監控設備被曝嚴重的安全隱患，部分設備已被境外IP地址控制。4月22日，重慶、上海、山西、沈陽(yáng)、貴州、河南等超30個(gè)省市衛生和社保系統出現大量高危漏洞，數千萬(wàn)用戶(hù)的社保信息可能因此被泄露。5月21日，有專(zhuān)業(yè)級別的網(wǎng)友披露中國人壽廣東分公司系統存在高危漏洞，10萬(wàn)客戶(hù)信息存在隨時(shí)大面積泄露的可能性。

　　縱觀(guān)近十幾年來(lái)的網(wǎng)絡(luò )世界，網(wǎng)絡(luò )安全建設似乎陷入了一個(gè)怪圈：國內安全廠(chǎng)商如雨后春筍般涌現并崛起，二十幾大類(lèi)數百種安全產(chǎn)品覆蓋面不可謂不全，可網(wǎng)絡(luò )依然很脆弱，安全事件仍然層出不窮，為什么會(huì )出現這么多的問(wèn)題?

　　行業(yè)大咖寧家駿認為，問(wèn)題在于傳統的安全防護體系框架上。他介紹，傳統安防體系有兩個(gè)特點(diǎn)：一是基于邊界的防護，每個(gè)邊界都隔離出一個(gè)相對獨立的軍事區域，防御的中心任務(wù)就是保障邊界牢不可破;其次是基于已知特征的策略防護，假設所有的威脅都是已知的，在事前就可以通過(guò)預制的策略進(jìn)行控制。

　　“簡(jiǎn)而言之，傳統安全實(shí)際上是基于靜態(tài)、被動(dòng)、防御的作戰思維。隨著(zhù)網(wǎng)絡(luò )的發(fā)展，網(wǎng)絡(luò )攻擊也與時(shí)俱進(jìn)發(fā)生了新的變化。首先，隨著(zhù)移動(dòng)互聯(lián)網(wǎng)、BYOD、虛擬化等技術(shù)的發(fā)展，傳統意義的邊界已經(jīng)不復存在;其次，攻擊不再是秀肌肉炫耀式的攻擊，更多的是以政治、經(jīng)濟、軍事等為目的的有組織的針對性攻擊，攻擊中越來(lái)越多的采用0—day等未知威脅、高級威脅。顯然，傳統網(wǎng)絡(luò )安全防護體系已無(wú)法適應這一變化。”寧家駿說(shuō)。

　　轉變思路變防御為對抗

　　某公司產(chǎn)品負責人周永剛介紹，通過(guò)對歷史大量攻擊案例的分析，可以將攻擊大致分為三個(gè)階段：遭受入侵，內部滲透，信息竊取。

　　“每一次的入侵滲透，都會(huì )有目標偵測、攻擊工具使用、漏洞利用、惡意軟件植入等多個(gè)環(huán)節。由于0—day等未知威脅的利用，初始入侵的成功率越來(lái)越高，一旦入侵成功后，入侵者將找到一個(gè)支撐點(diǎn)，通過(guò)這個(gè)支撐點(diǎn)再逐漸進(jìn)行內部滲透，繼續尋找其他支撐點(diǎn)，直至找到攻擊目標，然后進(jìn)行數據的收集和竊取。在此過(guò)程中，一個(gè)個(gè)的支撐點(diǎn)成為攻擊者一層層的跳板，最終得以成功。因此發(fā)現這些支撐點(diǎn)是關(guān)鍵。”周永剛說(shuō)，“我們發(fā)現，這些支撐點(diǎn)在滲透過(guò)程中，將產(chǎn)生不少異常行為，通過(guò)對這些異常行為的分析，就可以發(fā)現這些支撐點(diǎn)，從而找到安全隱患，成為解決問(wèn)題的關(guān)鍵。”

　　最近，基于下一代網(wǎng)絡(luò )安全架構和大數據驅動(dòng)的威脅情報方法論，某公司推出下一代網(wǎng)絡(luò )威脅感知系統——慧眼云。一方面是通過(guò)云和大數據技術(shù)構建了威脅情報系統，另一方面是利用異常行為識別、機器學(xué)習等技術(shù)，主動(dòng)、快速、持續的發(fā)現網(wǎng)絡(luò )中存在的問(wèn)題主機，也就是失陷主機。找到了這些失陷主機，再通過(guò)大數據技術(shù)進(jìn)行攻擊溯源，還原失陷全過(guò)程，就可以在沒(méi)有明顯行為特征、沒(méi)有檢測規則的情況下準確鎖定網(wǎng)絡(luò )中的風(fēng)險點(diǎn)或風(fēng)險鏈條，從而將安全隱患消滅在萌芽狀態(tài)。

　　構建主動(dòng)安防框架系統

　　網(wǎng)絡(luò )入侵與防守實(shí)際上就是一場(chǎng)魔與道的競賽，魔出于利益驅動(dòng)總是能領(lǐng)跑一步，未知威脅永遠存在，要贏(yíng)得這場(chǎng)魔道之爭，道就必須要做到領(lǐng)先——徹底打破舊的安防體系，從根本上進(jìn)行突破。

　　寧家駿說(shuō)：“這里有兩個(gè)關(guān)鍵詞，分別是‘數據’和‘跟蹤’。數據是預測的基礎，只有獲得足夠的數據源才有可能進(jìn)行多維度的分析;跟蹤是數據的組織和處理方式，不僅僅是簡(jiǎn)單的時(shí)間維度上的數據組織和歸類(lèi)，而且是全方位、多角度對海量數據進(jìn)行深度挖掘、關(guān)聯(lián)和聚合，最終呈現出的結果是必然性更高的預測——威脅情報。”

　　周永剛介紹，慧眼云的失陷主機通過(guò)一張二維圖形進(jìn)行全局的分布展示，基于“確定性指數”和“威脅性指數”兩個(gè)維度劃定不同的風(fēng)險級別區別，從而給出不同主機的風(fēng)險級別。當主機分布在中度風(fēng)險區域時(shí)，處于預警狀態(tài)，提醒客戶(hù)需要重點(diǎn)對這部分主機進(jìn)一步跟蹤分析。當主機分布在高度風(fēng)險區域時(shí)，說(shuō)明需要立刻采取措施，否則有可能產(chǎn)生不可估量的損失。

　　除了“失陷主機”之外，該公司還提供了一套大數據搜索工具，幫助安全人員進(jìn)行快速的事件定位和回溯?；诳蛻?hù)的業(yè)務(wù)場(chǎng)景，通過(guò)對網(wǎng)絡(luò )行為的大數據分析，能夠自適應的建模出客戶(hù)當前業(yè)務(wù)下的安全威脅模型，從而更有針對性的發(fā)現網(wǎng)絡(luò )中存在的異常，提高安全等級。