傳統(tǒng)安防能否適應(yīng)現(xiàn)代網(wǎng)絡(luò)信息安全攻擊

近年來，云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的普及，“互聯(lián)網(wǎng)+”趨勢下傳統(tǒng)產(chǎn)品向互聯(lián)網(wǎng)轉(zhuǎn)型，使得網(wǎng)絡(luò)已經(jīng)成為老百姓生活不可或缺的一部分;而另一方面，由于0—day漏洞潛在的巨大經(jīng)濟利益，黑色產(chǎn)業(yè)鏈逐漸形成并發(fā)展壯大，網(wǎng)絡(luò)攻擊已從早期的泛攻擊演變?yōu)槔?—day漏洞獲取重大經(jīng)濟、軍事、政治利益為目標的針對性攻擊。這使得網(wǎng)絡(luò)成為有利可圖的場所，甚至已成為除海洋、陸地、天空、太空之外的第五戰(zhàn)略空間。

據(jù)CNCERT統(tǒng)計，僅2014年，中國就有1108萬臺主機感染成僵尸主機，這些僵尸主機結(jié)合起來的能量猶如原子彈一樣，足以摧毀任何一個目標網(wǎng)絡(luò)。

那么，為什么網(wǎng)絡(luò)安全問題變得如此突出?隨著時代的發(fā)展，在網(wǎng)絡(luò)安全維護上應(yīng)該做什么樣的變革?

傳統(tǒng)安防已不適應(yīng)現(xiàn)代攻擊

2015年的網(wǎng)絡(luò)江湖依然不平靜。2月27日，主營安防產(chǎn)品的某公司的生產(chǎn)監(jiān)控設(shè)備被曝嚴重的安全隱患，部分設(shè)備已被境外IP地址控制。4月22日，重慶、上海、山西、沈陽、貴州、河南等超30個省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬用戶的社保信息可能因此被泄露。5月21日，有專業(yè)級別的網(wǎng)友披露中國人壽廣東分公司系統(tǒng)存在高危漏洞，10萬客戶信息存在隨時大面積泄露的可能性。

縱觀近十幾年來的網(wǎng)絡(luò)世界，網(wǎng)絡(luò)安全建設(shè)似乎陷入了一個怪圈：國內(nèi)安全廠商如雨后春筍般涌現(xiàn)并崛起，二十幾大類數(shù)百種安全產(chǎn)品覆蓋面不可謂不全，可網(wǎng)絡(luò)依然很脆弱，安全事件仍然層出不窮，為什么會出現(xiàn)這么多的問題？

行業(yè)大咖寧家駿認為，問題在于傳統(tǒng)的安全防護體系框架上。他介紹，傳統(tǒng)安防體系有兩個特點：一是基于邊界的防護，每個邊界都隔離出一個相對獨立的軍事區(qū)域，防御的中心任務(wù)就是保障邊界牢不可破；其次是基于已知特征的策略防護，假設(shè)所有的威脅都是已知的，在事前就可以通過預(yù)制的策略進行控制。

“簡而言之，傳統(tǒng)安全實際上是基于靜態(tài)、被動、防御的作戰(zhàn)思維。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊也與時俱進發(fā)生了新的變化。首先，隨著移動互聯(lián)網(wǎng)、BYOD、虛擬化等技術(shù)的發(fā)展，傳統(tǒng)意義的邊界已經(jīng)不復(fù)存在;其次，攻擊不再是秀肌肉炫耀式的攻擊，更多的是以政治、經(jīng)濟、軍事等為目的的有組織的針對性攻擊，攻擊中越來越多的采用0—day等未知威脅、高級威脅。顯然，傳統(tǒng)網(wǎng)絡(luò)安全防護體系已無法適應(yīng)這一變化。”寧家駿說。

轉(zhuǎn)變思路變防御為對抗

某公司產(chǎn)品負責(zé)人周永剛介紹，通過對歷史大量攻擊案例的分析，可以將攻擊大致分為三個階段：遭受入侵，內(nèi)部滲透，信息竊取。

“每一次的入侵滲透，都會有目標偵測、攻擊工具使用、漏洞利用、惡意軟件植入等多個環(huán)節(jié)。由于0—day等未知威脅的利用，初始入侵的成功率越來越高，一旦入侵成功后，入侵者將找到一個支撐點，通過這個支撐點再逐漸進行內(nèi)部滲透，繼續(xù)尋找其他支撐點，直至找到攻擊目標，然后進行數(shù)據(jù)的收集和竊取。在此過程中，一個個的支撐點成為攻擊者一層層的跳板，最終得以成功。因此發(fā)現(xiàn)這些支撐點是關(guān)鍵?！敝苡绖傉f，“我們發(fā)現(xiàn)，這些支撐點在滲透過程中，將產(chǎn)生不少異常行為，通過對這些異常行為的分析，就可以發(fā)現(xiàn)這些支撐點，從而找到安全隱患，成為解決問題的關(guān)鍵。”

最近，基于下一代網(wǎng)絡(luò)安全架構(gòu)和大數(shù)據(jù)驅(qū)動的威脅情報方法論，某公司推出下一代網(wǎng)絡(luò)威脅感知系統(tǒng)——慧眼云。一方面是通過云和大數(shù)據(jù)技術(shù)構(gòu)建了威脅情報系統(tǒng)，另一方面是利用異常行為識別、機器學(xué)習(xí)等技術(shù)，主動、快速、持續(xù)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題主機，也就是失陷主機。找到了這些失陷主機，再通過大數(shù)據(jù)技術(shù)進行攻擊溯源，還原失陷全過程，就可以在沒有明顯行為特征、沒有檢測規(guī)則的情況下準確鎖定網(wǎng)絡(luò)中的風(fēng)險點或風(fēng)險鏈條，從而將安全隱患消滅在萌芽狀態(tài)。

構(gòu)建主動安防框架系統(tǒng)

網(wǎng)絡(luò)入侵與防守實際上就是一場魔與道的競賽，魔出于利益驅(qū)動總是能領(lǐng)跑一步，未知威脅永遠存在，要贏得這場魔道之爭，道就必須要做到領(lǐng)先——徹底打破舊的安防體系，從根本上進行突破。

寧家駿說：“這里有兩個關(guān)鍵詞，分別是‘?dāng)?shù)據(jù)’和‘跟蹤’。數(shù)據(jù)是預(yù)測的基礎(chǔ)，只有獲得足夠的數(shù)據(jù)源才有可能進行多維度的分析;跟蹤是數(shù)據(jù)的組織和處理方式，不僅僅是簡單的時間維度上的數(shù)據(jù)組織和歸類，而且是全方位、多角度對海量數(shù)據(jù)進行深度挖掘、關(guān)聯(lián)和聚合，最終呈現(xiàn)出的結(jié)果是必然性更高的預(yù)測——威脅情報?！?/p>

周永剛介紹，慧眼云的失陷主機通過一張二維圖形進行全局的分布展示，基于“確定性指數(shù)”和“威脅性指數(shù)”兩個維度劃定不同的風(fēng)險級別區(qū)別，從而給出不同主機的風(fēng)險級別。當(dāng)主機分布在中度風(fēng)險區(qū)域時，處于預(yù)警狀態(tài)，提醒客戶需要重點對這部分主機進一步跟蹤分析。當(dāng)主機分布在高度風(fēng)險區(qū)域時，說明需要立刻采取措施，否則有可能產(chǎn)生不可估量的損失。

除了“失陷主機”之外，該公司還提供了一套大數(shù)據(jù)搜索工具，幫助安全人員進行快速的事件定位和回溯。基于客戶的業(yè)務(wù)場景，通過對網(wǎng)絡(luò)行為的大數(shù)據(jù)分析，能夠自適應(yīng)的建模出客戶當(dāng)前業(yè)務(wù)下的安全威脅模型，從而更有針對性的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常，提高安全等級。