從技術(shù)炫耀到獲取經(jīng)濟利益，再到國與國之間的政治目的，今天的黑客胃口已經(jīng)越來越大。機構(gòu)所面臨的威脅和攻擊也變得日益復(fù)雜和持久。新威脅當前，傳統(tǒng)安全架構(gòu)正變得力不從心。新的安全架構(gòu)亟待重構(gòu)。

近日，針對近期安全威脅動態(tài)、智能安全等話題，邁克菲副總裁兼亞太區(qū)首席技術(shù)官Michael Sentonas接受了記者專訪。

日益復(fù)雜的亞洲安全威脅

Sentonas說，利用Ransomware攻擊現(xiàn)在已經(jīng)成為亞洲日益典型的一種攻擊方式。這種攻擊，無意運行惡意軟件，但一旦PC被這種惡意軟件感染，PC上的個人信息就會被非正常地加密。用戶再訪問PC時，攻擊者就會發(fā)出信息，向你勒索錢財。這種勒索型攻擊過去十年在歐洲非常普遍，被攻擊者被勒索的錢財少到上百美元，多到幾千美元。

現(xiàn)在，惡意URL攻擊數(shù)量達到了每月400萬個，攻擊者針對存儲堆棧、設(shè)備發(fā)起的攻擊會將機器內(nèi)所有數(shù)據(jù)毀壞，如，韓國一些銀行遭攻擊后，設(shè)備變得全部不可用。

移動領(lǐng)域惡意軟件的變化是另一個新趨勢。去年，新增的移動惡意軟件達到了3.7萬個。Sentonas認為，未來我們還會持續(xù)看到移動惡意的攻擊。而移動惡意軟件爆發(fā)的原因是，今天人們所用的移動設(shè)備更多，移動設(shè)備自身功能也更多了。用戶對智能手機等移動設(shè)備的安全狀況并不像對PC那樣了解，他們對移動應(yīng)用的安全防護也不還不如在PC上所做的，然而，攻擊者卻知道移動領(lǐng)域中的安全漏洞，并開始對其大肆利用。

最近，以韓國為代表，亞洲出現(xiàn)了越來越多的專業(yè)黑客攻擊，包括中國在內(nèi)的亞洲地區(qū)針對性攻擊數(shù)量也在繼續(xù)增加。攻擊者主要針對政府、銀行、大型企業(yè)進行攻擊，目標是從數(shù)據(jù)庫中盜取信息。對于那些補丁未更新，未安裝安全軟件的系統(tǒng)而言，很容易中招。

Sentonas表示，總體來看，在這個充滿變數(shù)的時代，亞洲地區(qū)安全威脅正變得日益復(fù)雜，安全問題也更加嚴重。

傳統(tǒng)安全架構(gòu)力不從心

大約在一個月之前，韓國銀行和媒體在同一時間遭受到多起攻擊，另外還有更多的企業(yè)業(yè)務(wù)運行中斷，內(nèi)網(wǎng)計算機黑屏、網(wǎng)絡(luò)凍結(jié)，在4~5天后，業(yè)務(wù)才完全恢復(fù)時。這是一場典型的APT攻擊。對此類攻擊，該如何防御?傳統(tǒng)安全架構(gòu)是否夠用?

Michael Sentonas稱，邁克菲對韓國銀行遭受到的本輪攻擊進行深入分析后發(fā)現(xiàn)，如果銀行客戶安裝的軟件和解決方案是正確、可行、有效的，這種攻擊完全可以被攔截。而在目前，很多韓國及亞太地區(qū)其他國家銀行都還只是使用一些傳統(tǒng)的殺毒軟件產(chǎn)品。

目前，大多數(shù)企業(yè)安全架構(gòu)都是針對傳統(tǒng)安全威脅，但今天，威脅正在發(fā)生巨大改變。Michael Sentonas認為，企業(yè)需要調(diào)整原有安全架構(gòu)來應(yīng)對變化，對于防火墻、殺毒軟件、IDS等傳統(tǒng)安全技術(shù)或產(chǎn)品，也需要重新考慮。如，在終端安全方面，邁克菲推出了采用白名單技術(shù)的產(chǎn)品，在此技術(shù)下，企業(yè)不需要考慮病毒特征，只要允許受信任的應(yīng)用運行在系統(tǒng)中。

在Sentonas看來，下一代防護入侵技術(shù)應(yīng)該是可以感知應(yīng)用的。攻擊一旦來臨，企業(yè)應(yīng)該知情，而現(xiàn)在的問題是：很多企業(yè)已經(jīng)受到攻擊時還并不知情。我們需要先知道安全問題所在，然后對其進行管理。而在安全可視性的問題上，SIEM(安全信息與事件管理)至關(guān)重要。傳統(tǒng)的SIEM解決方案更多是做合規(guī)和日志管理，但在今天的威脅環(huán)境下，這遠遠不夠。我們需要了解整個網(wǎng)絡(luò)異常情況，在應(yīng)用層了解數(shù)據(jù)偷竊如何發(fā)生，在協(xié)議層和文檔層進行更多保護。在了解攻擊的基礎(chǔ)上選用適當?shù)陌踩a(chǎn)品，最后評估是否實現(xiàn)了預(yù)期的防護效果。

智能安全應(yīng)對新威脅

面對今天的新威脅，很多安全廠商都開始致力于為客戶提供智能的安全解決方案，幫助用戶改變傳統(tǒng)安全架構(gòu)。但究竟智能安全如何界定?智能安全的架構(gòu)應(yīng)該如何搭建?

Michael Sentonas表示，今天很多安全廠商所說的智能安全仍然是被動響應(yīng)式的安全方案，這并不符合智能安全的要求。在母公司英特爾的支持下，邁克菲將安全做到操作系統(tǒng)下層，用戶在啟動PC設(shè)備時，在Windows操作系統(tǒng)正式啟動之前，安全就已經(jīng)啟動，由此實現(xiàn)對整個設(shè)備的安全保護，并且無需持續(xù)要求用戶打補丁。

智能安全的目標是讓終端用戶面對新威脅能簡單方便地實現(xiàn)安全防護，而無需不斷的升級調(diào)整。在Sentonas看來，SIEM是智能安全系統(tǒng)中非常重要的領(lǐng)域，它被要求對不同攻擊有更高可視度。未來，SIEM產(chǎn)品和解決方案面臨革命性創(chuàng)新。邁克菲的SIEM產(chǎn)品可將其全球威脅智能感知系統(tǒng)與應(yīng)用、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫等其他渠道信息進行整合，對安全數(shù)據(jù)進行實時分析，由此增強SIEM產(chǎn)品的可視性此外，IPS、防火墻等技術(shù)也被融入SIEM解決方案中。

為應(yīng)對安全威脅的巨大變化，邁克菲年初宣布，未來將安全互聯(lián)平臺作為其安全互聯(lián)戰(zhàn)略中具有革命性的步驟，安全互聯(lián)平臺將不同技術(shù)整合，提供實時智能威脅信息的分析，針對攻擊進行快速響應(yīng)。在此戰(zhàn)略下，邁克菲正致力于聯(lián)合產(chǎn)業(yè)鏈的各方力量，在一些項目中創(chuàng)建信息和數(shù)據(jù)的交換層，更多地將邁克菲的技術(shù)和收集到的安全信息跟其他安全廠商技術(shù)和信息實現(xiàn)共享。在這個可擴展的框架下，邁克菲安全互聯(lián)平臺目前已擁有超過140家合作伙伴，這一數(shù)量還在以一兩個月內(nèi)增加10個左右的速度增加，這些合作伙伴也能在平臺上整合自己的產(chǎn)品。