企業(yè)到底該選擇什么樣的安全設(shè)備?
新的威脅類型不斷涌現(xiàn),傳統(tǒng)的安全設(shè)備顯然已經(jīng)過時(shí),我們?cè)撊绾芜x擇,以確保安全?
新威脅不斷涌現(xiàn)且愈發(fā)高級(jí)
在過去的幾年中,我們已經(jīng)看到越來越多針對(duì)財(cái)富500強(qiáng)企業(yè)和政府網(wǎng)絡(luò)的攻擊,商業(yè)化的運(yùn)作使這些攻擊在本質(zhì)上具有高度針對(duì)性和持續(xù)性,有些攻擊甚至持續(xù)幾個(gè)月,同時(shí)大部分此類攻擊意在竊取有價(jià)值的信息。
現(xiàn)代的惡意軟件通常分為利用軟件漏洞和通過有效載荷交付獲得合法訪問兩種類型。經(jīng)過多年的發(fā)展和積累,大量的資源被投入其中,使用的技術(shù)已經(jīng)成熟。我們看到越來越多的黑客使用0-day獲得通過軟件漏洞進(jìn)行攻擊。同時(shí),通過社會(huì)工程惡意軟件可以獲得合法的訪問如網(wǎng)絡(luò)釣魚、感染U-key等等。
目前許多的惡意軟件還使用復(fù)雜的逃避檢測(cè)技術(shù),通過偽裝或修飾的網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測(cè)。傳統(tǒng)安全設(shè)備基于特征的檢測(cè)機(jī)制在本質(zhì)上是靜態(tài)的,使惡意軟件開發(fā)人員可以很輕松地使惡意軟件逃避這些檢測(cè),就像隱形戰(zhàn)斗機(jī)可在雷達(dá)和其它防御系統(tǒng)檢測(cè)不到的情況下發(fā)起攻擊。
傳統(tǒng)安全設(shè)備是否依然可靠?
在過去的數(shù)十年里,防火墻一直是網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)最重要的基石之一。發(fā)展到現(xiàn)在,防火墻已經(jīng)經(jīng)歷了包過濾檢測(cè)、狀態(tài)檢測(cè)、NGFW等數(shù)代的發(fā)展。防火墻為了應(yīng)對(duì)所面臨的威脅,在最近幾代更新的安全設(shè)備中引入了基于特征的安全機(jī)制。在發(fā)現(xiàn)新的攻擊后,要分析流量并將新流量特征添加到特征庫中。系統(tǒng)監(jiān)控流量匹配特征中的模式,如果找到匹配項(xiàng),會(huì)將流量標(biāo)記為可能的攻擊。目前大多數(shù)的入侵檢測(cè)和入侵防御系統(tǒng)使用的都是基于特征的引擎。
基于特征的方式非常適合于檢測(cè)未加密的已知攻擊,但也有非常明顯的缺陷,也就是必須要知道攻擊后才能夠進(jìn)行分析并編寫新的特征。對(duì)于以多種形態(tài)出現(xiàn)的新的惡意軟件和攻擊類型、APT及0-day攻擊所帶來的威脅,基于特征的方法基本上無能為力。部分廠商利用的“沙箱技術(shù)”也是一個(gè)靜態(tài)檢測(cè)方法。在發(fā)生危害之前,惡意軟件可以不斷在沙箱中測(cè)試和調(diào)優(yōu),直到沙箱無法檢測(cè)它。
在越來越多類似APT和其他一些精心設(shè)計(jì)的攻擊使用高度隱蔽的方式,幾乎不留下任何可審計(jì)的線索,如日志和事件。一些可審計(jì)的日志和事件由于數(shù)量過多,本身也不會(huì)提示嚴(yán)重的安全事件。但如果這些攻擊是基于網(wǎng)絡(luò)的,通常會(huì)在流量和流量數(shù)據(jù)中留下線索。大數(shù)據(jù)分析可以使用關(guān)聯(lián)、機(jī)器學(xué)習(xí)等技術(shù)發(fā)現(xiàn)攻擊的蛛絲馬跡,但這已經(jīng)超出了傳統(tǒng)安全設(shè)備所能提供的檢測(cè)范圍。
我們到底需要什么樣的安全設(shè)備?
針對(duì)下一代防火墻產(chǎn)品是否適合規(guī)模應(yīng)用,世界著名的市場(chǎng)研究機(jī)構(gòu)Gartner公司研究副總裁Greg Young曾表示,市場(chǎng)早期的NGFW產(chǎn)品,基于威脅進(jìn)行防護(hù),安全管理更多依賴于安全管理員。NGFW更多的是一個(gè)響應(yīng)者,對(duì)安全員不能發(fā)現(xiàn)的威脅不會(huì)做出防護(hù)。同時(shí),在實(shí)際的使用過程中,由于安全策略不夠嚴(yán)格,潛在風(fēng)險(xiǎn)常常被利用。直到造成了損失被發(fā)現(xiàn),進(jìn)行“亡羊補(bǔ)牢”式的防護(hù)。可以預(yù)見到,“人”主導(dǎo)的安全防護(hù)很難長(zhǎng)期保證質(zhì)量。NGFW需要具備額外的智能。
山石網(wǎng)科CTO劉向明也認(rèn)為,“0-Day、APT攻擊、DDoS等異常流量及新型威脅不斷出現(xiàn),而這些異常威脅隱藏在正常流量中無法通過特征識(shí)別和靜態(tài)閾值檢測(cè)出,需要結(jié)合流量異常行為進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析和檢測(cè),并需要提前進(jìn)行風(fēng)險(xiǎn)防范和安全防護(hù),否則會(huì)給企業(yè)造成巨大的損失。目前的防火墻通過特征識(shí)別和靜態(tài)閾值進(jìn)行威脅檢測(cè),并在威脅發(fā)生時(shí)進(jìn)行安全防護(hù),對(duì)異常威脅無法有效防護(hù)和提前防范。”
隨著企業(yè)業(yè)務(wù)的發(fā)展,為了持續(xù)保證安全性,需要不斷調(diào)整防火墻策略。大部分企業(yè)在他們的下一代防火墻上部署了數(shù)百條甚至上萬條以上的策略,同時(shí)有相當(dāng)一部分公司每個(gè)月都需要執(zhí)行大量的策略變更。頻繁的變更導(dǎo)致防火墻策略數(shù)量不斷增加,存在大量冗余、無效的策略。這主要是因?yàn)楣芾韱T很難判斷哪些策略有問題,即使判斷出來也因?yàn)閾?dān)心影響業(yè)務(wù)不敢輕易調(diào)整。所以能夠及時(shí)瀏覽針對(duì)每一業(yè)務(wù)的策略設(shè)置,或提出策略優(yōu)化建議,抑或能夠自動(dòng)發(fā)現(xiàn)冗余和無效的策略,簡(jiǎn)化管理的安全設(shè)備出現(xiàn)很有必要。
“智能化和自動(dòng)化將是安全產(chǎn)品的一個(gè)發(fā)展趨勢(shì),讓安全更多依賴“智能化設(shè)備”,有利于持久保持穩(wěn)定的安全質(zhì)量。”劉向明說。“基于對(duì)已知威脅的防御轉(zhuǎn)變?yōu)榛谖粗L(fēng)險(xiǎn)的預(yù)防,會(huì)給用戶帶來極大的利好”。
