进化,一直都是我们所处这个世界的主题,无论生物、事物,各类进化一直都未曾停止,网络安全同样如此。“攻”与“防”相伴而生,并将纠缠一生。“攻”为能够突破防线在不断武装自己,采取新的战术、运用新的武器;“防”为了确保身后世界的安宁也在不断强壮自己,采用新的策略、布设新的防线。攻者在为了生存而不断进化,防者同样在为了生存而进化。这场攻防之间的战争于进化的道路上将不死不休!
国际知名网络安全公司PaloAlto副总裁兼亚太区首席安全官Sean Duca先生就为我们深入剖析了正在进化的网络攻击。
骇客们说:俺们也在正规化、产业化
如今网络犯罪的产业规模已经达到4450亿美元,网络战争的战火已经波及超过100个国家。与往年前相比,恶意攻击发生着显著的进化,它们建立起了指挥控制渠道,更为主动的逃避各种安全检测,掌握着更多的零日漏洞,愈加难以被发现。
传统安全架构缺乏自动性和关联性,当有安全事件发生时还需要人工响应、手动处理,这不仅耗费了巨大的人力资源,而且很可能处理结果还未出来但黑客的攻击却已得手——高价值信息早被窃取出去。
如今骇客所实施的更多是链式攻击:外围突破、传递恶意软件、内网横向移动、渗透主机、窃取并传输数据,那么就需要针对攻击链的各个阶段进行有针对性的安全防护。要知己知彼,透彻了解骇客的攻击手段、攻击行为,这样所采取的安全防御措施才能做到一针见血。
精准而脆弱的恶意攻击链
如今,经典的APT类攻击往往要耗费数年时间,其攻击动作环环相扣精准异常。但与魔术套环一样,精准攻击的背后也潜藏着一个脆弱的“缺口”,防御者们一旦发现这个“缺口”,就能够摧枯拉朽般的破解整条恶意攻击链。
Sean Duca认为对恶意攻击进行侦测的阶段最难进行防御,如何从海量事件中提取威胁情报、于海量数据里挖掘出异常攻击行为特征十分困难。反之一旦能够捕获特征就能够很容易的按图索骥,通过深度溯源渗透整体攻击链中被黑掉的其他主机,最终消弭全部恶意威胁。精准攻击链的任何一个环节一旦被阻断,那么骇客的攻击都将无法完成。
另外,用户的安全环境状态则决定了哪个环节才是最佳的安全防护时机。“每个公司的用户中招的情况和被黑的状态不一样,有些主机是刚刚点了垃圾邮件,有些主机是已经中招了,有些主机是当肉鸡很久了”,所以安全体系的建立不能头疼医头脚疼医脚,要从根源着手进行防御部署,才能实现有效的阻截。
不断进化中的下一代安全
Sean Duca提出,应对新型恶意攻击需要搭建下一代的安全平台,而不仅仅是依赖于某款新型安全产品。将端点安全、网络安全、智能威胁云端安全平台相融合,三位一体互相协同工作,对恶意威胁实施整体防御。“单一的产品和方案已经无法满足当下的安全防护需求,要提供整体的安全平台,要能够灵活的调整安全防护资源、安全防护能力。”
现今的安全防护在与用户业务系统愈加紧密融合,这虽然给用户带来了更为贴身、严密的保护,但也可能会对用户业务系统造成额外的负担。不过,安全公司明显早已意识到了这个问题,并纷纷采取不同的解决方法。
Palo Alto的防御方法更为专注于威胁检测和攻击防护,由于采用了“管控分离”的架构方式,通过独立的应用检测芯片对应用流量进行安全检测,使其在真实网络环境里对于用户业务系统性能上的影响很小。
威胁情报(PaloAlto的Unit 42威胁情报团队就在专门负责相关信息数据的搜集)、大数据、安全云平台,这些不仅加强了用户系统的安全防御体系强度,也避免给用户系统增加过多负担。
没有终点的马拉松?……
曾经松散的恶意攻击者开始拉帮结派了,好在防御者们也没有闲着,一方面见招拆招,一方面积极利用先进的IT技术,努力的比恶意攻击者多迈出一步。这是一场没有终点的马拉松,攻防之间的战争将于进化中持续不停。
本文转自d1net(转载)