要想窺探企業機密、破壞其業務的正常運行或者盜取企業資金,在這個信息化無所不在的商業社會中,毫無疑問最有效的方式就是侵入企業的IT系統。為了避免遭到別有用心的攻擊和商業機密信息竊取,越來越多的企業都開始購買防病毒、防火墻等信息安全保護產品。可盡管這樣,安全事件還是層出不窮。
2010年,美國證券交易機構納斯達克屢次遭到攻擊;2011年,RSA公司、索尼公司、美國數字證書機構Comodo分別被黑客入侵;2012年,黑客利用SQL注入獲取了雅虎公司45.34萬名用戶的認證信息;2013年,韓國部分電視臺和銀行遭黑客攻擊……
是這些企業不夠重視信息安全嗎?并非如此。以上所列出的受害企業中,不僅包含老牌IT企業和知名機構,還有本身就從事信息安全的廠商和一直對信息安全極為看重的金融機構。
問題出在哪里?
現有安全形態面臨挑戰
IT的發展歷史上永遠少不了信息安全的陪伴。經過多年“道高一尺,魔高一丈”般的攻防戰,如今的黑客攻擊目標更明確、方式更隱蔽、持續時間更長,而且出現了很多能夠繞過常規防護措施的手段。黑客們拉幫結派伏擊著企業,預謀實行有組織有背景的協作式攻擊。而且,隨著犯罪成本的提高,越來愈多的攻擊瞄準金融、證券、電信等能夠帶來高額利潤的行業。
2013年韓國多家電視臺與銀行受到攻擊,起因是黑客首先入侵了防病毒軟件廠商的局域網病毒庫并更新了服務器,再利用升級機制將惡意軟件分發到用戶的計算機。業內普遍認為,為了得到這些銀行和電視臺的信息,并統一實行攻擊,黑客很可能已經蟄伏了數月之久。
更為可怕的是,身為企業安全“保鏢”的防病毒軟件,在此次攻擊事件中卻成為了黑客的幫兇。傳統防病毒、防火墻等安全產品過于依賴病毒庫而不能應對未知威脅、多款安全產品無法協同、與應用結合不緊密等一直存在的問題也由此暴露無遺。這也就是為什么有如此之多的大型企業和安全廠商都會遭受到黑客攻擊的原因。
下一代安全的四大特性
顯然,傳統安全產品已經不再那么符合當前的安全形勢了。當“魔高一尺”時,“道”能否再高一丈?在這一背景下,業界出現了“下一代安全”的概念。這一概念以“智能安全”作為核心,強調了兼具高性能、應用感知以及虛擬化支持等多種功能特點,能夠實現對未知威脅和新攻擊形態有效防護的安全解決方案。這類解決方案主要具備以下幾個特點。
統一平臺及協同機制
在復雜的信息安全環境下,安全業界開始認識到,由單一安全產品組成的孤島并不具有防護優勢。因此邁克菲等安全廠商開始推出整合了多種功能的安全平臺解決方案,實現IPS、防火墻、SSL VPN等功能和產品之間的聯動和信息共享,在一次數據解包的情況下完成多種防護手段。
同時在管理員一側,能夠通過統一的管理面板對所有功能和產品進行統一操控和日志查看,保證了安全防護的整體性。
性能更加強勁
下一代安全著重關注與應用趨勢的貼合。當前企業出口帶寬急劇增加,包括移動設備在內的內部終端數量眾多,對下一代防火墻安全產品的性能需求高漲。為了應對這一挑戰,有廠商開始將集群的概念引入防火墻產品。以邁克菲收購的Stonesoft公司為例,其stonebeat技術相當于高可用集群的鼻祖,簡單一點來說,這個技術的特性就是保證每一臺防火墻的負載一致。很多知名廠商如思科、IBM的集群技術都是來自stonebeat的專利。根據邁克菲的信息顯示,其下一代安全平臺目前最多已經可以進行16個節點的集群連接,并支持節點間的負載均衡。
對于普通用戶而言,多節點集群的應用與操作一臺防火墻并無區別,像多鏈路VPN、鏈路負載均衡等常見功能防火墻集群均能實現。
應用感知與逃逸防護
傳統防護技術更多地依賴特征庫的支持,而一些高級逃逸技術天生對特征庫防護具有“免疫性”。因此下一代安全著重在此進行了防護。早在2004年Stonesoft就已經開始對逃逸技術進行研究,在2010年發現高級逃逸技術后,隨即對外公開了已經發現的23種逃逸技術,它們可以將已知的攻擊隱藏起來,“透明”穿透用戶安全系統的監測。更可怕的是,它們不會留下任何日志記錄,所以企業無法通過傳統的日志查看方式來對高級逃逸技術的攻擊追蹤溯源。目前,一些響應快速的廠商已經開始針對逃逸技術和高級逃逸技術進行研究。在這方面,邁克菲走在了行業的前列。通過部署其下一代防火墻產品,可以在日志里清楚地看到逃逸技術和高級逃逸技術的偽裝參數,并通過管理平臺,生成針對逃逸技術的報告,使管理者充分了解哪些業務正在遭受這種威脅,進行全面防護。
針對逃逸技術的檢測,很多下一代安全產品由于無法在特征庫匹配前清除這些逃逸偽裝和掩飾的地方,因此無法精準地進行特征庫匹配,導致誤報、漏報的發生。對此,邁克菲安全專家認為:“首先要進行流量的標準化監測,濾掉偽裝和掩飾的數據包,就像篩沙子一樣把雜質濾掉,再進行特征庫匹配,這樣就會大大提高準度和精度。這也是為什么我們的產品可以在去年的NSS Labs測試中百分之百通過的原因。同時,在前不久結束的Blackhat(黑帽)安全大會上我們擁有的防逃逸技術也受到了業內的一直好評。”
像邁克菲這樣在過濾流量的同時,還具有應用感知、內容感知、上下文感知以及加密流量檢測功能的產品并不多。通過整合以上這些功能,安全產品能夠將從IP層到應用層的所有數據包進行解碼,察看每個協議的屬性,真正讓用戶做到對網絡2到7層的管控。
第一時間快速服務
企業內某個關鍵業務應用出現了漏洞,但是應用廠商還沒有修復,怎么辦?莫非就讓應用系統繼續“裸奔”?
對此,邁克菲通過漏洞響應小組,對主流操作系統和應用程序的漏洞進行研究,并在廠商發布補丁前給出防護措施,并將其加載到安全設備中。邁克菲的專家們將這種做法稱之為“虛擬補丁”。而這也恰恰是下一代安全所強調的一個重要特性:對用戶的定制化服務。
“我們認為,下一代安全應該是所有線路的集合、應該具有動態的、自適應的和不斷演化的特性,它需要具備高性能,同時支持虛擬化環境防護的部署,通過下一代安全解決方案實現當前和未來的安全防護需求。”邁克菲安全專家說道。
不難看出,在貼近用戶應用的前提下,下一代安全產品更多地凸顯了其無需人工干預的智能化,針對APT攻擊的定制化防護以及協同能力等諸多功能趨勢。這些功能趨勢,必將在信息安全解決方案中“常態化”,其可以稱之為安全業界對黑客“魔高一丈”的一種反擊。未來,這種此消彼長的攻防戰還將繼續……
京公網安備 11010502049343號