網(wǎng)絡(luò)安全威脅從來(lái)沒(méi)有停歇，并且愈演愈烈。惠普企業(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔近日在接受媒體采訪時(shí)披露了幾個(gè)足夠引起業(yè)界重視的數(shù)據(jù)，企業(yè)投資在網(wǎng)絡(luò)安全上的成本逐年上升，到最新一年的統(tǒng)計(jì)，全球已經(jīng)投入了460億美元的資金。即使逐年加大安全投入，可是發(fā)生的成功安全入侵的數(shù)量反而在過(guò)去一年增加了20%。自從2010年起，企業(yè)花費(fèi)在解決入侵的時(shí)間上漲了71%。

惠普公司企業(yè)安全產(chǎn)品北亞區(qū)總經(jīng)理姚翔

應(yīng)用層安全危機(jī)

在眾多的攻擊中，84%的入侵發(fā)生在應(yīng)用層，姚翔稱(chēng)。入侵有很多的方式，以前被人所熟知的是網(wǎng)絡(luò)層的安全威脅。因?yàn)榫W(wǎng)絡(luò)無(wú)孔不入，通過(guò)網(wǎng)絡(luò)可以訪問(wèn)很多數(shù)據(jù)內(nèi)容，但隨著用戶在網(wǎng)絡(luò)上的防范意識(shí)越來(lái)越強(qiáng)，很多攻擊開(kāi)始避開(kāi)網(wǎng)絡(luò)層直接到應(yīng)用層。

姚翔舉例到，“一名員工進(jìn)入公司，由于沒(méi)有門(mén)禁卡，保安會(huì)把其他攔住，這是網(wǎng)絡(luò)層的防護(hù)，在計(jì)算機(jī)上是匹配端口號(hào)。但當(dāng)有一天一個(gè)黑客拿著這名員工的門(mén)禁卡進(jìn)公司，那么保安會(huì)做兩件事情，第一是識(shí)別這是不是一個(gè)有效的門(mén)禁卡，第二要識(shí)別門(mén)禁卡上的照片以判斷是不是本人佩戴。第二件事情就是應(yīng)用層的安全，而現(xiàn)狀是目前很多公司沒(méi)有充分關(guān)注到這一安全威脅。”

拿微軟來(lái)說(shuō)，很多人都知道它的“周二補(bǔ)丁日”，微軟的軟件開(kāi)發(fā)在業(yè)界已經(jīng)是足夠成熟的，然而仍周期性打補(bǔ)丁，更不用說(shuō)一些集成商定制開(kāi)發(fā)、外包或內(nèi)部開(kāi)發(fā)的應(yīng)用軟件存在的漏洞了。

過(guò)去構(gòu)建應(yīng)用系統(tǒng)的時(shí)候，不管是電信、政府、銀行在交付軟件的時(shí)候都會(huì)做測(cè)試，測(cè)試軟件的性能、功能，以及業(yè)務(wù)邏輯等，卻很少有企業(yè)做安全測(cè)試。

之所以出現(xiàn)這樣的狀況，姚翔解釋稱(chēng)，“一是沒(méi)有技術(shù)手段做安全測(cè)試，二是應(yīng)用安全不被重視，大部分開(kāi)發(fā)的應(yīng)用都是以業(yè)務(wù)為導(dǎo)向，做功能測(cè)試，測(cè)試業(yè)務(wù)邏輯，殊不知黑客也正在利用這些業(yè)務(wù)邏輯做他希望做的事情。”

應(yīng)用安全一直是惠普重點(diǎn)關(guān)注的領(lǐng)域，例如代碼掃描、滲透測(cè)試等，如今為了在應(yīng)用程序?qū)舆M(jìn)一步降低風(fēng)險(xiǎn)，惠普新推出了HP Application Defender，這可以看做成在線監(jiān)控的應(yīng)用安全，它比滲透看到的內(nèi)容更深入。

“HP Application Defender是在應(yīng)用服務(wù)器的內(nèi)部或者是在應(yīng)用的本身從內(nèi)部去觀察所有的交易、訪問(wèn)，互相之間的關(guān)系是不是會(huì)出現(xiàn)一種可疑的、類(lèi)攻擊方式的請(qǐng)求，從這里面進(jìn)行識(shí)別。比較重要的一點(diǎn)是，它可以對(duì)某些識(shí)別的高可疑的請(qǐng)求進(jìn)行阻斷，在應(yīng)用層進(jìn)行阻斷。”姚翔說(shuō)。

Application Defender提供了前瞻的洞察力，它按漏洞查看具體的事件觸發(fā)器并給出堆棧位置跟蹤信息，按照風(fēng)險(xiǎn)分組、事件時(shí)間、漏洞分類(lèi)和嚴(yán)重性來(lái)過(guò)濾漏洞活動(dòng)，單獨(dú)或者按類(lèi)別防護(hù)漏洞事件，為軟件工程打包事件屬性。

姚翔給應(yīng)用開(kāi)發(fā)的建議是，在應(yīng)用驗(yàn)收前加上代碼掃描的環(huán)節(jié)，作為整體驗(yàn)收的最后一步。“我們做過(guò)一個(gè)統(tǒng)計(jì)，在前期做設(shè)計(jì)和最后上線的時(shí)候，發(fā)現(xiàn)同樣的漏洞花的成本，在上線以后是前期的30倍。”

安全合作聯(lián)盟破解黑客生態(tài)系統(tǒng)

在黑客的世界是有分工的，有人專(zhuān)注于社交工程的研究、有人專(zhuān)注于發(fā)現(xiàn)數(shù)據(jù)，他們互相之間的關(guān)系和交易是用金錢(qián)衡量的。

姚翔解讀了整個(gè)黑客生態(tài)系統(tǒng)，第一是研究攻擊對(duì)象，探查企業(yè)網(wǎng)絡(luò)是怎樣的，企業(yè)人員構(gòu)成、營(yíng)業(yè)和業(yè)務(wù)是怎樣的，會(huì)有專(zhuān)門(mén)的黑客專(zhuān)注于做這些事情。

第二部分叫滲入，怎么樣從外部進(jìn)入到企業(yè)內(nèi)部，通過(guò)蠕蟲(chóng)的方式操控在企業(yè)內(nèi)部的某一臺(tái)設(shè)備。

第三是發(fā)現(xiàn)，滲入以后有一個(gè)工程師的設(shè)備終端被感染了，怎么樣通過(guò)他找到公司的CEO、研發(fā)主管、財(cái)務(wù)主管的數(shù)據(jù)?因?yàn)檫@時(shí)候所有的企業(yè)都認(rèn)為這是一個(gè)內(nèi)部結(jié)構(gòu)而不是一個(gè)外部結(jié)構(gòu)，這是邊界以內(nèi)的東西。

第四步是捕獲，黑客發(fā)現(xiàn)CFO每個(gè)月的月底30、31日兩天有需要發(fā)布的財(cái)務(wù)數(shù)據(jù)是最敏感的，而那時(shí)候就是最有價(jià)值的時(shí)候，所以黑客就要在那個(gè)時(shí)候抓到那個(gè)數(shù)據(jù)和文件。

最后是滲出，往往有一些企業(yè)特別是成熟企業(yè)，他們?cè)谡麄€(gè)體系中已經(jīng)部署了一些解決方案來(lái)防范滲出這個(gè)問(wèn)題，所以滲出的技術(shù)也是非常重要的一個(gè)技術(shù)。

黑客完成一次攻擊往往是精誠(chéng)合作，為了達(dá)到目的，他們不惜花費(fèi)巨大的時(shí)間成本。姚翔指出，從2013年開(kāi)始，黑客平均入侵的時(shí)間是243天。這樣的攻擊方式，受害企業(yè)不會(huì)在第二天就發(fā)現(xiàn)，黑客沒(méi)有采取任何手段，243天才采取手段，前面242天在做什么?做研究、滲入、發(fā)現(xiàn)和捕獲，他們沒(méi)有任何的敏感數(shù)據(jù)出去。當(dāng)前面四步已經(jīng)做得很完整的時(shí)候，最后一步是沒(méi)有辦法阻止的。

“現(xiàn)在惠普已經(jīng)跟一些廠家形成聯(lián)盟，這個(gè)聯(lián)盟里包括了安全智能分析的共享，因?yàn)榻裉旎萜瞻l(fā)現(xiàn)了一個(gè)新的安全威脅，假如這不是惠普的產(chǎn)品能夠解決的，我們會(huì)把這個(gè)數(shù)據(jù)分享到這個(gè)聯(lián)盟中其他的友商。”姚翔說(shuō)。

產(chǎn)品層面上，惠普最新發(fā)布的TippingPoint Advanced Threat Appliance (ATA)就是和趨勢(shì)科技合作的成果，它為企業(yè)提供了增強(qiáng)的防御措施，幫助其滅活最初的“第一傳染源”，并防止隨后的橫向擴(kuò)散。新HP TippingPoint ATA系列產(chǎn)品把這些高級(jí)威脅功能與HP TippingPoint Digital Vaccine (DV) Labs過(guò)濾編寫(xiě)專(zhuān)業(yè)知識(shí)整合到一起，以便進(jìn)一步加強(qiáng)保護(hù)。

為應(yīng)對(duì)高級(jí)持續(xù)性威脅增強(qiáng)大數(shù)據(jù)安全引擎

上面我們提到了黑客為達(dá)成攻擊目的，制定了流程化的攻擊模式，往往在最后一刻企業(yè)才發(fā)現(xiàn)受到攻擊。如何在攻擊發(fā)生的那一刻起，就發(fā)現(xiàn)和消除隱患，哪怕是在攻擊發(fā)生后，能夠快速將損失降到最低，對(duì)企業(yè)來(lái)說(shuō)也并不容易。

惠普推出了HP ArcSight Logger 6.0，它是HP ArcSight安全信息與事件管理(SIEM)產(chǎn)品組合的核心組件，可以視為大數(shù)據(jù)安全的引擎。因?yàn)樾翷ogger 6.0將性能提高了10倍，數(shù)據(jù)處理提高了8倍。

6.0版本將數(shù)據(jù)的索引達(dá)到了8TB，如果是壓縮了以后可以達(dá)到80TB的數(shù)據(jù)檢索。這意味著當(dāng)企業(yè)去關(guān)聯(lián)整個(gè)日志分析的數(shù)據(jù)的時(shí)候，可以擴(kuò)展大量的數(shù)據(jù)在整個(gè)的體系中進(jìn)行關(guān)聯(lián)。它的高性能意味著超快取證調(diào)查，在幾秒鐘內(nèi)可搜索1.6 PB數(shù)據(jù)。

通過(guò)分析更多數(shù)據(jù)，Logger 6.0能夠幫助企業(yè)做出明智決策，破解黑客“來(lái)去無(wú)蹤”。