前言:小小一篇稿子,想了想還是寫上幾句先期交代一下吧。RSA大會上采訪綠盟科技副總裁吳云坤先生的時候,感覺他當時很是興奮——按照他的話來說,太多有意思的東西,實在是聽不過來。當時作為采訪者的筆者也是有些小興奮,同樣也是因為在會議期間聽到許多有趣的內容。兩個都有些興奮的人在一起聊RSA大會、聊信息安全、聊中國的網絡安全……可惜家用DV終究還是太小了些,無法承載更多內容,意猶未盡、意猶未盡,回來的路上就擬定了幾個題目打算沉淀一段時間后再慢慢寫來。先是寫了一篇《防御APT:網絡安全矛與盾之間的生死時速!》,嚴格說起來這是對之前隨筆的豐富與補充。本文的標題其實并不在之前擬定之中,這是在看了吳云坤先生的《拆掉圍墻的競技場》演講和《下一代安全何去何從》主題演講后想到的,這是一篇有關在信息安全世界里需要走出去的“故事”,這里將管中窺豹般的提前領略那相信很快就會到來的主動出擊的信息安全時代。
短短的文首前言里,數次閃現一個“小”字,這本是國人表示自謙的一個習慣用字,但在當今的信息安全威脅面前,我們第一步要做的就是徹底拋棄這個“小”字,新互聯網時代下的新型安全威脅需要人們從大處著眼,需要人們主動出擊找尋未知的安全威脅。
以往的安全防御,很像似防御者張開一張設置好各類規則的大網,等待安全威脅撞進來。遇到未知的威脅類型,就捕捉分析,然后將威脅特征加入大網攔截規則里繼續等待,這就是所謂的“被動防御”。而今的安全威脅,已經懂得繞開傳統防御體系,廣泛利用社會工程學,以更多方式實現入侵、潛伏、破壞。傳統安全防御體系在新型安全威脅面前變得千瘡百孔,蒼白而無力。
從應用安全、云計算、移動互聯網到APT類攻擊,傳統網絡防護邊界正在“消失”。當原有的防御圍墻被徹底拆掉時,一場新的安全攻防競技即將形成,一個新的信息安全時代將會來臨。下一代安全面前,我們該做什么?
導火索——改變安全攻防模式的APT類攻擊
APT類攻擊的出現,讓人們看到了全新的攻擊方式,全新的入侵思路:原來社會工程學還可以這樣去應用,原來“潛伏”在網絡世界里也是存在的。
APT、高級可持續性威脅、有目的性攻擊、高級網絡威脅……叫法很多,但核心所描述的都是惡意攻擊者通過細致的觀察分析,精心布局,使用花樣百出的手段,悄然入侵,長期潛伏,搜索尋獲機密數據、高價值數據,以“揮一揮手,不帶走一片云彩”的境界,偷走數據而不觸發任何警戒,讓用戶丟了數據還毫無察覺。
傳統的安全威脅,或者以破壞系統為目的,或者小打小鬧干一票就走,入侵方式也比較固定,很容易被安全防御所察覺。而APT類攻擊,為了讓攻擊利益最大化,攻擊者甚至會“保護”受害方的系統,盡量不讓自己的入侵行為對用戶系統造成明顯的破壞。這就使得傳統的安全防御體系很難被觸及,被動式的防御方法已經無法及時有效的發現入侵威脅。
近幾年,國際上屢屢爆出知名國際企業遭遇APT類攻擊,唯獨國內似乎重來沒有類似事件的“出現”,難道國內從未遭遇APT類攻擊么?借用國家網絡信息安全技術研究所所長杜躍進的一句話“難道中國是世外桃源嗎?顯然不可能,一定有針對中國的APT,但很悲慘的是我們不知道。”“我們不知道”,很是一針見血,雖然讓人有些刺痛,但面對完全新型的安全威脅,國內用戶已經做好應對準備了么?目前看來,答案并不樂觀。
下一代安全需要主動出擊
到底應該如何應對新型安全威脅?綠盟科技副總裁吳云坤認為下一代安全威脅更多是人和人之間的對抗,所以要回歸本源,解決安全該解決的根本問題——攻防。看起來這似乎是一句廢話,面對安全威脅,我們進行了嚴密的防守,但安全這把利劍幾時有過攻防易位主動出擊殺得惡意威脅大敗而逃?不能說完全沒有,但,太少了。攻防之道,在于有攻有守、有來有往。而今這一攻防態勢已經失衡:惡意攻擊者在肆無忌憚的隨時隨地發起各類攻擊,安全防護者卻僅記住了抵死防御而忘記了有時進攻才是最好的防守。
熱映一時的電影《超級戰艦》里有這樣的場景:外星人釋放防御光罩,阻斷了三艘戰艦與整個艦隊信息鏈之間的聯絡,破壞了一切電磁設備,讓戰艦失去了智能的大腦。正義的一方就此束手待斃了么?沒有。通過對大海整體態勢的主動監測,發現、分析異常狀況,尋獲入侵者,對其入侵線路做出提前預判,提前發起主動攻擊。
面對下一代安全威脅,作為傳統的防守者也應如此,轉換固有防御思維,主動出擊,提前尋獲未知威脅。
在新的安全威脅面前,被動防守只會坐以待斃。現在更需要的是建立一個完整的安全體系,跨越時間與空間,主動監測網絡整體運行狀態,發現不同時間、不同位置的安全異常,進行關聯性分析,于抽絲剝繭中找尋到惡意威脅入侵的征兆與痕跡,提前預警,及時阻斷。進行檢測舉證,追本溯源,發現惡意攻擊者的老巢予以徹底剿滅。
面對下一代安全威脅,我們需要主動、主動、更主動。
中國的安全需要“走出去”
中國本土的安全企業一直都在很努力的提升自身實力,但當面對新型安全威脅時,本土安全企業的反應速度明顯慢于國際安全同行。中國本土安全需要更多的走出去,走出去不是最終目的,再次借用吳云坤的一句話,走出去的最終目的是把對中國信息安全發展有利的東西“真正的拿回來”。
惡意攻擊者建立了地下黑色產業鏈,有組織化的發起專業攻擊。此時已經不能依靠某一款安全設備達成防御的目的,需要建立多層次的安全防御體系,需要安全企業聯合起來形成安全聯盟,實時交流安全情報,將原來針對某一點、某一塊的安全防護融合在統一的安全平臺里,建立更為廣泛的安全防御網。
安全之道更如逆水行舟,努力提升技術實力,從更高的層面俯視安全、掌控安全,方能在惡意威脅的激流中披荊斬棘踏浪而行。
京公網安備 11010502049343號