當(dāng)前的惡意威脅攻擊成本很低,有時所需要花費的時間僅僅是幾分鐘而已。但對于防守者卻需要幾個月甚至幾年的時間才能發(fā)現(xiàn)惡意攻擊,修復(fù)所需要花費的時間就更為漫長了。
《The 2015Data Breach Investigations Report》安全調(diào)查報告顯示,超過75%的黑客能夠在一天內(nèi)攻破企業(yè)網(wǎng)絡(luò),但僅有不到20%的企業(yè)用戶能夠在一天內(nèi)發(fā)現(xiàn)所遭遇的惡意攻擊。在時間上,防守方處于明顯的劣勢。另外,惡意攻擊者所使用的IP是防守者辨識攻擊的特征之一,但這類惡意IP的存活時間越來越短,絕大部分已經(jīng)少于1天,這意味著僅靠IP地址對惡意攻擊進(jìn)行辨識愈加困難。
如今的安全威脅在愈發(fā)復(fù)雜,攻防時間嚴(yán)重失衡,而用于安全防御的資源依然短缺,所以需要利用更少的資源更快地解決更嚴(yán)重的惡意威脅。
英特爾安全事業(yè)部北亞區(qū)售前技術(shù)總監(jiān)鄭林認(rèn)為,當(dāng)前許多安全防護(hù)措施都屬于“孤立的戰(zhàn)斗”,例如Web安全網(wǎng)關(guān)、IPS、端點安全軟件等雖然能夠擋住來自外界的攻擊,但卻無法實現(xiàn)安全情報的共享。惡意攻擊者在這里碰了頭,還可以去其他地方找尋漏洞。“現(xiàn)在的安全防御需要大幅度提高攻擊成本,讓惡意攻擊者需要花費的時間、資源劇增。”
安全更需知己知彼
“入侵殺傷鏈”,這是洛克希德馬丁公司的安全研究人員所發(fā)布的一個安全方法論。惡意攻擊者需要“外圍探測、構(gòu)造攻擊、交付攻擊、漏洞利用、安裝后門、遠(yuǎn)程控制、采取行動”這7個入侵步驟。安全防御者可以針對這7個環(huán)節(jié)進(jìn)行安全檢測,及時發(fā)現(xiàn)安全情報,在安全防御體系里實時共享,幫助各條安全防線升級更新知識庫,形成協(xié)同防御。
有鑒于此,英特爾安全事業(yè)部提出了“數(shù)據(jù)交換層(DXL) ”的概念,數(shù)據(jù)交換層猶如人身體里的脊柱,將安全情報迅速傳遞給“手、腿、腳”等安全防護(hù)產(chǎn)品。基于DXL所構(gòu)造的協(xié)作性通信架構(gòu)生態(tài),快速、輕量級、流程化,能夠?qū)崿F(xiàn)統(tǒng)一的安全可視化,降低企業(yè)的TCO。
威脅防御的三大生命周期環(huán)節(jié)分別是保護(hù)、檢測、修復(fù),“保護(hù)”是要阻止流行的攻擊,還要防護(hù)從未出現(xiàn)過的攻擊技術(shù)和方法。“檢測”是要采用高級智能和分析器探測復(fù)雜、隱蔽的威脅。而在“修復(fù)”方面,會通過分類和優(yōu)先級別劃分實現(xiàn)高效率的事件響應(yīng)和調(diào)查分析。此時安全情報的作用就是讓整個安全防御體系自適應(yīng)的運轉(zhuǎn)起來。
設(shè)想這樣一個場景:用戶要下載某個文件,但安全防御系統(tǒng)發(fā)現(xiàn)這個文件很可疑,那么就會把這個文件放入沙箱中運行,從其行為、代碼分析這個文件是否存在威脅,并在整個安全防御體系分享該安全情報,形成安全情報驅(qū)動的安全互聯(lián)架構(gòu)。
作為英特爾安全事業(yè)部一部分的邁克菲一直在推動的安全互聯(lián)生態(tài)系統(tǒng),就是要做到無論廠商和底層架構(gòu),各個安全部件都可以集成在一起形成統(tǒng)一的互聯(lián)系統(tǒng)。“未來的3-5年,開放、合作將是主流趨勢。”
持續(xù)進(jìn)化的安全互聯(lián)
邁克菲的安全互聯(lián)發(fā)展經(jīng)歷了四個階段,第一代的安全互聯(lián)圍繞在EPO的周圍,AV、FW、HIPS、SA等安全產(chǎn)品集中起來,通過EPO進(jìn)行統(tǒng)一的安全防御;第二代的安全互聯(lián)是不同技術(shù)、不同產(chǎn)品之間的互聯(lián),網(wǎng)絡(luò)層的設(shè)備與主機(jī)層的安全設(shè)備之間可以進(jìn)行聯(lián)動防御,能夠及時發(fā)現(xiàn)潛藏的安全漏洞;第三代的安全互聯(lián)主要指全球威脅情報系統(tǒng),能夠?qū)⒆钚氯虬踩閳笸降浇K端安全、防火墻、SIEM等安全設(shè)備里;而第四代的安全互聯(lián)是將用戶已經(jīng)部署到本地的安全設(shè)備連接起來,并集成更多其他第三方的安全產(chǎn)品和威脅情報。
與傳統(tǒng)的分離式架構(gòu)相比較,安全互聯(lián)架構(gòu)平均響應(yīng)時間減少到了7分鐘以下,大幅降低了安全成本,減少了85%需要人工參與的步驟,有效幫助企業(yè)優(yōu)化資源到更重要的任務(wù)中,IOC處理能力增到35倍。安全情報的充分利用使得企業(yè)對于未來的安全防御更具信心。
出于盡可能降低對用戶既有安全架構(gòu)影響的考慮,邁克菲最新的安全互聯(lián)屬于輕量級架構(gòu),用戶能夠很簡單的接入。另外,DXL屬于一種通訊架構(gòu),主要目的是完成安全情報的傳遞。所以在安全互聯(lián)架構(gòu)里的安全設(shè)備既可以發(fā)布最新安全情報,也可以僅僅是被動訂閱接收最新的安全情報,而實現(xiàn)安全情報訂閱的功能相對比較簡單。