當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

Palo Alto：網(wǎng)絡(luò)攻防進(jìn)化間的生死之爭

責(zé)任編輯：editor007 作者：木淼鑫 |來源：企業(yè)網(wǎng)D1Net 2016-01-26 20:15:41 本文摘自：賽迪網(wǎng)

進(jìn)化，一直都是我們所處這個(gè)世界的主題，無論生物、事物，各類進(jìn)化一直都未曾停止，網(wǎng)絡(luò)安全同樣如此。“攻”與“防”相伴而生，并將糾纏一生。“攻”為能夠突破防線在不斷武裝自己，采取新的戰(zhàn)術(shù)、運(yùn)用新的武器；“防”為了確保身后世界的安寧也在不斷強(qiáng)壯自己，采用新的策略、布設(shè)新的防線。攻者在為了生存而不斷進(jìn)化，防者同樣在為了生存而進(jìn)化。這場攻防之間的戰(zhàn)爭于進(jìn)化的道路上將不死不休！

國際知名網(wǎng)絡(luò)安全公司PaloAlto副總裁兼亞太區(qū)首席安全官Sean Duca先生就為我們深入剖析了正在進(jìn)化的網(wǎng)絡(luò)攻擊。

sd1

　　駭客們說：俺們也在正規(guī)化、產(chǎn)業(yè)化

如今網(wǎng)絡(luò)犯罪的產(chǎn)業(yè)規(guī)模已經(jīng)達(dá)到4450億美元，網(wǎng)絡(luò)戰(zhàn)爭的戰(zhàn)火已經(jīng)波及超過100個(gè)國家。與往年前相比，惡意攻擊發(fā)生著顯著的進(jìn)化，它們建立起了指揮控制渠道，更為主動(dòng)的逃避各種安全檢測，掌握著更多的零日漏洞，愈加難以被發(fā)現(xiàn)。

傳統(tǒng)安全架構(gòu)缺乏自動(dòng)性和關(guān)聯(lián)性，當(dāng)有安全事件發(fā)生時(shí)還需要人工響應(yīng)、手動(dòng)處理，這不僅耗費(fèi)了巨大的人力資源，而且很可能處理結(jié)果還未出來但黑客的攻擊卻已得手——高價(jià)值信息早被竊取出去。

如今駭客所實(shí)施的更多是鏈?zhǔn)焦簦和鈬黄啤鬟f惡意軟件、內(nèi)網(wǎng)橫向移動(dòng)、滲透主機(jī)、竊取并傳輸數(shù)據(jù)，那么就需要針對(duì)攻擊鏈的各個(gè)階段進(jìn)行有針對(duì)性的安全防護(hù)。要知己知彼，透徹了解駭客的攻擊手段、攻擊行為，這樣所采取的安全防御措施才能做到一針見血。

精準(zhǔn)而脆弱的惡意攻擊鏈

如今，經(jīng)典的APT類攻擊往往要耗費(fèi)數(shù)年時(shí)間，其攻擊動(dòng)作環(huán)環(huán)相扣精準(zhǔn)異常。但與魔術(shù)套環(huán)一樣，精準(zhǔn)攻擊的背后也潛藏著一個(gè)脆弱的“缺口”，防御者們一旦發(fā)現(xiàn)這個(gè)“缺口”，就能夠摧枯拉朽般的破解整條惡意攻擊鏈。

Sean Duca認(rèn)為對(duì)惡意攻擊進(jìn)行偵測的階段最難進(jìn)行防御，如何從海量事件中提取威脅情報(bào)、于海量數(shù)據(jù)里挖掘出異常攻擊行為特征十分困難。反之一旦能夠捕獲特征就能夠很容易的按圖索驥，通過深度溯源滲透整體攻擊鏈中被黑掉的其他主機(jī)，最終消弭全部惡意威脅。精準(zhǔn)攻擊鏈的任何一個(gè)環(huán)節(jié)一旦被阻斷，那么駭客的攻擊都將無法完成。

另外，用戶的安全環(huán)境狀態(tài)則決定了哪個(gè)環(huán)節(jié)才是最佳的安全防護(hù)時(shí)機(jī)。“每個(gè)公司的用戶中招的情況和被黑的狀態(tài)不一樣，有些主機(jī)是剛剛點(diǎn)了垃圾郵件，有些主機(jī)是已經(jīng)中招了，有些主機(jī)是當(dāng)肉雞很久了”，所以安全體系的建立不能頭疼醫(yī)頭腳疼醫(yī)腳，要從根源著手進(jìn)行防御部署，才能實(shí)現(xiàn)有效的阻截。

不斷進(jìn)化中的下一代安全

Sean Duca提出，應(yīng)對(duì)新型惡意攻擊需要搭建下一代的安全平臺(tái)，而不僅僅是依賴于某款新型安全產(chǎn)品。將端點(diǎn)安全、網(wǎng)絡(luò)安全、智能威脅云端安全平臺(tái)相融合，三位一體互相協(xié)同工作，對(duì)惡意威脅實(shí)施整體防御。“單一的產(chǎn)品和方案已經(jīng)無法滿足當(dāng)下的安全防護(hù)需求，要提供整體的安全平臺(tái)，要能夠靈活的調(diào)整安全防護(hù)資源、安全防護(hù)能力。”

現(xiàn)今的安全防護(hù)在與用戶業(yè)務(wù)系統(tǒng)愈加緊密融合，這雖然給用戶帶來了更為貼身、嚴(yán)密的保護(hù)，但也可能會(huì)對(duì)用戶業(yè)務(wù)系統(tǒng)造成額外的負(fù)擔(dān)。不過，安全公司明顯早已意識(shí)到了這個(gè)問題，并紛紛采取不同的解決方法。

Palo Alto的防御方法更為專注于威脅檢測和攻擊防護(hù)，由于采用了“管控分離”的架構(gòu)方式，通過獨(dú)立的應(yīng)用檢測芯片對(duì)應(yīng)用流量進(jìn)行安全檢測，使其在真實(shí)網(wǎng)絡(luò)環(huán)境里對(duì)于用戶業(yè)務(wù)系統(tǒng)性能上的影響很小。

威脅情報(bào)(PaloAlto的Unit 42威脅情報(bào)團(tuán)隊(duì)就在專門負(fù)責(zé)相關(guān)信息數(shù)據(jù)的搜集)、大數(shù)據(jù)、安全云平臺(tái)，這些不僅加強(qiáng)了用戶系統(tǒng)的安全防御體系強(qiáng)度，也避免給用戶系統(tǒng)增加過多負(fù)擔(dān)。

沒有終點(diǎn)的馬拉松？……

曾經(jīng)松散的惡意攻擊者開始拉幫結(jié)派了，好在防御者們也沒有閑著，一方面見招拆招，一方面積極利用先進(jìn)的IT技術(shù)，努力的比惡意攻擊者多邁出一步。這是一場沒有終點(diǎn)的馬拉松，攻防之間的戰(zhàn)爭將于進(jìn)化中持續(xù)不停。

關(guān)鍵字：進(jìn)化攻防 Palo 生死之爭