筆者在上一篇文章中說(shuō):NGFW開(kāi)始聚焦FW、UTM尚未涉及的“灰色區(qū)域”。大家都知道“白”是指信息完全明確,可以信任;“黑”是指信息未知,不能信任;那么“灰”呢?它是指信息部分明確,部分不明確,不可不信,也不可全信。伴隨著各種互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展,灰色區(qū)域也呈幾何級(jí)增長(zhǎng),幾乎每一種應(yīng)用都存在灰色內(nèi)容,它們都是各種攻擊的風(fēng)險(xiǎn)引入點(diǎn)。
“灰色區(qū)域”,成為網(wǎng)絡(luò)犯罪重災(zāi)區(qū)
根據(jù)Ponemon的報(bào)告《2015年網(wǎng)絡(luò)犯罪成本研究》對(duì)全球7個(gè)國(guó)家的252家組織調(diào)查顯示,2015年網(wǎng)絡(luò)犯罪造成的成本在持續(xù)上升,平均每個(gè)公司每年會(huì)受到99次網(wǎng)絡(luò)攻擊,應(yīng)對(duì)網(wǎng)絡(luò)犯罪的平均成本為770萬(wàn)美元,而在2012年則僅為68次,在4年時(shí)間里提升了46%。可以看出,各公司遭到網(wǎng)絡(luò)攻擊的次數(shù)在明顯上升。如果從圖中列出的不同網(wǎng)絡(luò)攻擊所造成損失的具體數(shù)值來(lái)看,確定應(yīng)用層“灰色區(qū)域”已經(jīng)成為網(wǎng)絡(luò)犯罪重災(zāi)區(qū),從圖中可以看出內(nèi)部威脅與DoS攻擊造成的損失最多,分別為14.5萬(wàn)美元和12.7萬(wàn)美元。其余的攻擊方式還有(按所造成損失從高到低排列):基于Web的攻擊、網(wǎng)絡(luò)釣魚(yú)、惡意代碼、設(shè)備被盜竊、惡意軟件、病毒、蠕蟲(chóng)、木馬還有僵尸網(wǎng)絡(luò)。這些攻擊方式全部都是針對(duì)應(yīng)用層進(jìn)行,并且這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用,給企業(yè)帶來(lái)了重大損失。甚至之前典型的以網(wǎng)絡(luò)層流量“制勝”的DDoS攻擊,近年來(lái)也有向應(yīng)用層上移的趨勢(shì)。
不同的攻擊造成的損失(數(shù)據(jù)來(lái)源于Ponemon《2015年網(wǎng)絡(luò)犯罪成本研究》)
“灰色區(qū)域”為何淪為黑客手中“軟柿子”?
大家看完上面圖表估計(jì)內(nèi)心都會(huì)有一個(gè)疑問(wèn),為什么現(xiàn)在網(wǎng)絡(luò)攻擊逐漸從網(wǎng)絡(luò)層上移至應(yīng)用層呢?應(yīng)用層為何成為黑客攻擊首選陣地呢?筆者認(rèn)為有以下三個(gè)原因:首先,從產(chǎn)品技術(shù)角度,超過(guò)90%應(yīng)用都屬于灰色系統(tǒng),對(duì)于它們認(rèn)知都是模糊不確定的,類(lèi)似安全 “老三樣”這樣產(chǎn)品面對(duì)應(yīng)用層早就顯得力不從心,基本失去防御能力。筆者在上篇文章中已經(jīng)講解過(guò),像UTM、FW這類(lèi)產(chǎn)品對(duì)于灰色內(nèi)容是“棄之不管”的,而這部分內(nèi)容無(wú)疑成為了最大風(fēng)險(xiǎn)引入點(diǎn)。
其次,從市場(chǎng)角度,應(yīng)用層安全防護(hù)產(chǎn)品尚未形成主流市場(chǎng),處于網(wǎng)絡(luò)7層中防守最薄弱環(huán)節(jié)。即便像下一代防火墻這樣作為應(yīng)用層安全防護(hù)首選產(chǎn)品,目前在國(guó)內(nèi)也尚未形成統(tǒng)一標(biāo)準(zhǔn),各廠家產(chǎn)品的防護(hù)能力更是參差不齊。這無(wú)疑會(huì)成為攻擊者最易攻破地方。
最后,從安全意識(shí)角度,大家對(duì)于應(yīng)用中灰色區(qū)域認(rèn)知和安全意識(shí)不夠。比如對(duì)垃圾郵件這樣包含灰色內(nèi)容應(yīng)用,沒(méi)有足夠意識(shí),只需通過(guò)“求職信”、“工資條”這樣簡(jiǎn)單社會(huì)工程學(xué)技術(shù)就能讓很多人中招病毒、木馬,使其成為后期被攻擊對(duì)象。正所謂網(wǎng)絡(luò)安全本質(zhì)就是人與人之間智力對(duì)抗,如果你安全意識(shí)不夠,那么第一個(gè)淪陷就是自己。
讓“灰色區(qū)域”陽(yáng)光化
應(yīng)用系統(tǒng)多樣復(fù)雜,沒(méi)有特定的安全技術(shù)能夠完全解決所有的安全問(wèn)題,對(duì)于如何減少應(yīng)用層風(fēng)險(xiǎn)與威脅對(duì)網(wǎng)絡(luò)影響,需要讓“灰色區(qū)域”陽(yáng)光化,筆者有幾個(gè)小建議大家分享。
首先:禁止企業(yè)中不必要應(yīng)用——從源頭縮減“灰色區(qū)域”
任何一種應(yīng)用中可能都存在潛在的風(fēng)險(xiǎn),因此上好的辦法就是縮小應(yīng)用入口,禁用一些不必要的應(yīng)用,例如P2p應(yīng)用,減少風(fēng)險(xiǎn)引入點(diǎn)。這樣可以最大程度縮減灰色區(qū)域,一定程度上降低防護(hù)復(fù)雜度。
其次:使用具備應(yīng)用識(shí)別和可視化能力應(yīng)用層安全設(shè)備代替?zhèn)鹘y(tǒng)安全設(shè)備
想要發(fā)現(xiàn)應(yīng)用中的威脅,一定要能夠精確識(shí)別流量,必須基于應(yīng)用、行為的特征來(lái)實(shí)現(xiàn)。正如當(dāng)今醫(yī)學(xué)上要準(zhǔn)確的確定一個(gè)人,絕不能再僅僅基于其身高、體貌來(lái)判斷,而是要檢驗(yàn)其指紋甚至DNA的特征,利用網(wǎng)絡(luò)數(shù)據(jù)包的“指紋”、“DNA”對(duì)數(shù)據(jù)類(lèi)型進(jìn)行鑒別的技術(shù),就是我們常說(shuō)的基于應(yīng)用層的應(yīng)用識(shí)別技術(shù),找出灰色區(qū)域中“黑名單”,讓?xiě)?yīng)用更加安全。對(duì)于剩余無(wú)法做出確切判斷的“灰色內(nèi)容”,引入風(fēng)險(xiǎn)視角思維,通過(guò)可視化這樣工具將灰色空間中的不確認(rèn)的威脅告知用戶(hù),讓用戶(hù)參與決策。
最后:為應(yīng)用層安全防護(hù)提供更多武器彈藥
根據(jù)Ponemon的報(bào)告顯示已經(jīng)有部分公司正在將預(yù)算資源從網(wǎng)絡(luò)層緩慢轉(zhuǎn)向應(yīng)用層。應(yīng)用層的預(yù)算支出從2013年的15%增長(zhǎng)到2015年的20%,而網(wǎng)絡(luò)安全支出則由40%下降到36%。面對(duì)越來(lái)越猖獗應(yīng)用層威脅,我們需要提供更多彈藥,讓灰色區(qū)域“陽(yáng)光化”。
寫(xiě)在最后:“灰色區(qū)域”不能成為安全的“法外之地”,網(wǎng)絡(luò)使用者不會(huì)被應(yīng)用中“暗箭”所傷,才是我們追求目標(biāo)!
京公網(wǎng)安備 11010502049343號(hào)