领先一步,领先的是思维方式
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:病毒,安全分析,CTB-Locky,CryptoLocker smarty:/if?>
- 发布时间:2016-06-22 10:02
在日益复杂的网络威胁环境中,企业要保证安全,需要的是领先一步,提前防范,不是亡羊补牢。领先一步不仅仅是技术领先,更要有超越传统防御手段的安全思维方式。
目前,很多防范手段都是基于病毒或者威胁特征码进行分析、过滤、拦阻,而这种方式都是对已知的威胁进行防御的传统手段。而很多危害在发生前没有明显的预兆,尤其是入侵行为。据一些安全厂商统计,入侵行为被发现通常是在该入侵行为发生后的200天左右。这样的后知后觉造成的结果是损失惨重。如何才能在危险发生前做到提前预警,提前防范,这才是用户所关注的。
安全分析放首位
如何对来自各方面的可能的威胁进行分析是安全解决方案提供商所面临的第一个问题。它们有什么先进的技术呢?对于预先防范,它们通常要做的是对异常数据流进行分析。何谓异常数据流,简单来说就是有别于常规业务数据流的一些突然激增现象,这就有可能是异常行为。做到主动防御是关键的一步。通常情况下,当安全软硬件侦测到这种行为异常时,会做出一些反应:首先会进行记录,然后向管理员进行汇报,由管理员进行手动拦截。
如今的安全软硬件已经具备了很多自我分析和自我处置功能。它们一旦发现异常数据流激增变化,产生异常数据交换行为,就会对发出该命令的程序进行拦阻,或者对其进行封箱,与正常应用隔离开来,避免可能产生的严重后果。这就是所谓的沙箱技术。它可以将可能的威胁提前进行分析过滤,将可能带来的危害降低。这种方式事实上需要很强的分析能力。哪些是正常的数据流激增,而哪些又是异常的激增数据流,都需要安全软硬件来判断,这取决于安全软硬件的识别能力和感知能力。
写到这里,笔者联想到某些具有自我学习功能的软件,比如最近炒得很火的谷歌AlphaGo。如果安全软硬件都具备那么强的自我学习能力,确保信息安全应该就不用那么复杂了吧?错,信息安全并不仅仅是由一些软件和硬件堆砌起来的,物是死的,人是活的。人为的因素可能更容易带来危险。人为因素指的就是由于员工自我防范意识缺乏造成的危险,这其中就有很多查看钓鱼邮件所引发的危害事件。在这些钓鱼邮件所引发的事件中,近期出现比较多的就是CTB-Locky、CryptoLocker等加密勒索软件。
管理平台模块化
融合,当下人们谈论得多的就是融合架构。基础设施中的安全设施也需要融合架构。面对复杂的融合架构,安全解决方案提供商需要搭建一个行之有效,而且一目了然、容易理解的管理平台。近期,笔者看到了很多这样的平台,在这里笔者先介绍一下来自于Check Point的Check Point 15000、23000和Check Point R80等新一代安全设备和管理平台。前两个设备整合了防火墙、入侵防御系统(IPS)、反僵尸(anti-bot)、防病毒、应用控制、URL过滤和Check Point SandBlast沙箱技术;通过确保在不影响性能的基础上,对完全混合的加密流量(安全套接层SSL)的检测来应对未来源自加密流量的针对企业的攻击;遵循集合冗余等创新的设计原则,拥有带外数据管理能力;采用40G扩展卡来管理持续增长的数据流量。
Check Point R80管理平台为企业提供了一个统一的安全方法来整合安全的各个方面,使管理者可以更加有效娴熟地为整个组织部署强大的安全保护。R80平台采用一个单一的控制台管理边界、数据中心分支和云部署,确保整个架构拥有持续的强大保护。这意味着将实现对安全管理的简化和更好的可视性,甚至允许多个管理员在同一策略下工作,而没有冲突,使整体安全策略可以更好地支持业务流程和网络架构。R80平台将安全策略分割成多个部分进行管理,使安全团队可以跟上不断改变的策略。同时,R80平台还将安全与IT流程相结合,帮助业务管理者授权安全平台实现自助服务,从而减少在安全运维和业务之间进行沟通的人员消耗,使主要的安全专家能够把精力集中于策略性的安全任务。通过R80,安全团队将对安全状态实现全面了解并且快速做出反应。监控、记录、报告和事件相关信息都会在同一、可视、定制的控制面板上显示。这不仅可以使管理员简单明了地了解问题所在并快速地应对事件,还允许他们为从关键业务人员到技术合作伙伴的每个人制作定制化的报告。
另外,以上这些设备和管理平台都是模块化的,就比如“软刀片”,可以较为随意地更换和增添。Check Point北亚区总裁罗杉表示:“我们销售‘软刀片’其实是一个服务。我们第一年给用户免费提供所有‘软刀片’,第一年会全部激活给用户。我们的‘软刀片’是模块形式,用户可以随时添加。第二年用户可以根据自己的应用环境进行调整,付费激活相关模块。”
为了满足跨平台应用,除PC端管理平台外,Check Point还为这几种管理平台开发了相应的多操作系统简易版监管平台,方便不同系统用户使用。
增设服务中心预测新一轮威胁
对于大而全的融合系统而言,调优工作谁来做,这也是用户所关注的。很多用户自己有实力做,但面对日益复杂的融合系统,很多用户就显得束手无策。此时,安全解决方案提供商就需要为其提供更为完善的运维服务。罗杉表示:“我们在全球有三个服务中心,分别在以色列、欧洲和美国。今年开始,我们将在中国设立第四个服务中心,主要负责售前调测和售后服务。此外,我们也通过合作伙伴和总代理去辅助完成这些工作,不仅仅卖产品和解决方案,还要完善服务。如果客户决定自己做,就由客户自己做,如果客户能力不足就由我们做。”
2015年发生了很多网络攻击事件,许多知名机构都发生了严重的数据泄露事件。黑客仍然不断地在探索用新的方式来攻击网络。一些安全解决方案提供商在预测未来还会有哪些危机出现在用户面前,它们都在积极主动地研发新的产品应对这些新威胁。Check Point也对此提出了自己的预测:
1.“Sniper”和“shotgun”恶意软件获取用户数据。黑客不但会定制恶意软件,还会越来越多地运用一些复杂的网络钓鱼和社会工程伎俩来获取敏感的数据。
2.移动威胁加剧。2015年已经发现了多个重大的漏洞。移动漏洞的数目在2016年还会继续增长。
3.越来越多的企业将采取先进的威胁防护措施。传统的沙箱已不能防御不断增长的恶意软件。CPU级别的沙箱使用将变得更加普遍,因为它是唯一可以检测和防御规避技术攻击、未知恶意软件和零日攻击的先进解决方案。
4.关键基础设施将成为主要攻击目标。SCADA和ICS网络缺乏安全性,针对类似系统的攻击在最近这几年有所增加,这种情况只会变得更糟。
5.物联网和智能设备仍存在风险。物联网将进一步发展,企业需要考虑如何保护自身的智能设备,并且做好广泛使用物联网的准备。
6.可穿戴设备也存在风险。越来越多可穿戴设备如智能手表等将继续接入企业网络,这将带来新的安全风险和挑战,因为黑客可通过可穿戴设备捕获视频或音频信息。
7.火车、飞机和汽车等易受攻击。2015年发生了首次黑客攻击汽车事件。新一代的汽车拥有许多配件和可连接的系统,这使汽车也很容易受到威胁攻击。
8.虚拟环境遭遇威胁。越来越多的企业架构在向虚拟环境迁移,这一过程非常复杂并产生了新的网络层,而这也成为了一种攻击向量。保护虚拟环境需要新的网络安全策略。
9.新的环境会产生新的威胁。黑客将可能攻击一些新的操作系统,如2015年推出的Windows 10和iOS 9,因为这些系统更新频繁,而用户并不太熟悉新的环境。
企业将寻求对安全系统进行整合部署。为了对抗高级威胁,安全专家将增加对集中式安全管理解决方案的部署。整合安全可以提供有效的方法来降低单独部署多个系统的复杂性并且易于管理。新一轮的威胁浪潮即将袭来,希望企业能够时刻保持警惕。
■本报记者 赵明