企業到底該選擇什么樣的安全設備?
新的威脅類型不斷涌現,傳統的安全設備顯然已經過時,我們該如何選擇,以確保安全?
新威脅不斷涌現且愈發高級
在過去的幾年中,我們已經看到越來越多針對財富500強企業和政府網絡的攻擊,商業化的運作使這些攻擊在本質上具有高度針對性和持續性,有些攻擊甚至持續幾個月,同時大部分此類攻擊意在竊取有價值的信息。
現代的惡意軟件通常分為利用軟件漏洞和通過有效載荷交付獲得合法訪問兩種類型。經過多年的發展和積累,大量的資源被投入其中,使用的技術已經成熟。我們看到越來越多的黑客使用0-day獲得通過軟件漏洞進行攻擊。同時,通過社會工程惡意軟件可以獲得合法的訪問如網絡釣魚、感染U-key等等。
目前許多的惡意軟件還使用復雜的逃避檢測技術,通過偽裝或修飾的網絡攻擊以躲避信息安全系統的檢測。傳統安全設備基于特征的檢測機制在本質上是靜態的,使惡意軟件開發人員可以很輕松地使惡意軟件逃避這些檢測,就像隱形戰斗機可在雷達和其它防御系統檢測不到的情況下發起攻擊。
傳統安全設備是否依然可靠?
在過去的數十年里,防火墻一直是網絡安全基礎架構最重要的基石之一。發展到現在,防火墻已經經歷了包過濾檢測、狀態檢測、NGFW等數代的發展。防火墻為了應對所面臨的威脅,在最近幾代更新的安全設備中引入了基于特征的安全機制。在發現新的攻擊后,要分析流量并將新流量特征添加到特征庫中。系統監控流量匹配特征中的模式,如果找到匹配項,會將流量標記為可能的攻擊。目前大多數的入侵檢測和入侵防御系統使用的都是基于特征的引擎。
基于特征的方式非常適合于檢測未加密的已知攻擊,但也有非常明顯的缺陷,也就是必須要知道攻擊后才能夠進行分析并編寫新的特征。對于以多種形態出現的新的惡意軟件和攻擊類型、APT及0-day攻擊所帶來的威脅,基于特征的方法基本上無能為力。部分廠商利用的“沙箱技術”也是一個靜態檢測方法。在發生危害之前,惡意軟件可以不斷在沙箱中測試和調優,直到沙箱無法檢測它。
在越來越多類似APT和其他一些精心設計的攻擊使用高度隱蔽的方式,幾乎不留下任何可審計的線索,如日志和事件。一些可審計的日志和事件由于數量過多,本身也不會提示嚴重的安全事件。但如果這些攻擊是基于網絡的,通常會在流量和流量數據中留下線索。大數據分析可以使用關聯、機器學習等技術發現攻擊的蛛絲馬跡,但這已經超出了傳統安全設備所能提供的檢測范圍。
我們到底需要什么樣的安全設備?
針對下一代防火墻產品是否適合規模應用,世界著名的市場研究機構Gartner公司研究副總裁Greg Young曾表示,市場早期的NGFW產品,基于威脅進行防護,安全管理更多依賴于安全管理員。NGFW更多的是一個響應者,對安全員不能發現的威脅不會做出防護。同時,在實際的使用過程中,由于安全策略不夠嚴格,潛在風險常常被利用。直到造成了損失被發現,進行“亡羊補牢”式的防護。可以預見到,“人”主導的安全防護很難長期保證質量。NGFW需要具備額外的智能。
山石網科CTO劉向明也認為,“0-Day、APT攻擊、DDoS等異常流量及新型威脅不斷出現,而這些異常威脅隱藏在正常流量中無法通過特征識別和靜態閾值檢測出,需要結合流量異常行為進行數據關聯分析和檢測,并需要提前進行風險防范和安全防護,否則會給企業造成巨大的損失。目前的防火墻通過特征識別和靜態閾值進行威脅檢測,并在威脅發生時進行安全防護,對異常威脅無法有效防護和提前防范。”
隨著企業業務的發展,為了持續保證安全性,需要不斷調整防火墻策略。大部分企業在他們的下一代防火墻上部署了數百條甚至上萬條以上的策略,同時有相當一部分公司每個月都需要執行大量的策略變更。頻繁的變更導致防火墻策略數量不斷增加,存在大量冗余、無效的策略。這主要是因為管理員很難判斷哪些策略有問題,即使判斷出來也因為擔心影響業務不敢輕易調整。所以能夠及時瀏覽針對每一業務的策略設置,或提出策略優化建議,抑或能夠自動發現冗余和無效的策略,簡化管理的安全設備出現很有必要。
“智能化和自動化將是安全產品的一個發展趨勢,讓安全更多依賴“智能化設備”,有利于持久保持穩定的安全質量。”劉向明說。“基于對已知威脅的防御轉變為基于未知風險的預防,會給用戶帶來極大的利好”。
