啟用新的安全模式勢在必行

當(dāng)前的威脅環(huán)境完全不同于 10 年前。那些損害可控的簡單攻擊早已讓位于高度復(fù)雜、資金基礎(chǔ)雄厚且能對組織和國家基礎(chǔ)設(shè)施造成重創(chuàng)的現(xiàn)代網(wǎng)絡(luò)犯罪。這些高級攻擊不僅難以檢測，而且還會長時間留在網(wǎng)絡(luò)內(nèi)，積累網(wǎng)絡(luò)資源，以便在其他地方發(fā)動攻擊。

完全依賴檢測與攔截來實(shí)現(xiàn)防護(hù)的傳統(tǒng)防御措施已經(jīng)遠(yuǎn)遠(yuǎn)不夠。目前的形勢要求啟用新的安全模式，在攻擊前、攻擊中和攻擊后的整個過程中提供保護(hù)。

黑客活動的產(chǎn)業(yè)化

最早的電腦病毒出現(xiàn)距今已超過 25 年。當(dāng)時幾乎沒有人意識到，它們會成為黑客活動產(chǎn)業(yè)化的開端。

近 10 年來，病毒一直是主要的攻擊方式。隨著時間的推移，防御者在很大程度上能夠依靠攔截和防護(hù)能力來對抗這些病毒。隨著新漏洞不斷被發(fā)現(xiàn)和公布，攻擊者獲得了惡名，但也積累了越來越多的知識，這使得他們一直在不斷創(chuàng)新。隨之而來的，是清晰的威脅周期，也可以說，這是一種“軍備競賽”。大約每隔五年，攻擊者們就會推出新型的威脅(從宏病毒到蠕蟲病毒，再到間諜軟件和 rootkit)，而防御者們則會快速創(chuàng)新，以保護(hù)網(wǎng)絡(luò)免受這些威脅的損害。

毫無疑問，我們可以把這些周期與那些帶來新攻擊載體的主要技術(shù)轉(zhuǎn)變對應(yīng)起來(見圖 1)。早期的病毒主要是以操作系統(tǒng)為目標(biāo)，并通過“潛入者網(wǎng)絡(luò)”進(jìn)行傳播。宏病毒利用用戶的文件共享進(jìn)行傳播。蠕蟲類型的病毒利用企業(yè)網(wǎng)絡(luò)和不斷增加的互聯(lián)網(wǎng)活動，在不同計算機(jī)之間傳播。間諜軟件和 rootkit 則伴隨新的應(yīng)用、設(shè)備和在線社區(qū)出現(xiàn)。現(xiàn)在，我們面對的是高級惡意軟件、針對性攻擊和高級持續(xù)性威脅 (APT)。這個時代與過去的不同在于攻擊背后的動機(jī)與工具，這使得檢測、了解和阻止這些攻擊變得非常困難。

圖 1. 黑客活動的產(chǎn)業(yè)化

黑客活動的產(chǎn)業(yè)化正在創(chuàng)造一種更快、更有效且更高效的犯罪經(jīng)濟(jì)，他們會通過攻擊我們的 IT 基礎(chǔ)設(shè)施獲取利益。有組織的漏洞交易非常猖獗且利益可觀，而開放的市場更是推動了從利用漏洞到盜竊、破壞和損毀數(shù)據(jù)的轉(zhuǎn)變。而且，隨著網(wǎng)絡(luò)罪犯意識到可以從中獲取巨額的資金，他們的工作變得越來越標(biāo)準(zhǔn)化、自動化和流程化。攻擊者了解傳統(tǒng)安全技術(shù)的靜態(tài)特性及其相互獨(dú)立的部署，因此他們可以利用兩者之間的缺口及其內(nèi)部的漏洞。黑客集團(tuán)遵循軟件開發(fā)流程甚至成了司空見慣的事情，比如他們會在發(fā)布自己的產(chǎn)品前針對安全技術(shù)進(jìn)行質(zhì)量保證測試或工作臺測試，以確保能夠繼續(xù)繞過常規(guī)防護(hù)。

現(xiàn)在，由于存在保密性方面的巨額經(jīng)濟(jì)獎勵，許多“黑客活動分子”團(tuán)隊(duì)因此會發(fā)動能夠?yàn)樗麄儙斫?jīng)濟(jì)或政治收益而又極少會招致懲罰或起訴的攻擊。新的攻擊方法(例如：端口和協(xié)議跳躍、加密隧道、植入程序、以及使用社交工程和零日攻擊的復(fù)合型威脅和技術(shù))使得黑客能夠更加輕松迅速地入侵，且成本更低，同時也增加了防御者檢測和攔截攻擊的難度。另外，這些方法還具有巧妙逃避的特性，因此，攻擊能夠自己在入侵企業(yè)后迅速變化，尋找穩(wěn)固的立足點(diǎn)并竊取重要數(shù)據(jù)。#p#

“全面互通”挑戰(zhàn)

現(xiàn)代的擴(kuò)展網(wǎng)絡(luò)及其組件在不斷地變化，并造就了新的攻擊媒介。其中包括移動設(shè)備、具備網(wǎng)絡(luò)功能的移動應(yīng)用、虛擬機(jī)監(jiān)控程序、社交媒體、網(wǎng)絡(luò)瀏覽器和嵌入式計算機(jī)，以及我們初步構(gòu)想的由萬物互聯(lián)所帶來的數(shù)量激增的各種設(shè)備和服務(wù)。人們需要使用各種設(shè)備、訪問各種應(yīng)用并使用許多不同的云，因此總是與網(wǎng)絡(luò)息息相關(guān)。這種普及性就是所謂的“全面互通”挑戰(zhàn)。這些動態(tài)性在方便我們的通信的同時，也增加了可讓黑客用以入侵的入口點(diǎn)和方法。遺憾的是，大多數(shù)組織處理安全問題的方法尚未實(shí)現(xiàn)統(tǒng)一。

大多數(shù)組織采用相互獨(dú)立的技術(shù)來保護(hù)擴(kuò)展網(wǎng)絡(luò)，這些技術(shù)不會也無法協(xié)同工作。他們還可能過分地依賴云安全服務(wù)供應(yīng)商和托管公司來保護(hù)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。在這一新的現(xiàn)實(shí)情況下，安全管理員往往對訪問企業(yè)網(wǎng)絡(luò)的設(shè)備和應(yīng)用具有較低的可視性和可控性，而且能力不足以應(yīng)對新的威脅形勢。

新的安全動態(tài)

面對高級攻擊和任意點(diǎn)對點(diǎn)基礎(chǔ)設(shè)施共同帶來的挑戰(zhàn)，安全專業(yè)人員提出了三大問題：

1. 伴隨著新的業(yè)務(wù)模式和攻擊媒介的出現(xiàn)，我們?nèi)绾卧?IT 形勢不斷變化時保持安全性和合規(guī)性?那些為了獲得云、虛擬化或移動技術(shù)所提供的工作效率、靈活性與效率而過渡到這些設(shè)備的組織，必須對其安全基礎(chǔ)設(shè)施進(jìn)行相應(yīng)地調(diào)整。

2. 在不斷變化的威脅形勢下，我們?nèi)绾翁岣吣芰沓掷m(xù)防御新的攻擊媒介和日益復(fù)雜的威脅?攻擊者不會區(qū)別對待;他們會抓住該鏈條中的任何薄弱環(huán)節(jié)。他們會頻繁使用專為規(guī)避目標(biāo)所選擇的安全基礎(chǔ)設(shè)施而開發(fā)的工具，毫不留情地攻擊相應(yīng)環(huán)節(jié)。他們會使用那些危害表現(xiàn)極其細(xì)微的技術(shù)和方法，在規(guī)避檢測方面竭盡全力。

3. 我們?nèi)绾尾拍軌蚪鉀Q前兩個問題并同時降低安全解決方案的復(fù)雜性與凌亂性?留下可被當(dāng)今經(jīng)驗(yàn)豐富的攻擊者利用的防護(hù)缺口，將會給組織帶來難以承受的代價。同時，由于未進(jìn)行集成的不同安全解決方案而增加復(fù)雜性，無法提供應(yīng)對高級威脅所需的防護(hù)水平。

這些動態(tài)性(不斷變化的業(yè)務(wù)模式、威脅形勢和安全的復(fù)雜性與凌亂性)的結(jié)合，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。為了真正保護(hù)企業(yè)應(yīng)對這些動態(tài)性，我們需要改變我們的安全方法。因此，啟用以威脅為中心的全新安全模式勢在必行。#p#

應(yīng)對整個攻擊過程：攻擊前、攻擊中和攻擊后

當(dāng)今的大多數(shù)安全工具都專注于提供網(wǎng)絡(luò)可視性，并在進(jìn)入點(diǎn)攔截惡意軟件。它們會在開始階段對文件進(jìn)行一次掃描，以確定其是否為惡意文件。但高級攻擊并不限于單個時間點(diǎn);而是持續(xù)不斷地發(fā)生，這就需要我們提供持續(xù)的審查。現(xiàn)在，攻擊者采用諸如端口跳躍、封裝、零日攻擊、命令和控制 (C&C) 檢測規(guī)避、休眠技術(shù)、橫向移動、加密流量、復(fù)合型威脅以及沙盒規(guī)避等手段，來躲避初始檢測。如果未捕捉到相應(yīng)的文件或文件在進(jìn)入相應(yīng)環(huán)境后才發(fā)展演變成惡意文件，在某個時間點(diǎn)進(jìn)行檢測的技術(shù)將無法識別攻擊者的后續(xù)演變活動。

安全方法不能只專注于檢測，它還必須具備降低攻擊者侵入后所造成影響的能力。組織需要全面檢查他們的安全模式并獲得整個擴(kuò)展網(wǎng)絡(luò)和攻擊過程(攻擊發(fā)生前、攻擊發(fā)生過程中以及攻擊開始破壞系統(tǒng)或竊取信息后)的可視性和可控性(見圖 2)。

圖 2. 新安全模式

● 攻擊前：為了實(shí)施策略和控制以防護(hù)擴(kuò)展網(wǎng)絡(luò)，防御者需要對擴(kuò)展網(wǎng)絡(luò)上的事物具有全面的感知與可視性。

● 攻擊中：持續(xù)檢測并攔截惡意軟件的能力至關(guān)重要。

● 攻擊后：為了消除攻擊的影響，防御者需要追溯性安全功能。他們必須識別進(jìn)入點(diǎn)，確定范圍，遏制威脅，降低再次感染的風(fēng)險并修復(fù)破壞的部分。

攻擊前

面對情景感知型攻擊者，我們需要情景感知安全產(chǎn)品。組織面對的攻擊者往往比他們自己更了解他們所保護(hù)的基礎(chǔ)設(shè)施。為了在攻擊發(fā)生之前進(jìn)行防御，組織需要具有對自身環(huán)境(包括[但不限于]物理和虛擬主機(jī)、操作系統(tǒng)、應(yīng)用、服務(wù)、協(xié)議、用戶、內(nèi)容和網(wǎng)絡(luò)行為)的全面可視性，以期在與攻擊者的對抗中獲得信息優(yōu)勢。防御者需根據(jù)目標(biāo)價值、攻擊的合法性及歷史情況，了解基礎(chǔ)設(shè)施所面臨的風(fēng)險。如果不明白自己在努力保護(hù)什么，他們對于配置用來進(jìn)行防御的安全技術(shù)將會毫無準(zhǔn)備。可視性需要覆蓋整個網(wǎng)絡(luò) - 包括終端、電子郵件和 Web 網(wǎng)關(guān)、虛擬環(huán)境和移動設(shè)備，并延伸到數(shù)據(jù)中心。而且從這種可視性中，必須能夠生成可指導(dǎo)操作的警報，以便防御者做出明智決策。

攻擊中

嚴(yán)酷的攻擊并不限于單個時間點(diǎn);而是持續(xù)不斷地發(fā)生的。這就需要我們提供持續(xù)的安全防護(hù)。傳統(tǒng)的安全技術(shù)僅能基于攻擊本身的單個數(shù)據(jù)點(diǎn)在某個時間點(diǎn)檢測攻擊。這種方法是無法與高級攻擊相抗衡的。我們需要的是基于感知概念的安全基礎(chǔ)設(shè)施：集成并關(guān)聯(lián)歷史模式擴(kuò)展網(wǎng)絡(luò)的數(shù)據(jù)與全局攻擊情報，從而提供情景并區(qū)分主動攻擊、外泄和偵察與單獨(dú)的背景噪聲。這使得安全防護(hù)從一種某個時間點(diǎn)的測試轉(zhuǎn)變成一種持續(xù)的分析與決策制定過程。如果某個文件通過了安全檢測，后來又表現(xiàn)出惡意行為，那么組織就可以采取措施。有了這種實(shí)時洞察，安全專業(yè)人員可以在不進(jìn)行人工干預(yù)的情況下，采用情報自動化來強(qiáng)化安全策略。

攻擊后

為了應(yīng)對整個攻擊過程，組織需要追溯性安全功能。追溯性安全功能是一項(xiàng)巨大的數(shù)據(jù)挑戰(zhàn)，很少有產(chǎn)品能夠提供這種功能。當(dāng)基礎(chǔ)設(shè)施能夠不斷收集和分析數(shù)據(jù)來創(chuàng)建安全情報時，安全團(tuán)隊(duì)可以通過自動化來識別危害表現(xiàn)，檢測那些復(fù)雜程度足以改變自身行為來躲避檢測的惡意軟件，然后修復(fù)相應(yīng)的問題。數(shù)周或數(shù)月前未被檢測出的攻擊都可以被識別、確定范圍、遏制和修復(fù)。

以威脅為中心的安全模式可幫助組織應(yīng)對整個攻擊過程，處理所有攻擊媒介并隨時、時時、實(shí)時進(jìn)行響應(yīng)。#p#

啟用新安全模式

為了啟用新的安全模式，思科認(rèn)為現(xiàn)代安全技術(shù)需要專注于三項(xiàng)戰(zhàn)略性事務(wù)：它們必須是可視性驅(qū)動、專注于威脅且基于平臺的。

可視性驅(qū)動：安全管理員必須能夠準(zhǔn)確地查看一切正在發(fā)生的事情。這種功能需要廣度與深度的結(jié)合(見圖 3)。廣度即具備跨網(wǎng)絡(luò)交換矩陣、終端、電子郵件和 Web 網(wǎng)關(guān)、移動設(shè)備、虛擬環(huán)境和云來查看和收集來自所有潛在攻擊媒介的數(shù)據(jù)的能力，從而獲得有關(guān)環(huán)境和威脅的知識。深度提供關(guān)聯(lián)信息、應(yīng)用情報來了解情況、做出更好的決策并手動或自動采取行動的能力。

圖 3. 廣度與深度

專注于威脅：現(xiàn)在的網(wǎng)絡(luò)已擴(kuò)展到所有有員工、數(shù)據(jù)以及可以訪問數(shù)據(jù)的地方。盡管盡了最大努力，對于安全專業(yè)人員而言，應(yīng)對不斷變化的攻擊媒介仍是一項(xiàng)巨大的挑戰(zhàn)，這種持續(xù)的變化也給攻擊者帶來了可乘之機(jī)。策略和控制對于減少攻擊面而言是必需的，但網(wǎng)絡(luò)仍然面臨著威脅。因此，技術(shù)必須專注于檢測、了解和阻止威脅。專注于威脅意味著站在攻擊者的立場上去思考、應(yīng)用可視性與情景以了解和適應(yīng)環(huán)境中的變化，然后演變防護(hù)措施，從而采取行動并阻止威脅。隨著高級惡意軟件和零日攻擊的出現(xiàn)，這已成為一個需要持續(xù)分析以及實(shí)時安全情報(來自云并在所有產(chǎn)品中共享)的持續(xù)流程，以便提升效率。

基于平臺：安全現(xiàn)在不僅僅是一個網(wǎng)絡(luò)問題;它需要涵蓋了網(wǎng)絡(luò)、設(shè)備和云的靈活開放平臺的集成系統(tǒng)。這些平臺必須具備可擴(kuò)展性，具有一定規(guī)模且可針對統(tǒng)一策略和一致性控制進(jìn)行集中管理。簡單地說，在我們對抗攻擊時，它們需要無處不在。這體現(xiàn)了從部署單點(diǎn)安全設(shè)備到集成可擴(kuò)展的真實(shí)平臺、易于部署的服務(wù)與設(shè)備的轉(zhuǎn)變。基于平臺的方法不僅增加了安全效力，消除了孤立及其產(chǎn)生的漏洞，還減少了檢測時間，簡化了執(zhí)行過程。#p#

涵蓋整個攻擊全程

為了克服當(dāng)今的安全挑戰(zhàn)并獲得更好的防護(hù)，組織需要貫穿整個攻擊過程且根據(jù)可視性驅(qū)動、專注于威脅和基于平臺三個原則設(shè)計的解決方案。思科提供了貫穿整個攻擊過程，以威脅為中心的網(wǎng)絡(luò)安全解決方案的全面產(chǎn)品組合。

圖 4. 涵蓋整個攻擊全程

這些基于平臺的特定解決方案在出現(xiàn)威脅的攻擊媒介方面，提供了業(yè)界最廣泛的執(zhí)行與修復(fù)選項(xiàng)。這些解決方案協(xié)同工作，在整個攻擊過程中提供防護(hù)，同時還針對整體安全系統(tǒng)集成了補(bǔ)充性的解決方案。

● 攻擊發(fā)生之前，包括防火墻、下一代防火墻、網(wǎng)絡(luò)訪問控制和身份服務(wù)等在內(nèi)的解決方案會向安全專業(yè)人員提供他們發(fā)現(xiàn)威脅、執(zhí)行和強(qiáng)化策略所需的工具。

● 攻擊進(jìn)行期間，下一代入侵防御系統(tǒng)與電子郵件和 Web 安全解決方案會提供檢測、攔截和防御正在滲透或已滲透進(jìn)來的網(wǎng)絡(luò)攻擊的功能。

● 攻擊之后，組織可以利用思科高級惡意軟件防護(hù)與網(wǎng)絡(luò)行為分析來快速、有效地針對攻擊確定范圍、遏制威脅并修復(fù)漏洞，將破壞降到最低。

這些解決方案擴(kuò)展后甚至可以支持最大的跨國組織，在需要時根據(jù)情況，以物理和虛擬設(shè)備或基于云的服務(wù)的形式提供。它們還進(jìn)行了集成，可跨擴(kuò)展網(wǎng)絡(luò)和所有攻擊媒介提供持續(xù)的可視性與可控性。

總結(jié)

黑客活動的產(chǎn)業(yè)化，再加上全面互通挑戰(zhàn)，正深刻改變著我們保護(hù)自己系統(tǒng)的方式，促使我們?nèi)タ紤]全新的網(wǎng)絡(luò)安全方法。把重點(diǎn)放在基于外圍的防御和預(yù)防性技術(shù)上的安全戰(zhàn)略將使得攻擊者在進(jìn)入網(wǎng)絡(luò)后能夠隨心所欲。

不斷變化的業(yè)務(wù)模式、威脅形勢和安全的復(fù)雜性與凌亂性，造成了安全漏洞，打破了安全周期，降低了可視性，并帶來了安全管理挑戰(zhàn)。因此啟用以威脅為中心的、能夠跨擴(kuò)展網(wǎng)絡(luò)和整個攻擊過程提供組織需要的可視性和可控性的全新安全模式勢在必行。

這種以威脅為中心的安全方法能夠在降低復(fù)雜性的同時，跨整個攻擊過程提供出色的可視性、持續(xù)的可控性和高級威脅防護(hù)，思科是唯一一家能夠提供這種方法的企業(yè)。使用這一新的安全模式后，組織將能夠更智能、更快速地應(yīng)對攻擊前、攻擊中和攻擊后的情況。