睿眼WEB攻擊威脅溯源系統:狙擊APT高手
伴隨著各種新型網絡攻擊的出現,企業信息安全形勢變得不容樂觀,特別是銀行、大型國企等機構,正在成為受攻擊的主要對象。高級持續性威脅(APT,Advanced Persistent Threat)是眾多攻擊手段中破壞性極強的一種,特點在于其不可預見性,一切的破壞都是“突襲”,已成為各級各類網絡所面臨的主要安全威脅,使得各級單位機構對于內網安全的投入依舊是“杯水車薪”。也正因如此,企業級信息安全迎來了新挑戰。
中睿天下iLab安全實驗室負責人白應東
傳統安全設備存短板
防火墻,一種典型的邊界設備,通過訪問控制來阻斷外部威脅。但隨著Web服務的不斷發展,隱藏在HTTP等基礎協議之上的應用層攻擊越來越多。而攻擊手法也相對隱蔽,其行為相當于一次正常的Web訪問,此時防火墻是無法識別和阻止的,同時也不能阻止來自內部的攻擊。于是入侵檢測(IDS)、入侵防御(IPS)等安全設備應運而生,通過模式匹配、協議分析、異常流量統計等特征匹配方式進行檢測攻擊,其特點是主要針對已知的攻擊類型。
但是特征的“偽裝”在今天也變得異常容易,只需修改一個“二進制代碼”即可改變木馬的特征。因此依靠匹配模式進行“掃蕩”顯得有些力不從心,我們必須轉變思路,采取新的形式。
為了在目前快速的攻防對抗中獲得優勢,中睿天下以大數據為支撐,以溯源技術為核心,研發了睿眼系列攻擊溯源設備。通過深度把握網絡中攻擊源、攻擊工具、攻擊手法、被攻擊者等要素,來實現已知威脅檢測和未知威脅檢測。首創的攻擊模型檢測方式,與現有的高級攻擊(如APT)針尖對麥芒,即使君有疾在腠理,睿眼也可像“扁鵲”一樣實時將威脅檢出。即使部署睿眼之前資產服務器已被植入后門,一旦后門被利用,睿眼立即就可將其抓出。
中睿天下iLab安全實驗室負責人白應東表示:”睿眼的最大優勢在于彌補了傳統IDS和IPS防御的不足。基于強大的攻擊溯源技術能夠有效解決傳統安全設備無法檢測的未知威脅。“
高調做事的iLAB實驗室
面對復雜不可控的APT攻擊,中睿天下的iLAB實驗室不同于其他安全研究機構,立足服務用戶。研究的都是用戶最為關心的問題,如攻擊者的背景、目的以及來源、攻擊過程等。白應東表示:80%的APT攻擊開始于web攻擊,睿眼能夠在APT攻擊發起之時及時發現并采取措施。不僅如此,iLAB實驗室還與其他互聯網安全廠商建立了PB級的數據資源共享的合作,為提供攻擊溯源做了后援保障。
不僅如此,在威脅分析方面iLAB實驗室也有專業的人才團隊。在非人工干預的情況下,記錄網站訪問者的“指紋”,包括攻擊行為、攻擊手法等能辨析攻擊者身份的數據。把這些數據與指紋庫的攻擊模型進行匹配,確定是否是攻擊行為并加以評級。這不僅需要對各種攻擊行為非常熟悉,必要時還需要進行人工分析。
iLAB實驗室依靠睿眼WEB攻擊威脅溯源系統,再加上專家團隊、大數據溯源中心的支撐,實現了威脅分析、攻擊溯源、策略改進三方面的持續閉環防護,能夠在傳統安全設備的防護基礎上,明顯改進Web防護的效果。
睿眼WEB攻擊威脅溯源系統的工作原理是對鏈路中的流量進行深層次的協議解析和應用還原,識別其中是否包含攻擊行為。檢測到可疑攻擊行為時,在全流量存儲的條件下,回溯分析相關流量,例如可將包含的http訪問、下載的文件、及時通信信息進行還原,協助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力,是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結合的完整解決方案。
請讓睿眼為安全買單
在近期出臺的《CTO企業信息安全調查報告》中顯示,超4成企業在過去三年內曾發生過不同級別的信息安全事故,僅有15%的企業認為自己的安全措施完全可以防范風險。企業信息安全得不到保障,嚴重者會影響企業自身發展,同時泄露企業敏感信息也會給企業帶來不可估量的負面社會影響和損失。
不僅如此,企業信譽也與信息安全息息相關,據統計,世界上每分鐘就有2個企業因為信息安全問題倒閉。對于企業而言,如何保護關鍵的數據保密性、完整性,關鍵業務系統的可用性,關系到企業的興衰。企業安全問題已經不再簡單,而是動態、持續、隱蔽、高滲透的攻擊行為。要想有效的防范信息安全威脅,就必須確保信息安全防護手段也隨之“進化”,并采用下一代威脅防御技術。
白應東再次提醒用戶,傳統的安全防御理念,都是以控制為核心,通過各種網絡安全設備對信息資源進行保護,但從網絡攻擊行為的發展趨勢來看,“潛伏性”和“持續性”是最顯著的特征,這讓攻擊行為的阻斷越來越困難。睿眼WEB攻擊威脅溯源系統的設計理念跳出了被動防守的傳統做法,通過對數據流量的實時分析,真正做到安全防護的“智能感知”和“可視化”,并給了出準確有效的防護建議。
