来源:赛迪网 发布日期:2015.09.17 点击量:
Verizon《2015数据泄露调查报告》(Data Breach Investigations Report)显示,攻防之间的差距依然很大,虽然与历年相比2015年的攻防差距已经算是比较小的了,但超过75%的安全攻击在1天内就会完成,而仅有25%左右的用户能够在1天内发现遭遇的攻击,攻击方依然占据优势。
现在用户主要采取纵深防御的安全体系,进行边界隔离。虽然每一层都采用了最好的安全防护产品,但这类防御方式仅对非目标传统型攻击有效。面对目标类攻击,这种纵深防御体系已经很难防范。
另外,如今被用于作恶的恶意IP地址与域名的存活时间往往不会超过1天,所以某些利用域名信誉技术的安全防护方法就显得十分无力——其处理速度已经很难跟上攻击者的节奏了。攻击者所使用的手法、工具有变化越来越快的趋势。
英特尔安全事业部北亚区售前技术总监:郑林
防御目标型攻击需要连绵不绝的组合拳
那么防御目标型攻击需要怎样新的安全思路呢?日前,英特尔安全事业部北亚区售前技术总监郑林先生在接受笔者采访时表示,首先要能够检测到未知攻击,然后要将这个安全情报快速传播出去,其次需要能够对其进行有效的安全响应。
郑林认为,现在无论检测还是防范都是比较被动的方法,能够防护住80%的攻击,但那所遗漏的20%的攻击却可能是致命的。另外,“出事后的响应一直是被忽略的环节。”所以要能够快速、自动化的发起安全应急响应。
曾几何时,安全应急响应大多为人工服务,按天收费。现在,英特尔安全事业部通过SIEM进行安全事件分析的同时,对应急响应专门进行了优化。其BackTrace功能可以对新型恶意威胁提取特征,进行回溯分析,从大量的安全事件里搜寻与之相关的病毒、可疑动作等等,并在完成关联搜索后通过Active Response实现对恶意威胁的自动化清除动作。Active Response也可以对关键系统文件进行跟踪,当发现异常行为时会采取相关动作。“不仅要做好事前防护,还要做好事后的清除。”在恶意攻击发生后,要及时对系统内部被感染的机器进行安全清除操作,防止恶意攻击的继续作恶,并阻断可能存在的后继攻击。
永远不嫌多的安全情报
面对目标型攻击,安全威胁情报显得重要无比。不仅要收集来自外部的安全威胁情报,同时也要对内网关键位置的威胁情报进行搜集。郑林提出,“安全威胁情报分为两部分:产品、服务。”
要有能够搜集分析安全威胁情报的产品,还需要每个安全产品都有对安全情报的“吸收”能力:沙箱、SIEM等能够识别威胁,并发布威胁情报,防火墙等安全产品则能够接收安全情报,并据此实施安全策略、安全动作。现在英特尔安全事业部所有的安全产品都已经纳入到了TIE安全情报交换系统,使得安全情报能够在整个防御体系里顺畅的流动起来,并发挥作用。
而服务方面,英特尔安全事业部会通过GTI进行全球性的安全情报分享。另外,其本地安全威胁情报服务能够从安全防御目标内部获取相关的恶意威胁数据信息。这两者结合,形成了一套完整的安全威胁情报网。而定制化的安全服务,则能够根据用户的特定要求对暗网里的安全威胁情报进行实时监测,使得用户可以据此进行提前预防。
通过不同厂商的协同、不同技术的协同、不同产品的协同,可以避免安全情报孤岛,让安全情报在整个安全防御体系、安全防护生命周期里流动起来。
充分发挥大数据技术的力量
如今,大数据技术正在安全防御体系的两个方面发挥着重要作用。首先就是安全情报,另外是通过对攻击不同阶段进行关联性大数据分析,从而对未知攻击进行判断。也就是将攻击行为拆分为不同阶段,由于攻击的连续性,那么只要将其中一个环节切断,就能够阻截恶意攻击的继续。那么如何掌握好这个关键点,就需要大数据来发挥作用了。通过将貌似毫不相干的特征进行关联、比对分析,如果发现合理的攻击过程或者攻击特征,就要考虑对其进行防御、阻截了。比如我们每天收到的电子邮件,如果之前某些电子邮件的发送者有出现过恶意攻击特征,那么其后继发送的貌似“安全”的电子邮件,就很可能是一次零日攻击的发起。
“要搜集十分全面的数据,不仅仅是安全产品里的日志数据,系统其它部分的日志数据都要搜集,而且要跨越足够长的时间段。”采访过程中,郑林强调数据情报的搜集不应仅局限于与威胁直接相关的信息,对历史数据关联性的挖掘能力也至关重要,但这也对SIEM平台的数据分析处理能力提出了更高的要求。
应对目标型攻击从安全互联开始
英特尔安全事业部的安全互联也在与时俱进的发展。早期安全互联的焦点在于ePO统一安全管理平台。随着英特尔安全事业部网络安全防御方面能力的增强,安全互联开始帮助端点安全与网络安全之间进行及时的信息交互,例如发现端点是否中招、是否在向外泄漏数据,然后进行清除、阻截操作等等。同时通过对漏洞信息的分享,降低安全误报事件的发生。而今,英特尔安全事业部产品线在进一步丰富,安全互联能够通过云端对各个安全产品所搜集到的安全情报进行整合工作。“现在安全互联所涉及的维度与层面更多、更高。”
针对APT类攻击,英特尔安全事业部推出了TIE(威胁情报交换)和ATD(高级威胁防护,沙箱+静态代码分析)。通过TIE和ATD中的传统沙箱功能与针对反沙箱技术加入的静态代码分析,对应用进行脱壳、反向编译,发现病毒特征,实现对沙箱的补充,从而有效检测未知威胁,通过TIE实现不同安全设备之间的安全情报交互,将威胁情报在内网进行实时同步。而SIEM则对威胁情报进行优化,成为威胁情报的管理平台,对威胁情报进行关联、回溯。今年英特尔安全事业部将要发布的Active Response则能通过应急响应进行安全修复工作。由此,最终实现安全防护从保护到清除病毒再到修复的闭环式循环。
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015