譚云,Check Point 北區技術(shù)經(jīng)理
網(wǎng)絡(luò )安全問(wèn)題須警鐘長(cháng)鳴
近年來(lái)各種網(wǎng)絡(luò )安全事件依舊層出不窮,且愈演愈烈,嚴重影響到我們生活和工作的方方面面。新型網(wǎng)絡(luò )犯罪正在升級迭代,日益呈現出產(chǎn)業(yè)化、智能化、國際化等新特點(diǎn),互聯(lián)網(wǎng)用戶(hù)的信息安全,不斷受到來(lái)自黑產(chǎn)惡意攻擊等新挑戰。譚云詳細地舉例介紹了近兩年來(lái)臭名昭著(zhù)的網(wǎng)絡(luò )攻擊事件,一樁樁一件件情節跌宕起伏,驚險程度堪比歐美大片,這些網(wǎng)絡(luò )事件給我們敲響了警鐘。
Fireball火球病毒:來(lái)自中國的Fireball病毒,這個(gè)病毒為了逃避?chē)鴥染W(wǎng)絡(luò )警察的打擊,基本上都是面向國外的一些用戶(hù)。它在國外感染的時(shí)間是從2017年6月1號開(kāi)始。Check Point研究員發(fā)現,Fireball這個(gè)病毒在全球感染了5000萬(wàn)到2.5億的PC,其中有20%的PC是處于企業(yè)網(wǎng)絡(luò )內部的。它到了PC上后,會(huì )控制受害者電腦的web瀏覽器,在web瀏覽器里安裝一些插件,目的就是強制的修改web瀏覽器的主頁(yè)和搜索引擎。在短短一年的時(shí)間里,這家公司通過(guò)Fireball病毒獲利了8000萬(wàn)人民幣。
WannaCry勒索病毒:WannaCry是去年5月份在全球爆發(fā)的一種比特幣勒索病毒,主要通過(guò)Windows的嚴重漏洞進(jìn)行傳播,以向鎖定的目標索要贖金。WannaCry所利用的"永恒之藍"病毒,就是NSA之前官方的一個(gè)叫方程式組織這樣的一個(gè)黑客組織幫它們開(kāi)發(fā)的一個(gè)武器。黑客拿到"永恒之藍"后,可能它本身的技術(shù)能力并沒(méi)有那么高,但是它得到了武器庫,個(gè)人黑客就擁有了等同于國家頂尖情報機構黑客的能力。在整個(gè)的攻擊期間,全球至少有150個(gè)國家遭受了攻擊,受害的電腦超過(guò)了23萬(wàn)。其實(shí),在這個(gè)事件爆發(fā)之前,即4月27號,針對WannaCry病毒,Check Point已經(jīng)發(fā)布了IPS更新,即如果你部署了Check Point IPS安全設備,是完全可以阻止這樣的攻擊到達企業(yè)網(wǎng)絡(luò )內部的。
RottenSys (墮落的系統)惡意軟件:Check Point安全研究員賀飛翔跟安全團隊的其它兩位同事一起,在3月14號發(fā)布了一個(gè)重磅消息,就是找到了RottenSys移動(dòng)端的病毒。截止今年 3 月 12 日累計受感染安卓手機總量高達 496 萬(wàn) 4 千余部;受感染的手機中,每天約有 35 萬(wàn)部輪番受到惡意廣告推送的侵害。受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。僅 3 月 3 日到 12 日 10 天期間,RottenSys 團伙向受害手機用戶(hù)強行推送了 1325 萬(wàn)余次廣告展示,誘導獲得了 54 萬(wàn)余次廣告點(diǎn)擊。保守估計不正當廣告收入約為 72 萬(wàn)人民幣。
攻擊類(lèi)型的演變和防護
網(wǎng)絡(luò )安全領(lǐng)域正在發(fā)生什么?魔高一尺、道高一丈,Check Point仔細地研究每一代的攻擊類(lèi)型和它的防護方案,讓我們先來(lái)看看這幾代的攻擊的演變和防護。
首先,第一代的攻擊。我們的個(gè)人電腦是在80年代初到80年代末才慢慢流行起來(lái)的,隨著(zhù)PC的越來(lái)越推廣,大家都有了PC,最早就出現了針對獨立電腦病毒的攻擊。以前的病毒是通過(guò)軟盤(pán)傳播的。Check Point在1993年推出第一代防火墻的時(shí)候,也是在一個(gè)軟盤(pán)上的,當時(shí)有五張軟盤(pán),才可以安裝一個(gè)Check Point完整的軟件。我們通過(guò)軟盤(pán)的方式分發(fā)軟件,在這個(gè)過(guò)程中黑客也會(huì )把病毒放到軟盤(pán)里進(jìn)行傳播,但是這種傳播效率比較低。所以,在那個(gè)時(shí)代的這種反病毒是安全防御里最重要的環(huán)節。
到了第二代,即90年代中期。自從因特網(wǎng)推廣后,針對網(wǎng)絡(luò )的攻擊越來(lái)越多,它可以通過(guò)網(wǎng)絡(luò )遠程的攻擊電腦、傳播病毒。而Check Point也是在這個(gè)年代成立的,即1993年Check Point在全球第一個(gè)發(fā)明了狀態(tài)化檢測的防火墻。第二代的防御方式,就是防火墻。
到了第三代,就是在2000年的時(shí)候,在這個(gè)網(wǎng)絡(luò )泡沫的時(shí)代,有很多很多的網(wǎng)站推出了不同的應用。這些應用,比如程序員學(xué)應用的時(shí)候,有的程序員寫(xiě)程序是非常規范的,寫(xiě)的代碼非常精煉,非常安全。但是程序放大的時(shí)候,你不能保證程序沒(méi)有任何的漏洞。而黑客就會(huì )利用這種程序的漏洞,通過(guò)網(wǎng)絡(luò )對這些應用進(jìn)行攻擊。這個(gè)時(shí)候出現了IPS,就是入侵防護系統。通過(guò)入侵防護系統保護我們的應用,不被這些黑客所入侵。
到了第四代,從2010年開(kāi)始的,當時(shí)在安全圈里有個(gè)非常流行的詞,叫APT攻擊。所謂的APT攻擊,就是黑客會(huì )利用0-day的漏洞攻擊你的系統。針對這種新的攻擊,我們也有一些新的防護手段,就是我們所說(shuō)的這種沙箱,或者沙盒,還有防僵尸。
以上四種防護Check Point都是實(shí)現的,并且是業(yè)界最早實(shí)現的。
經(jīng)過(guò)Check Point的統計,百分之百的企業(yè)基本上都有防病毒的防護手段,百分之百的企業(yè)基本上也有了防火墻這樣的防護手段。但是只有50%的企業(yè)使用了入侵防護,就是對應用的防護的手段。只有7%的企業(yè)使用了沙箱和防僵尸的防護。
經(jīng)過(guò)Check Point的調查,發(fā)現現在絕大部分的企業(yè)都還處于第二代和第三代之間的防護狀態(tài)。也就是說(shuō),它現在的防護體系只能抵御第二代的網(wǎng)絡(luò )攻擊,或者第三代漏洞利用的情況。為什么叫2.8代呢?就是有些企業(yè)第三代的IPS并沒(méi)有啟用這種防護的狀態(tài),而是啟用了IBS,就是入侵檢測,即只檢測不防御,所以我們這兒把它列為2.8代。其實(shí),對于這個(gè)結果,也是非常令人震驚的,如果是這樣,說(shuō)明企業(yè)的防護安全已經(jīng)落后了安全的威脅整整10年時(shí)間。當然,這里也有很多企業(yè)的一些苦衷。
2018-第五代網(wǎng)絡(luò )攻擊
在今年1月召開(kāi)的世界經(jīng)濟論壇上發(fā)布了一個(gè)全球的風(fēng)險報告,排名第一的是極端天氣;排名第二的是自然災害;而排名第三、第四的,全部都是跟網(wǎng)絡(luò )安全和信息安全相關(guān);排名第三的是網(wǎng)絡(luò )攻擊的風(fēng)險;排名第四的是數據詐騙,或者數據泄露的風(fēng)險。這就說(shuō)明,在現在數字時(shí)代,網(wǎng)絡(luò )安全已經(jīng)成為除了自然災害以外,最大的風(fēng)險所在。
2018年,我們正處在一個(gè)非常重要的轉折點(diǎn),因為現在所有的業(yè)務(wù)都在快速的進(jìn)行數字化轉型,在數字化轉型的過(guò)程中,對這些安全性,特別是信息安全、數據安全,提出了越來(lái)越高的要求。今天我們看到的這些網(wǎng)絡(luò )攻擊,都是史無(wú)前例的、大規模、多項量、高強度的攻擊。我們總結出一個(gè)詞,我們叫第五代多維攻擊。這種攻擊,會(huì )對我們的企業(yè)和企業(yè)的聲譽(yù)造成非常重大的損害。
什么是第五代攻擊?其實(shí),WannaCry勒索病毒就非常好的展示了什么叫第五代攻擊,首先是大規模的,它可以跨國家、跨行業(yè),一般都是全球性的爆發(fā)。
第二,它是多項量、多維度的攻擊。因為現在企業(yè)的網(wǎng)絡(luò )邊界越來(lái)越模糊,以前企業(yè)的網(wǎng)絡(luò )邊界就是連著(zhù)Internet的那條鏈路,那就是它的邊界。但是現在很多企業(yè)慢慢地把一些業(yè)務(wù)、一些應用都在往云上遷移,不管是私有云,還是公有云,這就造成企業(yè)的網(wǎng)絡(luò )邊界越來(lái)越大,不那么好控制了。
第三,是我們現在的很多企業(yè),允許員工拿BYOD這些移動(dòng)端設備連入企業(yè)辦公,而這些移動(dòng)設備都是員工自己的,那么企業(yè)怎么保護設備上的信息,怎么防止黑客利用這些員工的手持設備攻擊內部的網(wǎng)絡(luò )?
最后一個(gè),它是高強度的攻擊手段,什么叫高強度?比如一些國家的間諜組織,它的情報部門(mén)所開(kāi)發(fā)的黑客工具,現在已經(jīng)在互聯(lián)網(wǎng)的暗網(wǎng)上流傳開(kāi)了,因為它本身也是不安全的。一旦國家資助的這些技術(shù)被流傳開(kāi)了,其它的一些黑客雖然本身沒(méi)有這么高的技術(shù),但是他完全可以利用已經(jīng)開(kāi)發(fā)出來(lái)的這些攻擊的框架、工具,放到它的自己的病毒里。這就造成我們現在的企業(yè)面對的黑客,不僅僅是一個(gè)簡(jiǎn)單的犯罪組織,或者一個(gè)犯罪的個(gè)人,你面對的可能是代表國家最先進(jìn)的網(wǎng)絡(luò )黑客團隊所開(kāi)發(fā)出來(lái)的一些攻擊工具。當然,我們必須要采取行動(dòng)。
Check Point 在2018年,推出了最新的針對這種多維度攻擊的第五代防護體系,叫Gen V防護體系。Infinity Total Protection是一款突破性安全模型,助力企業(yè)有效防御第五代 (Gen V) 網(wǎng)絡(luò )攻擊。該創(chuàng )新性模式利用 Check Point Infinity 架構組件,在提供最高級別安全的同時(shí),還通過(guò)整合安全組件以降低成本。Infinity Total Protection 是突破性的全新消費模型,提供簡(jiǎn)單全包、基于用戶(hù)、按年訂閱的服務(wù)。該服務(wù)助力企業(yè)在整個(gè)網(wǎng)絡(luò )中全面實(shí)現第五代安全級別。Infinity Total Protection 是當今唯一包含網(wǎng)絡(luò )安全硬件和軟件的訂閱解決方案,具有完全集成式終端、云端和移動(dòng)設備保護以及零日威脅防護特點(diǎn),并且可以統一管理,提供全天候優(yōu)質(zhì)支持服務(wù)。有了 Infinity Total Protection,用戶(hù)可立即體驗到 Check Point Infinity 的統一安全架構帶來(lái)的益處,同時(shí)還能讓整個(gè)企業(yè)環(huán)境無(wú)論是本地、移動(dòng)設備或云端,都實(shí)現全面的威脅防護。
擁抱云時(shí)代 -CloudGuard
對于云端環(huán)境下的高級威脅防御Check Point現在主要有兩個(gè)產(chǎn)品,Check Point CloudGuard IaaS或者Check Point CloudGuard SaaS,二者都是統一在Check Point Infinity的第五代防護體系底下。通過(guò)Infinity一個(gè)統一的平臺去管理我們所有每一個(gè)點(diǎn)的安全策略,包括實(shí)現安全事件的可視化,幫助管理員用最少的時(shí)間,用最少的精力,實(shí)現企業(yè)的安全。
CloudGuard IaaS,對基礎架構即服務(wù)的云進(jìn)行防護。比如,像AWS,Azure,像國內的阿里。我們在云上的安全體系的安全性,跟在傳統數據中心上其實(shí)是一致的,就是所有的技術(shù)在云端中都能用。但它最大的一個(gè)不同,就在于它能夠實(shí)現云端的自動(dòng)化和敏捷性。一個(gè)是它可以支持所有的平臺,就是你的企業(yè)不管是用了什么云,我都可以統一的幫你管理起來(lái)。第二個(gè),是我們在這上面可以實(shí)現高級的威脅防護和安全的可視化,最重要的是我們支持DevOps和自動(dòng)化編排。
針對SaaS,Check Point的API跟全球最大的SaaS 提供商進(jìn)行整合,即Check Poin的研發(fā)跟它進(jìn)行對接,它上面所有的數據都可以通過(guò)API傳到我們后臺的檢測引擎里,也就是我們的數據中心里做檢查,檢查完畢會(huì )把結果傳回SaaS,告訴它這是安全的還是不安全的。對于國內日益崛起的SaaS供應商,因為涉及到API的開(kāi)發(fā),Check Point的研發(fā)需要跟每個(gè)廠(chǎng)商做深入的對接。
