攻與防,是網(wǎng)絡(luò )安全中永恒的命題。此消彼長(cháng)的規律,周而復始。當伴隨軟硬件的發(fā)展,網(wǎng)絡(luò )技術(shù)的提高,安全如何演進(jìn)?智能安全越來(lái)越被認可,它是未來(lái)趨勢嗎?安全廠(chǎng)商們給出了怎樣的答案?山石網(wǎng)科為什么認為智能安全是安全防護的下一進(jìn)階?
攻陷網(wǎng)絡(luò )很快,攻擊潛伏期很長(cháng)
如今,基于Web的攻擊在飛速增長(cháng),APT作為一種“潛入式”攻擊形式,使攻擊手段變得復雜和隱蔽,攻擊的數量和頻率也明顯增加。APT攻擊是有組織針對某一特定目標實(shí)施持續且有效的攻擊。對于此類(lèi)攻擊的防護,如果使用特征匹配的安防方式,將不再奏效。
已知威脅從未遠離,新的威脅不斷演變。APT攻擊只是新型攻擊方式的一種,互聯(lián)網(wǎng)通信技術(shù)發(fā)展變相促使攻擊能力的不斷增強,各種新型攻擊隨時(shí)可能產(chǎn)生。隨著(zhù)移動(dòng)應用、社交網(wǎng)絡(luò )、Web2.0被廣泛應用于企業(yè)的運營(yíng)的方方面面,這些應用程序可能攜帶常規的網(wǎng)絡(luò )安全威脅:如病毒感染、蠕蟲(chóng)傳播、惡意軟件、惡意流量、利用各種漏洞對服務(wù)器發(fā)起攻擊等。
有數據表示,在以往多次的安全事件中,從攻擊網(wǎng)絡(luò )到攻陷網(wǎng)絡(luò ),時(shí)間最短幾秒鐘,最長(cháng)也不過(guò)幾小時(shí),但是從被攻陷到發(fā)現攻擊行為,最快的也需要數天的時(shí)間,最長(cháng)的甚至在幾年后才被發(fā)現。這一數據很好地詮釋了未知威脅的可怕。
傳統防火墻不再有效,NGFW也存在固有缺陷
傳統防火墻時(shí)代,可識別的應用數量非常有限,通常以使用的端口來(lái)識別。安全策略是基于五元組配置,管理相對簡(jiǎn)單,但其無(wú)法基于應用做細粒度的訪(fǎng)問(wèn)控制,更不用說(shuō)能夠準確掌握流量的內容。傳統防火墻對威脅的檢測是基于對特征的檢測,有數據顯示54%的惡意軟件,傳統的AV無(wú)法檢測,但最重要的問(wèn)題就是,傳統防火墻無(wú)法提取樣本特征。遇到APT這樣新型的攻擊,傳統防火墻更加沒(méi)有有效的防護手段。
而目前流行的下一代防火墻不會(huì )關(guān)注流量中的異常,也不會(huì )將用戶(hù)行為關(guān)聯(lián)到對流量的使用和其他事件上,包括與其他類(lèi)似用戶(hù)或系統所關(guān)聯(lián)出的異常。例如,長(cháng)時(shí)間沒(méi)有太多行為的用戶(hù)突然變得活躍,或web服務(wù)器的響應時(shí)間和速度大幅度降低,這些是應該調查的可疑事件。但,下一代防火墻只能對用戶(hù)制定訪(fǎng)問(wèn)權限,而無(wú)法進(jìn)行動(dòng)態(tài)的調整,實(shí)際上用戶(hù)可能需要根據感知的風(fēng)險即時(shí)改變訪(fǎng)問(wèn)策略。
用一句話(huà)概括來(lái)說(shuō),簡(jiǎn)單的靜態(tài)防御過(guò)時(shí)了!
安全防護的下一進(jìn)階是什么?
越來(lái)越多的安全專(zhuān)家意識到,今天我們已經(jīng)步入了新的后攻擊時(shí)代,此時(shí)攻擊甚至經(jīng)常發(fā)生在被認為最“安全”的網(wǎng)絡(luò )里,包括國防機構、金融機構、政府機關(guān)、甚至網(wǎng)絡(luò )安全公司等等。而此時(shí)傳統安全解決方案的防御能力已經(jīng)隨著(zhù)現代攻擊的發(fā)展而黯然失色。
安全防護的下一代技術(shù)該如何改變以應對越來(lái)越復雜的現實(shí)?智能安全也許是最佳答案。國內知名網(wǎng)絡(luò )安全廠(chǎng)商山石網(wǎng)科提出了智能安全解決方案來(lái)應對這些新出現的威脅,第一次采用“設備自學(xué)習”智能思考,通過(guò)已知威脅和未知威脅的防護兩方面提供了完善的解決方案。
年初,山石網(wǎng)科發(fā)布其智能下一代防火墻新版本,采用異常行為分析技術(shù),幫助客戶(hù)抵御變化的威脅,維持業(yè)務(wù)的連續性。智能下一代防火墻采用大量先進(jìn)策略來(lái)實(shí)現所有這些目標。高級分析可以在幾分鐘內發(fā)現類(lèi)似于惡意軟件的可疑行為。持續監控可以通過(guò)大數據分析、機器學(xué)習和數學(xué)建模來(lái)提供對攻擊各個(gè)階段的可視性。豐富的取證工具可以按時(shí)間記錄攻擊事態(tài)的發(fā)展,并提供有關(guān)攻擊根源的大量信息。攻擊緩解技術(shù)可以利用取證信息識別出會(huì )導致網(wǎng)絡(luò )易受攻擊的防火墻策略,以及能夠修復漏洞的措施。同時(shí)還利用IPS、防病毒、URL過(guò)濾、URL信譽(yù)、URL白名單、IP信譽(yù)以及地理位置過(guò)濾器等傳統的安全防護措施來(lái)幫助制定有效的策略。功能相當強大!
或許,安全防護的下一進(jìn)階就是智能?
