UID1
性别保密
注册时间2013-7-10
最后登录1970-1-1
回帖0
在线时间 小时
精华
SB
威望
随币
成长值: 50890
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
APT攻击防不胜防 360如何保护企业信
提到“安全三大件”你会想到什么?防病毒、入侵检测、防火墙——没错,正是这“三大件”帮助人们筑起了一道道网络安全的防线。曾几何时,一个个恶意威胁都被这三条防线拒之于门外。而如今,在APT这类新型恶意攻击和未知威胁面前,传统的安全体系在变得破绽百出。 传统安全体系的没落
传统安全体系呈现扁平化的结构,仅能进行点对点或者某一局域层面的防护,无法应对攻击方式、攻击维度更加丰富的新型APT类攻击。传统安全防御以问题为驱动,出一个问题解决一个问题,这就导致安全防护缺乏统一规划。而且传统安全体系里各家安全企业之间的产品很难联动,面对新型恶意威胁时就无法形成合力,造成了防御体系上漏洞的出现。重安全产品、轻安全服务的模式,让用户过于单纯依赖于产品,许多时候却没有使得安全产品发挥其最大效用。单纯依靠安全产品的思想,使得面对新型恶意威胁时安全产品沦为了马其诺防线。另外,由于安全制度建设的严重滞后,薄弱的安全意识正在“便利”恶意攻击的发起,成为一个新的严峻问题。
总体而言,传统安全体系存在技术与问题脱节、产品与产品脱节、项目与项目脱节、立法与执法脱节、人脑与电脑脱节的问题。实际上,虽然电脑是死的但“人脑” 是活的,两者相结合才能让电脑发挥最大作用。
构筑新型安全防御体系
那么新型安全防御体系应该是怎样的呢?新型安全防御体系应该具有大数据技术(大数据分析、大数据存储和审计),要能够发现未知威胁(如未知木马、未知漏洞等等),拥有云计算、虚拟化安全技术,移动终端安全技术和攻击审计与全过程回溯技术。
借助大数据存储和审计不仅提高了数据存储规模,更提高了检索的效率,再加上大数据分析,任何对数据库里数据的异常操作都能被及时发现,并报警。面对未知威胁,传统特征检测技术已经力不从心,而以FireEye、南京翰海源、360天眼为代表安全企业产品针对未知木马、未知漏洞、未知恶意代码的检测技术则让人们拥有了新的有效防御手段。蓬勃发展的云计算和虚拟化,带来了新的技术发展方向,也引发了新的安全问题,同样需要有效的新型安全防御解决方案。随着移动终端数量开始超过PC,这意味着移动设备正在成为新的接入终端,而移动终端的安全防御却还是一块短板,这就造成了安全防御体系的木桶效应。面对新型恶意威胁,攻击回溯技术能够通过回溯攻击过程来发现系统所存在的漏洞,帮助建立更为严密的防御体系。
360企业安全高级安全咨询经理李博认为“融合、开放、走向云端是未来安全产品的基本特征”。未来的安全产品将会有智能SOC平台、APT类检测产品、适用于云计算与虚拟化环境下的安全产品、移动终端安全产品、工业控制安全类产品、攻击审计与全过程回溯类产品。大数据技术和未知威胁发现技术的成熟推动了智能SOC平台的成熟,使其能够针对新型恶意威胁发挥出更有效的力量。移动化的快速发展,使得BYOD类安全产品正在成为新兴的主流。现今工业基础设施已经成为恶意攻击的主要目标,所以针对工业控制系统的安全产品正在成为发展的重点。“相信在不久的未来,安全项目将作为应用系统项目的基础进行统一规划、实现同期建设。当前的安全投入大多不足10%,相信未来安全投入在整体项目里的比重会得以大大提高。安全并非一成不变,安全解决方案中为适配应用系统的高度定制化将成为常态。安全能力的验收将对应用系统的验收具有一票否决权。”
联动防御APT攻击
在新型恶意威胁里,APT类攻击最为难以发现、防御。在APT攻击的目标锁定和信息采集阶段,从技术上难以防范,需要从管理制度上进行防御。而在APT攻击的渗透阶段,可以通过落地前检测、落地检测、运行时检测实施防御,这就涉及到了网络边界检测、终端检测。FireEye主要通过沙箱技术实现网络边界的检测,而Bit9则主要集中在落地时的终端检测。在攻击对抗阶段防御变得更为困难,需要运行时进行主动防御,实现异常网络访问行为的控制,并通过大数据挖掘发现可疑通信。据李博介绍,360的天眼和天擎实现了终端和网络端的联通,能够对APT类攻击进行联动防御。
防御需要立体多维大融合
面对从不同层面发起的恶意攻击,同样需要构建多维度、多层次的防御架构,以全面融合的安全体系共享攻击信息,对恶意攻击实施层层阻击。
目前美国的安全防御体系就是要实现网络互动、网络互连,将安全厂商的产品以及用户的安全产品完全打通建立互连,实现人机相结合、安全产品相结合,形成一个庞大的安全网格,建立起有效的立体安全防御体系。
这里我们以360的云加端加边界的纵深立体防御体系为例来描述下立体多维大融合安全防御体系是如何拦截恶意攻击的。
在网络边界处,360天眼与传统防火墙、交换机实现联动,当360天眼发现APT攻击时,会实时通知防火墙做出防御动作,进行第一道防线的拦截。同时,360天眼还会与360天擎进行联动,将所获取的恶意攻击信息传递给360天擎,让360天擎能够在终端建立纵深防线。而360天机公有云和私有云则为整个防御体系提供了数据库支撑。目前,360已经与网神防火墙实现了互动。再加上360的安全服务,从多维度为用户建立起一个全面融合的安全防御体系。
恶意威胁在以多样的方式发起攻击,这就需要安全解决方案打破常规跳出框框,同样在不同层面建立防线,通过信息共享实现防线的整体融合,尽量缩小防御漏洞,对恶意攻击形成防御合力,以整体的力量抵御来势汹汹的各类攻击。
来源:网络转载
|
|