攻击者与安全厂商的对垒是永无止境的,正如没有绝对的网络安全,有了一种防护技术,就会出现有针对性的攻击技术。我们所说的广泛使用的安全产品,其核心技术与理念至少已经有10年以上历史,而攻击者所具有的多种手段,用以突破这些传统意义上的安全技术的攻击,我们称之为---------新一代威胁。
传统安全设备所直面的威胁与困境
传统威胁,一直存在着。现有的安全产品如AV、IPS、Anti-DDoS、WAF等,都可以专门针对这些攻击进行防御,这一类防御技术目前市场已经相对成熟。现在用已知威胁签名建立特征库,配以网络边界位置的检测、组织入侵,足以抵挡住过去的种种威胁。
而与时俱进的是,当前攻击行为已经开始不再依赖传统签名特征等安全防御检测,选择了在攻击行为发起前,测试绕过目标网络安全检测,并通过使用一些新型攻击手段,零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击等手段,发起的更有威胁的攻击。这些,也构成了新一代威胁的攻击方式,目前它们是传统安全机制无法有效检测与防御的,因此也具备更大的破坏力与关注热度。
新一代威胁与传统安全的不足
如果我们将Web应用攻击、溢出攻击、DDoS与传统蠕虫木马病毒,视为上一个十年的网络安全,那么,新一代威胁所针对的,即是上一个十年安全技术的“缺口”。
我们知道,上一个十年,我们依赖于已知签名的检测与网络边界的防御,做好安全。在新一代威胁里,这两个传统安全里的安全“壁垒”,已经不再那么牢靠。
先说基于签名的检测技术。当一个新威胁出现时,总是需要一段时间,被视为流行的才会被发现并提供相应的签名。新一代威胁,通过零日攻击,多态变形等攻击手法,都可以让签名技术名存实亡。一些恶意样本数量剧增,签名匹配引擎性能上也承受不住。安全公司Symantec Mcafee公开的样本库大概有数亿规模,如此庞大数量,检测引擎因为性能只能选择加载少量主流,所以,传统的安全检测,没有想象的那么安全。
在NTT Group发布的《2014Global Threat Intelligence Report》中可以看到,在加载了11家不同商业与免费防病毒引擎后,测试了基于蜜罐系统获得的恶意软件,查杀率仅为46%。这个数字表明了,传统防病毒产品与基于已知签名检测技术的不足。
再来谈一谈网络边界安全防御。传统网络七层架构,对边界的定义比较明确,所以在安全产品的部署上面,逻辑结构相对清晰。在新一代威胁下,单纯的依靠网络边界难以界定,内网防护也不再安全,攻击者去接触高密级内网中的核心IT资产,更具备了多种通道:
-通过内部的邮件系统与外部沟通依旧是重要信息通道之一,在渗透企业内网中,邮件诈骗获取权限的行为,依旧很普遍;
-远程办公的需要,外部通过VPN接入内网,也是攻击通道之一;
-BYOD的出现,个人移动设备随意接入企业内部网络,也成为新的攻击通道;
-APT攻击中,基于物理设备感染,社交工程的方式,单纯的互联网边界防御也是无法应对的。
总之,在互联互通的时代下,攻击者如果想要,即使是某个严格隔离防范的企业内网,也是存在诸多可行方法的。单纯的边界防御,不能有效发现威胁,阻止危害发生。
以上种种说明,新一代威胁防护,势在必行。在下一篇里,绿盟科技将带着大家一起聊聊,新一代威胁的防护与方案。
(转自绿盟科技)
联系客服