以閉環(huán)安全防御體系重?fù)裟繕?biāo)型攻擊
來源:賽迪網(wǎng) 發(fā)布日期:2015.09.17 點(diǎn)擊量:
Verizon《2015數(shù)據(jù)泄露調(diào)查報(bào)告》(Data Breach Investigations Report)顯示����,攻防之間的差距依然很大��,雖然與歷年相比2015年的攻防差距已經(jīng)算是比較小的了��,但超過75%的安全攻擊在1天內(nèi)就會(huì)完成,而僅有25%左右的用戶能夠在1天內(nèi)發(fā)現(xiàn)遭遇的攻擊,攻擊方依然占據(jù)優(yōu)勢(shì)�。
現(xiàn)在用戶主要采取縱深防御的安全體系����,進(jìn)行邊界隔離��。雖然每一層都采用了最好的安全防護(hù)產(chǎn)品����,但這類防御方式僅對(duì)非目標(biāo)傳統(tǒng)型攻擊有效�����。面對(duì)目標(biāo)類攻擊�����,這種縱深防御體系已經(jīng)很難防范。
另外�,如今被用于作惡的惡意IP地址與域名的存活時(shí)間往往不會(huì)超過1天�����,所以某些利用域名信譽(yù)技術(shù)的安全防護(hù)方法就顯得十分無力——其處理速度已經(jīng)很難跟上攻擊者的節(jié)奏了。攻擊者所使用的手法����、工具有變化越來越快的趨勢(shì)�����。
英特爾安全事業(yè)部北亞區(qū)售前技術(shù)總監(jiān):鄭林
防御目標(biāo)型攻擊需要連綿不絕的組合拳
那么防御目標(biāo)型攻擊需要怎樣新的安全思路呢?日前�����,英特爾安全事業(yè)部北亞區(qū)售前技術(shù)總監(jiān)鄭林先生在接受筆者采訪時(shí)表示�,首先要能夠檢測(cè)到未知攻擊,然后要將這個(gè)安全情報(bào)快速傳播出去��,其次需要能夠?qū)ζ溥M(jìn)行有效的安全響應(yīng)�。
鄭林認(rèn)為,現(xiàn)在無論檢測(cè)還是防范都是比較被動(dòng)的方法�����,能夠防護(hù)住80%的攻擊��,但那所遺漏的20%的攻擊卻可能是致命的。另外���,“出事后的響應(yīng)一直是被忽略的環(huán)節(jié)?����!彼砸軌蚩焖?���、自動(dòng)化的發(fā)起安全應(yīng)急響應(yīng)。
曾幾何時(shí),安全應(yīng)急響應(yīng)大多為人工服務(wù)���,按天收費(fèi)。現(xiàn)在,英特爾安全事業(yè)部通過SIEM進(jìn)行安全事件分析的同時(shí),對(duì)應(yīng)急響應(yīng)專門進(jìn)行了優(yōu)化。其BackTrace功能可以對(duì)新型惡意威脅提取特征���,進(jìn)行回溯分析,從大量的安全事件里搜尋與之相關(guān)的病毒、可疑動(dòng)作等等���,并在完成關(guān)聯(lián)搜索后通過Active Response實(shí)現(xiàn)對(duì)惡意威脅的自動(dòng)化清除動(dòng)作。Active Response也可以對(duì)關(guān)鍵系統(tǒng)文件進(jìn)行跟蹤�,當(dāng)發(fā)現(xiàn)異常行為時(shí)會(huì)采取相關(guān)動(dòng)作��。“不僅要做好事前防護(hù)����,還要做好事后的清除��。”在惡意攻擊發(fā)生后����,要及時(shí)對(duì)系統(tǒng)內(nèi)部被感染的機(jī)器進(jìn)行安全清除操作,防止惡意攻擊的繼續(xù)作惡,并阻斷可能存在的后繼攻擊��。
永遠(yuǎn)不嫌多的安全情報(bào)
面對(duì)目標(biāo)型攻擊���,安全威脅情報(bào)顯得重要無比��。不僅要收集來自外部的安全威脅情報(bào)�����,同時(shí)也要對(duì)內(nèi)網(wǎng)關(guān)鍵位置的威脅情報(bào)進(jìn)行搜集�����。鄭林提出,“安全威脅情報(bào)分為兩部分:產(chǎn)品、服務(wù)��?����!?/span>
要有能夠搜集分析安全威脅情報(bào)的產(chǎn)品�,還需要每個(gè)安全產(chǎn)品都有對(duì)安全情報(bào)的“吸收”能力:沙箱����、SIEM等能夠識(shí)別威脅,并發(fā)布威脅情報(bào)���,防火墻等安全產(chǎn)品則能夠接收安全情報(bào),并據(jù)此實(shí)施安全策略���、安全動(dòng)作。現(xiàn)在英特爾安全事業(yè)部所有的安全產(chǎn)品都已經(jīng)納入到了TIE安全情報(bào)交換系統(tǒng),使得安全情報(bào)能夠在整個(gè)防御體系里順暢的流動(dòng)起來���,并發(fā)揮作用。
而服務(wù)方面,英特爾安全事業(yè)部會(huì)通過GTI進(jìn)行全球性的安全情報(bào)分享���。另外�����,其本地安全威脅情報(bào)服務(wù)能夠從安全防御目標(biāo)內(nèi)部獲取相關(guān)的惡意威脅數(shù)據(jù)信息���。這兩者結(jié)合����,形成了一套完整的安全威脅情報(bào)網(wǎng)��。而定制化的安全服務(wù)���,則能夠根據(jù)用戶的特定要求對(duì)暗網(wǎng)里的安全威脅情報(bào)進(jìn)行實(shí)時(shí)監(jiān)測(cè)����,使得用戶可以據(jù)此進(jìn)行提前預(yù)防�����。
通過不同廠商的協(xié)同�、不同技術(shù)的協(xié)同����、不同產(chǎn)品的協(xié)同,可以避免安全情報(bào)孤島��,讓安全情報(bào)在整個(gè)安全防御體系�、安全防護(hù)生命周期里流動(dòng)起來。
充分發(fā)揮大數(shù)據(jù)技術(shù)的力量
如今��,大數(shù)據(jù)技術(shù)正在安全防御體系的兩個(gè)方面發(fā)揮著重要作用��。首先就是安全情報(bào),另外是通過對(duì)攻擊不同階段進(jìn)行關(guān)聯(lián)性大數(shù)據(jù)分析����,從而對(duì)未知攻擊進(jìn)行判斷�����。也就是將攻擊行為拆分為不同階段,由于攻擊的連續(xù)性��,那么只要將其中一個(gè)環(huán)節(jié)切斷�����,就能夠阻截惡意攻擊的繼續(xù)�����。那么如何掌握好這個(gè)關(guān)鍵點(diǎn)�����,就需要大數(shù)據(jù)來發(fā)揮作用了。通過將貌似毫不相干的特征進(jìn)行關(guān)聯(lián)�����、比對(duì)分析���,如果發(fā)現(xiàn)合理的攻擊過程或者攻擊特征�,就要考慮對(duì)其進(jìn)行防御、阻截了���。比如我們每天收到的電子郵件,如果之前某些電子郵件的發(fā)送者有出現(xiàn)過惡意攻擊特征����,那么其后繼發(fā)送的貌似“安全”的電子郵件,就很可能是一次零日攻擊的發(fā)起。
“要搜集十分全面的數(shù)據(jù)�,不僅僅是安全產(chǎn)品里的日志數(shù)據(jù)�,系統(tǒng)其它部分的日志數(shù)據(jù)都要搜集����,而且要跨越足夠長的時(shí)間段。”采訪過程中,鄭林強(qiáng)調(diào)數(shù)據(jù)情報(bào)的搜集不應(yīng)僅局限于與威脅直接相關(guān)的信息��,對(duì)歷史數(shù)據(jù)關(guān)聯(lián)性的挖掘能力也至關(guān)重要�����,但這也對(duì)SIEM平臺(tái)的數(shù)據(jù)分析處理能力提出了更高的要求����。
應(yīng)對(duì)目標(biāo)型攻擊從安全互聯(lián)開始
英特爾安全事業(yè)部的安全互聯(lián)也在與時(shí)俱進(jìn)的發(fā)展�����。早期安全互聯(lián)的焦點(diǎn)在于ePO統(tǒng)一安全管理平臺(tái)���。隨著英特爾安全事業(yè)部網(wǎng)絡(luò)安全防御方面能力的增強(qiáng)�����,安全互聯(lián)開始幫助端點(diǎn)安全與網(wǎng)絡(luò)安全之間進(jìn)行及時(shí)的信息交互,例如發(fā)現(xiàn)端點(diǎn)是否中招、是否在向外泄漏數(shù)據(jù)�,然后進(jìn)行清除����、阻截操作等等��。同時(shí)通過對(duì)漏洞信息的分享,降低安全誤報(bào)事件的發(fā)生���。而今,英特爾安全事業(yè)部產(chǎn)品線在進(jìn)一步豐富����,安全互聯(lián)能夠通過云端對(duì)各個(gè)安全產(chǎn)品所搜集到的安全情報(bào)進(jìn)行整合工作���?��!艾F(xiàn)在安全互聯(lián)所涉及的維度與層面更多��、更高。”
針對(duì)APT類攻擊���,英特爾安全事業(yè)部推出了TIE(威脅情報(bào)交換)和ATD(高級(jí)威脅防護(hù),沙箱+靜態(tài)代碼分析)。通過TIE和ATD中的傳統(tǒng)沙箱功能與針對(duì)反沙箱技術(shù)加入的靜態(tài)代碼分析,對(duì)應(yīng)用進(jìn)行脫殼����、反向編譯�,發(fā)現(xiàn)病毒特征,實(shí)現(xiàn)對(duì)沙箱的補(bǔ)充,從而有效檢測(cè)未知威脅,通過TIE實(shí)現(xiàn)不同安全設(shè)備之間的安全情報(bào)交互,將威脅情報(bào)在內(nèi)網(wǎng)進(jìn)行實(shí)時(shí)同步���。而SIEM則對(duì)威脅情報(bào)進(jìn)行優(yōu)化,成為威脅情報(bào)的管理平臺(tái),對(duì)威脅情報(bào)進(jìn)行關(guān)聯(lián)��、回溯��。今年英特爾安全事業(yè)部將要發(fā)布的Active Response則能通過應(yīng)急響應(yīng)進(jìn)行安全修復(fù)工作�。由此����,最終實(shí)現(xiàn)安全防護(hù)從保護(hù)到清除病毒再到修復(fù)的閉環(huán)式循環(huán)。
相關(guān)新聞:
