Top
麻将作弊手段 > 網絡和信息安全 > 高端訪談 > 正文

肖新光:門被踹倒難避免 縱深防御搞定神對手

當攻擊變成了一種精致的工程藝術,如“神對手”一般了無痕跡時,安全防御反倒“簡單”了。仔細思索一番,這是真的。
發布時間:2016-01-11 12:20        來源:賽迪網        作者:木淼鑫

麻将作弊手段 www.xynls.com 當攻擊變成了一種精致的工程藝術,如“神對手”一般了無痕跡時,安全防御反倒“簡單”了。仔細思索一番,這是真的。

日前,第三屆網絡安全冬訓營再次于冰城哈爾濱舉辦。在冬訓營的開幕式上,中共黑龍江省委網絡安全和信息化領導小組辦公室主任李耀東表示,網絡安全拼的不是資金、不是規模,而是技術,中國的網絡安全需要有技術實力和民族情懷的網絡安全技術專家隊伍的有力支撐。而本次冬訓營的主辦方安天就擁有這樣一群有技術實力和民族情懷的網絡安全技術專家。

技術驅動實現“彈道有痕”

胖乎乎的大胡子、“我自欲為江???rdquo;的安天大BOSS肖新光給自己的定位一直都是“首席技術架構師、反病毒老兵”,在他看來“安全工作者與安全威脅間進行的本身就是一場永不終止的心力長跑,雙方不止是進行力量的抗衡,同樣也是心靈與意志間的較量。”

每次提到安天,筆者腦海里出現的第一個詞永遠都是“技術”。安天是純技術型的網絡安全企業,其在技術上的深厚沉淀也推動著安天逐漸從單純的反病毒上游企業轉變為提供多維度高級安全防護的“下一代網絡安全企業”。

而近幾年安天對“方程式(Equation)”、“海蓮花(APT-TOCS)”、“HangOver”等各類典型AP T攻擊的深度跟蹤、分析、研究,使其發現“彈道有痕”(在警界資深的彈道分析人員能夠逆向從彈頭向彈道進行分析,逐步還原犯罪現場)在網絡安全領域同樣適用。再狡猾的惡意攻擊,其實都可以有辦法讓其現形。

惡意攻擊的魔抓正在從虛擬空間伸向現實世界

當今的安全威脅正在走向縱深化與泛在化,隨著互聯網+向傳統領域延伸,隨著各類智能終端向更廣泛范圍擴展,網絡攻擊開始從空間走向實體。

.pdf、.ppt、.doc、.wps……如今各種文檔文件都可以用于攻擊,USB設備、打印機設備、顯示器、鍵盤、端口……各類外設也都在被攻擊者所利用,而被寄予很高安全期望的可信計算也在面臨惡意攻擊的嚴峻威脅。哪怕是物理隔離的網絡,攻擊者也能夠通過劫持物流鏈的方式實現對其的突破。

世界上的超級大國已經實現了傳統、電磁、網絡的三位一體,其可以不依賴網絡投放、不依賴(被攻擊方)網絡回傳、不到達終端、不依賴直接后門和信息系統優勢,只需借助在各類基礎設施方面的優勢,超級大國就可以隨時隨地發起各類網絡攻擊。

神對手——A平方PT

APT——高級可持續性威脅,這個最初于2006年由美國空軍上校Greg Rattray創造的術語開啟了新的威脅時代,現在APT攻擊已經橫掃全球絕無死角,而斯諾登則讓人們開始正視APT的攻擊威力。

肖新光表示,震網病毒并不是一個單純的APT攻擊,而是更為高級的APT——A2PT(A平方PT)。A2PT是“神一樣的對手”,其有著充足的0day儲備;載荷部分高度復雜、高度??榛?;本地加密抗分析、網絡嚴格加密通訊和偽裝;不一定通過網絡植入,可能為人工植入和物流鏈劫持;基本上完整普及了無文件載體技術、內存分段抗分析;持久化向深度擴展(固件),向廣度擴展(防火墻、郵件網關、局域網內橫向移動);完整覆蓋所有(含移動)操作系統平臺。簡單的說就是A2PT可以想怎么干就怎么干,對于被攻擊者而言,面對A2PT卻如“一簾幽夢,風過了無痕”——怎么死的都不知道。

你踹門厲害,我就拖你到內網里群K!——掐斷APT的作業鏈

不過APT攻擊并不是憑空產生的,其還是既有攻擊思路與方法的綜合,所以面對體系化的進攻,需要實施足夠縱深的安全防御。APT攻擊環環相連,A2PT更是極為精密的線性攻擊體系,但這反過來也意味著其整體攻擊體系十分脆弱,任何一點作業鏈被截斷就會使得整體攻擊無效。

所以,“新的布防點需要建立起來,在入口與關鍵內網進行深度檢測與緩存。”惡意攻擊者雖然在攻擊的第一步“把門踹倒”上擁有了很大優勢,但其進入內部網絡后仍然需要持續的橫向移動才能最終到達攻擊目標,而這一階段也正是防御者與之慘烈肉搏的時候??梢醞ü鑰梢尚形?、可疑文件進行分析,及時發現0day漏洞等方式,從不同維度對惡意攻擊者層層狙擊、實施捕捉。

新的安全布防點不是憑空產生的,其需要與傳統安全設備相互對接。傳統安全防護設備雖然面臨APT攻擊已經力不從心,但并不意味著這些設備就可以“取消”,而是需要深挖并擴展其安全防護能力(其實許多攻擊能夠得逞,往往是由于安全設備的防護能力僅僅開在了最低檔),例如通過傳統安全設備解決前置分析,過濾已知惡意代碼,在此基礎上再通過白名單、安全基線、安全可視化等手段完成高緯度的安全防御。所有傳統、新型安全防護設備結伴而行、互通有無,才能實現主動、智能的安全防護。

新型網絡安全觀:站在更高處——削皮?!

其實,現在中國國內對于網絡安全的認知還存在許多盲點,例如:過多強調以隔離換取安全,而忽視信息有效鏈接和整合是重要的安全手段;過多強調信息技術的自我短板,不積極在安全環節上有效布防;過度強調主要對手的基礎優勢,缺乏對對手攻擊作業方式和作業路徑的系統研判;過度看重網站安全,針對重要基礎設施網絡被入侵、信息被竊取問題,投入甚少。“對于互聯網,需要關注網絡攻擊帶來的縱深挑戰,需要關注對手的實際行為。”

面對新型惡意攻擊,需要形成新的網絡安全觀。肖新光提出,當前的安全觀需要從基于合規的安全方法論向能力型安全觀轉化,從治理型安全觀向戰略博弈的安全觀轉變,需要擴大視野,從邊界型安全觀向國土型安全觀轉變,需要點點皆邊界、點點皆防御的安全觀——這很像是在給土豆削皮,一層層不停的削下去,直至將惡意攻擊消于無形。

變身塔防高手,讓攻擊跟你走——妖孽,現形!

在本次冬訓營上,塔防理念的提出者黃晟認為,要找出體系化攻擊的薄弱環節,如塔防游戲一般利用“先發優勢”布置起一道道安全防線,對惡意攻擊層層消弱、阻截。通過網絡拓撲控制進攻者的攻擊路徑,通過縱深防御形成多道防線,且每道防線都要針對能夠通過前道防線的攻擊者特點,部署避免損失的防御后手及防“逃逸”的后手(例如?;?、系統環境科隆誘拐攻擊者等等),讓惡意攻擊落入防御者的節奏里,逼迫其逐漸顯形,使其在有利于防御者的環境下作戰。

在以私有云為例時黃晟提出,云計算平臺存在多層次迭代的依賴關系,底層管理平臺大量使用通用軟件開發,復雜度不亞于一套中小型信息系統。云計算引入了更多系統,這使其會具有更多被攻擊面。但細細看來,云計算還是既有IT技術的延續、發展,依然受傳統軟硬件技術生態圈的影響,因此傳統攻擊手段依然具有威脅性,需要依靠傳統防護手段作為私有云安全防護的基礎。

那么,對于私有云可以考慮實施分層控制體系:底層嚴格控制,保障交付層靈活應用;各層功能內聚,降低運行依賴;分層自治,將云管理系統作為信任中心,接受統一管控;多層縱深控制,固化底層行為;收縮硬件管理訪問接口,形成管理專網。

長點心吧CISO

借用某小品里的一句經典臺詞“CISO吶,你可長點心吧”,如今的安全防御體系已經不能像以前那樣粗糙、放任自流,現在要吃透業務系統架構,對每個環節都實施精細、精準的安全防御,確保整體安全防御能力達到甚至超過企業業務的安全基線,同時又不會對企業業務的正常運行造成負面影響。

未來的網絡安全攻防更多的將是一場智力的對決,戰爭迷霧會不時的出現,卻又在下一刻被打破。攻者虛虛實實,防者實實虛虛。惡意攻擊者可能最后才會發現,其所竊取到手的“高價值信息”其實只是一堆垃圾代碼,而其行蹤早已暴露于防守者的視線之下。

合作站點
stat