網(wǎng)絡安全防御是一項需要長期堅持的工程
隨著網(wǎng)絡安全形勢日漸嚴峻,廠商對網(wǎng)絡安全防御也十分警惕,與此同時,隨著廠商對安全威脅的理解深入與技術創(chuàng)新,防護和抵御手段不斷涌現(xiàn),催生了新網(wǎng)絡安全環(huán)境下令人期待的產業(yè)。
網(wǎng)絡安全攻擊通常可植入后門程序或者控制漏洞,隱匿地獲取被攻擊方的信息和數(shù)據(jù)。APT攻擊通常不僅僅為了短時間內攻破對方信息系統(tǒng),而是長年累月的潛伏在對象系統(tǒng)直至完成收集或者破壞任務。由于APT攻擊通過長達數(shù)年的觀察、分析、監(jiān)視至掌控,一旦獲取到重要的情報信息或是需要完成破壞任務,那么將整個數(shù)據(jù)庫全部轉移甚至將被全部摧毀也是輕而易舉,破壞程度之大甚于原來的所有攻擊方式。
APT攻擊中通常使用0day漏洞,即官方軟件廠商或者網(wǎng)上尚未公開發(fā)布補丁的漏洞。由于其動機和目的的隱秘性,在公開環(huán)境中很難探尋到特定APT攻擊的蹤跡。另外攻擊的方式具有戰(zhàn)術思想,在發(fā)動多種混合攻擊的同時善于將主要的攻擊手段隱藏在內,傳統(tǒng)的防御措施束手無策或者僅能識別防御其小部分的偽裝攻擊,而無法全局控制和抵御真正的威脅。
從目前的攻擊方式及手段來看,主要通過網(wǎng)絡審計監(jiān)測三種方式進行抵御與防護。
最小網(wǎng)絡授權源于安全領域頂尖咨詢機構Forrester提出的“零信任網(wǎng)絡”概念。其認為所有的流量都不可信,無論訪問來自于何種位置,都必須遵守最嚴格的控制訪問策略。作為隔斷內部網(wǎng)絡和外部網(wǎng)絡第一道防線的防火墻是最基礎的角色,通過限制網(wǎng)絡互訪來保護內網(wǎng)資源。
傳統(tǒng)的防火墻分為四種類型,包過濾、狀態(tài)性協(xié)議監(jiān)測、網(wǎng)絡地址轉換(NAT)以及虛擬私用網(wǎng)絡接入(VPN),主要適用于OSI模型中傳輸層與網(wǎng)絡層的防護。而隨著攻擊技術的不斷升級,傳統(tǒng)的防火墻存在著無法檢測加密Web流量、對于Web應用防護能力不足、深度檢測擴展能力有限、遭遇攻擊時有效流量無法通過等問題,日漸難以對應未來的復雜網(wǎng)絡威脅環(huán)境。
于是,下一代防火墻(NGFW)應運而生,其能夠支持全面面向安全漏洞與威脅的特征碼,動態(tài)啟發(fā)性的探測攻擊方式及手段,同時能夠識別在應用和應用層上執(zhí)行獨立于端口和協(xié)議,而不是根據(jù)純端口、純協(xié)議和純服務部署網(wǎng)絡安全政策,有效的彌補了傳統(tǒng)安全設備在設備性能、訪問控制、應用識別和內容安全等方面的缺陷,在未來相當長的階段中能較為成功的承擔起Forrester“零信任網(wǎng)絡”模型中網(wǎng)絡隔離網(wǎng)關的角色。
對于企業(yè)內部信息系統(tǒng)而言,網(wǎng)絡應用的管理成為防御APT攻擊的重要方式,相對應的安全防護產品應用防護系統(tǒng)(WAF)成為完善這一方式的有利手段。WAF是執(zhí)行系列針對HTTP/HTTPS的安全策略專門為Web應用提供保護的一款產品,主要面向Web服務器。雖然與下一代防火墻同為在應用層層面的防護,但是兩者的部署位置與防護對象均不同。從防護對象來說,NGFW的防護對象是網(wǎng)絡中的外部應用,例如P2P下載、外部網(wǎng)頁訪問等,而WAF的防護對象主要是內部服務器,兩款產品的保護對象、防護的威脅種類、安全需求均不同。其次,從部署位置來說,NGFW一般部署在整個網(wǎng)絡的網(wǎng)關位置,而WAF部署在WEB服務器之前,二者的性能壓力也完全不同。
在面對APT的混合攻擊時以上防護方式可能也會存在百密一疏,或者更新的APT攻擊手段超越了目前的業(yè)界已有的防護措施。細致、精確的網(wǎng)絡審計監(jiān)測系統(tǒng)則成為監(jiān)測預警、過程記錄、事后追溯的強有力手段。在為自身業(yè)務提供高效的網(wǎng)絡運營平臺同時,日趨復雜的IT業(yè)務系統(tǒng)與不同背景業(yè)務用戶的行為也給網(wǎng)絡帶來潛在的威脅,如內部業(yè)務數(shù)據(jù)、重要敏感文件通過電子郵件、數(shù)據(jù)庫訪問、遠程終端訪問、網(wǎng)絡文件共享等方式被篡改、泄露和竊取,都極有可能成為APT攻擊者發(fā)現(xiàn)、利用并進行長期潛伏、日后破壞的手段。
敏感信息傳播,準確掌握網(wǎng)絡系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,成為防御APT攻擊的重要方式和手段,網(wǎng)絡安全審計系統(tǒng)成為必不可少的組件,只有這樣,才能保證杜絕網(wǎng)絡攻擊事件發(fā)生。