新的威脅類型不斷涌現(xiàn)，傳統(tǒng)的安全設(shè)備顯然已經(jīng)過時，我們該如何選擇，以確保安全？

新威脅不斷涌現(xiàn)且愈發(fā)高級

在過去的幾年中，我們已經(jīng)看到越來越多針對財(cái)富500強(qiáng)企業(yè)和政府網(wǎng)絡(luò)的攻擊，商業(yè)化的運(yùn)作使這些攻擊在本質(zhì)上具有高度針對性和持續(xù)性，有些攻擊甚至持續(xù)幾個月，同時大部分此類攻擊意在竊取有價值的信息。

現(xiàn)代的惡意軟件通常分為利用軟件漏洞和通過有效載荷交付獲得合法訪問兩種類型。經(jīng)過多年的發(fā)展和積累，大量的資源被投入其中，使用的技術(shù)已經(jīng)成熟。我們看到越來越多的黑客使用0-day獲得通過軟件漏洞進(jìn)行攻擊。同時，通過社會工程惡意軟件可以獲得合法的訪問如網(wǎng)絡(luò)釣魚、感染U-key等等。

目前許多的惡意軟件還使用復(fù)雜的逃避檢測技術(shù)，通過偽裝或修飾的網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測。傳統(tǒng)安全設(shè)備基于特征的檢測機(jī)制在本質(zhì)上是靜態(tài)的，使惡意軟件開發(fā)人員可以很輕松地使惡意軟件逃避這些檢測，就像隱形戰(zhàn)斗機(jī)可在雷達(dá)和其它防御系統(tǒng)檢測不到的情況下發(fā)起攻擊。

傳統(tǒng)安全設(shè)備是否依然可靠？

在過去的數(shù)十年里，防火墻一直是網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)最重要的基石之一。發(fā)展到現(xiàn)在，防火墻已經(jīng)經(jīng)歷了包過濾檢測、狀態(tài)檢測、NGFW等數(shù)代的發(fā)展。防火墻為了應(yīng)對所面臨的威脅，在最近幾代更新的安全設(shè)備中引入了基于特征的安全機(jī)制。在發(fā)現(xiàn)新的攻擊后，要分析流量并將新流量特征添加到特征庫中。系統(tǒng)監(jiān)控流量匹配特征中的模式，如果找到匹配項(xiàng)，會將流量標(biāo)記為可能的攻擊。目前大多數(shù)的入侵檢測和入侵防御系統(tǒng)使用的都是基于特征的引擎。

基于特征的方式非常適合于檢測未加密的已知攻擊，但也有非常明顯的缺陷，也就是必須要知道攻擊后才能夠進(jìn)行分析并編寫新的特征。對于以多種形態(tài)出現(xiàn)的新的惡意軟件和攻擊類型、APT及0-day攻擊所帶來的威脅，基于特征的方法基本上無能為力。部分廠商利用的“沙箱技術(shù)”也是一個靜態(tài)檢測方法。在發(fā)生危害之前，惡意軟件可以不斷在沙箱中測試和調(diào)優(yōu)，直到沙箱無法檢測它。

在越來越多類似APT和其他一些精心設(shè)計(jì)的攻擊使用高度隱蔽的方式，幾乎不留下任何可審計(jì)的線索，如日志和事件。一些可審計(jì)的日志和事件由于數(shù)量過多，本身也不會提示嚴(yán)重的安全事件。但如果這些攻擊是基于網(wǎng)絡(luò)的，通常會在流量和流量數(shù)據(jù)中留下線索。大數(shù)據(jù)分析可以使用關(guān)聯(lián)、機(jī)器學(xué)習(xí)等技術(shù)發(fā)現(xiàn)攻擊的蛛絲馬跡，但這已經(jīng)超出了傳統(tǒng)安全設(shè)備所能提供的檢測范圍。

我們到底需要什么樣的安全設(shè)備？

針對下一代防火墻產(chǎn)品是否適合規(guī)模應(yīng)用，世界著名的市場研究機(jī)構(gòu)Gartner公司研究副總裁Greg Young曾表示，市場早期的NGFW產(chǎn)品，基于威脅進(jìn)行防護(hù)，安全管理更多依賴于安全管理員。NGFW更多的是一個響應(yīng)者，對安全員不能發(fā)現(xiàn)的威脅不會做出防護(hù)。同時，在實(shí)際的使用過程中，由于安全策略不夠嚴(yán)格，潛在風(fēng)險常常被利用。直到造成了損失被發(fā)現(xiàn)，進(jìn)行“亡羊補(bǔ)牢”式的防護(hù)�？梢灶A(yù)見到，“人”主導(dǎo)的安全防護(hù)很難長期保證質(zhì)量。NGFW需要具備額外的智能。

山石網(wǎng)科CTO劉向明也認(rèn)為，“0-Day、APT攻擊、DDoS等異常流量及新型威脅不斷出現(xiàn)，而這些異常威脅隱藏在正常流量中無法通過特征識別和靜態(tài)閾值檢測出，需要結(jié)合流量異常行為進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析和檢測，并需要提前進(jìn)行風(fēng)險防范和安全防護(hù)，否則會給企業(yè)造成巨大的損失。目前的防火墻通過特征識別和靜態(tài)閾值進(jìn)行威脅檢測，并在威脅發(fā)生時進(jìn)行安全防護(hù)，對異常威脅無法有效防護(hù)和提前防范�！�

隨著企業(yè)業(yè)務(wù)的發(fā)展，為了持續(xù)保證安全性，需要不斷調(diào)整防火墻策略。大部分企業(yè)在他們的下一代防火墻上部署了數(shù)百條甚至上萬條以上的策略，同時有相當(dāng)一部分公司每個月都需要執(zhí)行大量的策略變更。頻繁的變更導(dǎo)致防火墻策略數(shù)量不斷增加，存在大量冗余、無效的策略。這主要是因?yàn)楣芾韱T很難判斷哪些策略有問題，即使判斷出來也因?yàn)閾?dān)心影響業(yè)務(wù)不敢輕易調(diào)整。所以能夠及時瀏覽針對每一業(yè)務(wù)的策略設(shè)置，或提出策略優(yōu)化建議，抑或能夠自動發(fā)現(xiàn)冗余和無效的策略，簡化管理的安全設(shè)備出現(xiàn)很有必要。

“智能化和自動化將是安全產(chǎn)品的一個發(fā)展趨勢，讓安全更多依賴“智能化設(shè)備”，有利于持久保持穩(wěn)定的安全質(zhì)量�！眲⑾蛎髡f�！盎�于對已知威脅的防御轉(zhuǎn)變?yōu)榛�于未知風(fēng)險的預(yù)防，會給用戶帶來極大的利好”。

標(biāo)簽： ddos 安全 大數(shù)據(jù) 大數(shù)據(jù)分析 防火墻 防火墻策略 漏洞 企業(yè) 數(shù)據(jù)分析 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全基礎(chǔ) 問題 信息安全 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。