■
如今,基于Web的攻擊正在飛速增長,APT作為一種“潛入式”攻擊形式,使攻擊手段變得復(fù)雜和隱蔽,攻擊的數(shù)量和頻率也明顯增加。APT攻擊是有組織針對某一特定目標(biāo)實施持續(xù)且有效的攻擊。對于此類攻擊的防護(hù),如果使用特征匹配的安防方式,將不再奏效。
已知威脅從未遠(yuǎn)離,新的威脅不斷演變。APT攻擊只是新型攻擊方式的一種,互聯(lián)網(wǎng)通信技術(shù)發(fā)展變相促使攻擊能力的不斷增強(qiáng),各種新型攻擊隨時可能產(chǎn)生。隨著移動應(yīng)用、社交網(wǎng)絡(luò)、Web2.0被廣泛應(yīng)用于企業(yè)運營的方方面面,這些應(yīng)用程序可能攜帶常規(guī)的網(wǎng)絡(luò)安全威脅:如病毒感染、蠕蟲傳播、惡意軟件、惡意流量、利用各種漏洞對服務(wù)器發(fā)起攻擊等。
有數(shù)據(jù)表示,在以往多次的安全事件中,從攻擊網(wǎng)絡(luò)到攻陷網(wǎng)絡(luò),時間最短幾秒鐘,最長也不過幾小時,但是從被攻陷到發(fā)現(xiàn)攻擊行為,最快的也需要數(shù)天的時間,最長的甚至在幾年后才被發(fā)現(xiàn)。這一數(shù)據(jù)很好地詮釋了未知威脅的可怕。
傳統(tǒng)防火墻時代,可識別的應(yīng)用數(shù)量非常有限,通常以使用的端口來識別。安全策略是基于五元組配置,管理相對簡單,但其無法基于應(yīng)用做細(xì)粒度的訪問控制,更不用說能夠準(zhǔn)確掌握流量的內(nèi)容。傳統(tǒng)防火墻對威脅的檢測是基于對特征的檢測,有數(shù)據(jù)顯示54%的惡意軟件,傳統(tǒng)的AV無法檢測,但最重要的問題就是,傳統(tǒng)防火墻無法提取樣本特征。遇到APT這樣新型的攻擊,傳統(tǒng)防火墻更加沒有有效的防護(hù)手段。
而目前流行的下一代防火墻不會關(guān)注流量中的異常,也不會將用戶行為關(guān)聯(lián)到對流量的使用和其他事件上,包括與其他類似用戶或系統(tǒng)所關(guān)聯(lián)出的異常。例如,長時間沒有太多行為的用戶突然變得活躍,或Web服務(wù)器的響應(yīng)時間和速度大幅度降低,這些是應(yīng)該調(diào)查的可疑事件。但,下一代防火墻只能對用戶制定訪問權(quán)限,而無法進(jìn)行動態(tài)的調(diào)整,實際上用戶可能需要根據(jù)感知的風(fēng)險即時改變訪問策略。
用一句話概括來說,簡單的靜態(tài)防御過時了!
越來越多的安全專家意識到,今天我們已經(jīng)步入了新的后攻擊時代,此時攻擊甚至經(jīng)常發(fā)生在被認(rèn)為最“安全”的網(wǎng)絡(luò)里,包括國防機(jī)構(gòu)、金融機(jī)構(gòu)、政府機(jī)關(guān)、甚至網(wǎng)絡(luò)安全公司等等。而此時傳統(tǒng)安全解決方案的防御能力已經(jīng)隨著現(xiàn)代攻擊的發(fā)展而黯然失色。
安全防護(hù)的下一代技術(shù)該如何改變以應(yīng)對越來越復(fù)雜的現(xiàn)實?智能安全也許才是最佳答案。