■ 山東 孫勝華 趙長(zhǎng)林

編者按： 如今的網(wǎng)絡(luò)安全早已不再是簡(jiǎn)單幾個(gè)安全設(shè)備就能解決問(wèn)題的時(shí)代了，為應(yīng)對(duì)新的安全挑戰(zhàn)，網(wǎng)絡(luò)安全團(tuán)隊(duì)必須改變其通常的安全方法。本文介紹三大應(yīng)對(duì)策略，以未雨綢繆應(yīng)對(duì)新的安全威脅。

安全專(zhuān)家們預(yù)測(cè)，2019年將出現(xiàn)大量的新威脅。例如，半自動(dòng)化的僵尸網(wǎng)絡(luò)可以借助專(zhuān)門(mén)技術(shù)危害海量的設(shè)備，并且可以共同增加網(wǎng)絡(luò)危害的速度和效率。

另外，還有模糊測(cè)試的商品化，這是一個(gè)在硬件和軟件的接口及應(yīng)用程序中發(fā)現(xiàn)漏洞的技術(shù)過(guò)程，主要通過(guò)將非法的、非預(yù)期的或半隨機(jī)的數(shù)據(jù)注入到一個(gè)接口或程序中，然后再監(jiān)視其崩潰、意外跳轉(zhuǎn)到調(diào)試過(guò)程、無(wú)效的代碼聲明以及潛在的內(nèi)存數(shù)據(jù)溢出。通過(guò)人工智能和機(jī)器學(xué)習(xí)的應(yīng)用，將導(dǎo)致針對(duì)不同項(xiàng)目和平臺(tái)的零日攻擊的增加。顯然，這些威脅帶來(lái)的危害更大。

防御這種威脅要求兩個(gè)方面。首先是理解網(wǎng)絡(luò)犯罪的經(jīng)濟(jì)動(dòng)因，其次是采用一種能夠破壞這些動(dòng)因的策略和方案。

鑒于此，一種防御性的響應(yīng)是對(duì)影響攻擊者收益模式的人員、過(guò)程和技術(shù)做出改變。例如，采用諸如機(jī)器學(xué)習(xí)和自動(dòng)化等新策略和新技術(shù)強(qiáng)化防御面，或者可以迫使網(wǎng)絡(luò)犯罪轉(zhuǎn)變攻擊方法并加重其開(kāi)發(fā)成本，這種轉(zhuǎn)變可能使網(wǎng)絡(luò)犯罪的成本高昂，或者使其轉(zhuǎn)而去破壞成本更低的其他方面。

為應(yīng)對(duì)新的安全挑戰(zhàn)，網(wǎng)絡(luò)安全團(tuán)隊(duì)必須改變其通常的安全方法。最有效的策略可能是針對(duì)網(wǎng)絡(luò)罪犯的經(jīng)濟(jì)模式，直接影響網(wǎng)絡(luò)罪犯的經(jīng)濟(jì)收入。

部署欺騙

安全團(tuán)隊(duì)所面臨的最嚴(yán)峻的挑戰(zhàn)之一就是攻擊鏈條的加速化。例如，從發(fā)現(xiàn)漏洞到利用漏洞進(jìn)行破壞的時(shí)間已經(jīng)從原來(lái)的幾天變?yōu)閹仔r(shí)，并且正朝著幾分鐘和幾秒鐘的方向發(fā)展。

然而，用于檢測(cè)破壞和數(shù)據(jù)泄露的時(shí)間往往需要花費(fèi)很長(zhǎng)時(shí)間，例如有可能需用幾周時(shí)間。解決這種挑戰(zhàn)要求采用雙重策略。首先要提高檢測(cè)網(wǎng)絡(luò)中異常行為的能力，要達(dá)到盡可能實(shí)時(shí)地進(jìn)行。其次是要找到一種延緩攻擊的方法。

欺騙是實(shí)現(xiàn)此目的的一種安全策略。其要點(diǎn)是創(chuàng)建非常多的選擇，其中的多數(shù)是“死胡同”，從而迫使攻擊者的速度慢下來(lái)并可能放棄。安全防御者通過(guò)產(chǎn)生一些來(lái)自大量數(shù)據(jù)庫(kù)的虛假卻有吸引力的通信（其中僅有一種是真實(shí)的），攻擊者就必須評(píng)估每個(gè)數(shù)據(jù)源，并有可能探尋每個(gè)選項(xiàng)。通過(guò)延長(zhǎng)攻擊者需要找到并檢索數(shù)據(jù)的時(shí)間，防御者就有更多時(shí)間檢測(cè)并對(duì)攻擊做出響應(yīng)。

但更為有效的是確保任何“死胡同”選項(xiàng)都不僅包含看似合法的信息，還要有即刻識(shí)別非法通信的陷阱，且能夠自動(dòng)觸發(fā)響應(yīng)，從而將網(wǎng)絡(luò)罪犯從網(wǎng)絡(luò)中驅(qū)逐出去。防御者需要在幾個(gè)有吸引力的所謂“死胡同”的攻擊路徑中加強(qiáng)這種功效，這場(chǎng)“貓與老鼠”的游戲都會(huì)突然發(fā)生戲劇性的變化。

利用威脅情報(bào)

網(wǎng)絡(luò)犯罪實(shí)現(xiàn)其現(xiàn)有攻擊方案的投資最大化的最簡(jiǎn)單方法之一就是，簡(jiǎn)單地對(duì)惡意軟件做出少量的更改。即使是諸如改變IP地址等基本操作都有可能使惡意軟件逃避很多傳統(tǒng)的安全工具的檢測(cè)。許多已知的漏洞利用的持續(xù)成功就是這種策略有效性的一個(gè)證明。

對(duì)付這種變化的最常見(jiàn)的方法之一就是通過(guò)威脅情報(bào)的積極共享。經(jīng)由威脅情報(bào)源提供的新數(shù)據(jù)可以使安全廠商和用戶(hù)領(lǐng)先于威脅的發(fā)展。威脅情報(bào)變得日益詳細(xì)和昂貴，網(wǎng)絡(luò)攻擊者也會(huì)調(diào)整其逃避檢測(cè)和攻擊工具和策略。

在威脅研究機(jī)構(gòu)、安全廠商、執(zhí)法部門(mén)及其他政府機(jī)構(gòu)之間新的開(kāi)放式協(xié)作，其目的是提升威脅情報(bào)的功效、適時(shí)性等。訂閱這些威脅情報(bào)源并實(shí)施正確的策略有助于企業(yè)找到實(shí)現(xiàn)更高效檢測(cè)的高級(jí)模式和過(guò)程。

隨著這種情報(bào)日益詳細(xì)，企業(yè)通過(guò)利用大型高級(jí)研究團(tuán)隊(duì)和政府機(jī)構(gòu)的高級(jí)策略，就更有可能檢測(cè)和防止整個(gè)惡意軟件家族。因而，安全團(tuán)隊(duì)就更有可能將行為分析策略應(yīng)用到動(dòng)態(tài)的數(shù)據(jù)源中，并預(yù)測(cè)惡意軟件的未來(lái)行為。

前瞻性思考

最后的方法是將企業(yè)的安全模式從被動(dòng)式改為主動(dòng)式。安全團(tuán)隊(duì)需要盡可能多地找到當(dāng)前網(wǎng)絡(luò)中的風(fēng)險(xiǎn)。

一個(gè)很好的起點(diǎn)是設(shè)想企業(yè)已經(jīng)被攻擊，然后考慮由此需要做什么，網(wǎng)絡(luò)中有哪些設(shè)備及對(duì)這些設(shè)備實(shí)施了哪些策略，有哪些設(shè)備遭到攻擊以及如何獲知。安全團(tuán)隊(duì)從 “想當(dāng)然”式的信任轉(zhuǎn)變?yōu)榱阈湃文Ｊ娇赡苁亲罴堰x擇。其中包括實(shí)施多重認(rèn)證、部署網(wǎng)絡(luò)訪問(wèn)、建立分段和微分段等。

下一步就是將企業(yè)傳統(tǒng)上分離的安全設(shè)備整合到一個(gè)獨(dú)立的集成的架構(gòu)中，其中包括在遠(yuǎn)程位置甚至在多種“云環(huán)境”中部署的安全設(shè)備。能夠積極共享和關(guān)聯(lián)威脅情報(bào)的工具與高級(jí)行為分析的結(jié)合，在確認(rèn)即使是最高級(jí)的威脅時(shí)將更為有效。隨著新威脅模式和趨勢(shì)的出現(xiàn)，安全團(tuán)隊(duì)可以將其與網(wǎng)絡(luò)設(shè)備的實(shí)時(shí)監(jiān)測(cè)相結(jié)合，從而開(kāi)始預(yù)測(cè)并在威脅發(fā)作之前積極阻止。

結(jié)論

保持領(lǐng)先于網(wǎng)絡(luò)威脅的發(fā)展要求企業(yè)重新思考安全策略。在傳統(tǒng)上，攻擊者只需要防御者犯一個(gè)簡(jiǎn)單的錯(cuò)誤就可實(shí)施攻擊，同時(shí)攻擊者在成功實(shí)現(xiàn)其目標(biāo)之前會(huì)反復(fù)進(jìn)行嘗試。如今，企業(yè)不能被動(dòng)地與攻擊者進(jìn)行軍備競(jìng)賽，而需要先于威脅的行動(dòng)，并針對(duì)網(wǎng)絡(luò)犯罪的經(jīng)濟(jì)動(dòng)機(jī)采取行動(dòng)。

但是，要破壞網(wǎng)絡(luò)罪犯的經(jīng)濟(jì)模式，只能通過(guò)將安全系統(tǒng)集成到一個(gè)緊密結(jié)合的框架中，能夠自由的共享信息，執(zhí)行邏輯的和行為的分析從而確認(rèn)攻擊模式，然后將威脅情報(bào)融合到一個(gè)不僅能洞察網(wǎng)絡(luò)犯罪意圖和攻擊手段并且能夠先發(fā)制人的自動(dòng)化系統(tǒng)中。