享全面信息 建安全策略

■Palo Alto Networks 網(wǎng)絡(luò)安全專家 Scott Simkin

以前的互聯(lián)網(wǎng)安全，企業(yè)面臨的是只是操作系統(tǒng)的安全問題，用軟件就能夠解決。但是進(jìn)入萬物互聯(lián)的時(shí)代以后，包括智能攝像機(jī)、路由器、汽車，甚至隨身穿戴、智能醫(yī)療設(shè)備等，都趨于智能化、網(wǎng)絡(luò)化，解決這些智能硬件的安全問題，僅僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是無法完成的，這其中，便包括不斷增長且有愈演愈烈趨勢(shì)的APT(高持續(xù)性威脅)。

根據(jù)網(wǎng)絡(luò)安全實(shí)驗(yàn)室公布的數(shù)據(jù)顯示，目前針對(duì)國內(nèi)的APT(高持續(xù)性威脅)就已覆蓋著全國30多個(gè)省市，均是涉及針對(duì)科技、教育等多個(gè)領(lǐng)域的定向攻擊，60%的案例里，攻擊者幾分鐘就可攻擊得手，70%-90%的惡意樣本都是有針對(duì)性的，75%的攻擊會(huì)在一天內(nèi)從一個(gè)受害者快速地?cái)U(kuò)散到其他受害者。

因此，從網(wǎng)絡(luò)攻擊的嚴(yán)重性來說，對(duì)安全事件細(xì)節(jié)了解的越多，就越能有助于更好的構(gòu)建防御系統(tǒng)防止類似攻擊事件的再次發(fā)生。

傳統(tǒng)安全手段是典型的“廣撒網(wǎng)后祈禱”模式：他們提供管控并阻止那些已知的破壞活動(dòng)，而在遭受攻擊之后進(jìn)行的后續(xù)和補(bǔ)充調(diào)查則非常有限。

有越來越多的大型企業(yè)開始部署諸如沙箱等技術(shù)來探測(cè)并阻止那些之前從未發(fā)現(xiàn)的未知攻擊。而受到攻擊后，安全團(tuán)隊(duì)往往只將注意力集中在該事件本身，忽略了對(duì)攻擊以及周邊環(huán)境的調(diào)查和分析。

但是，這些方法都沒有顧及到高級(jí)攻擊的最基本事實(shí)：高級(jí)攻擊的發(fā)生并非轉(zhuǎn)瞬即逝，而是持續(xù)數(shù)周、甚至有可能轉(zhuǎn)化為持續(xù)數(shù)月或者數(shù)年的事件。高級(jí)攻擊者會(huì)實(shí)施一系列行動(dòng)，如深度識(shí)別、啟動(dòng)探針、小規(guī)模感染到傳送2期或3期惡意軟件，以及更多。相當(dāng)長的一段時(shí)間之后，當(dāng)這些持續(xù)性行動(dòng)發(fā)展到頂點(diǎn)的時(shí)候，便形成破壞。這一過程中的每一步，都是網(wǎng)絡(luò)攻擊生命周期中的重要一環(huán)，同時(shí)也是探測(cè)并阻擊對(duì)手的絕佳機(jī)會(huì)。

當(dāng)人們?cè)噲D去補(bǔ)救某次成功攻擊造成的后果，或者阻止某個(gè)特定活動(dòng)以期將來不再發(fā)生時(shí)，人們已經(jīng)失去了絕佳機(jī)會(huì)來獲得這次事件的相關(guān)信息，如作案者是誰，他/她是怎樣作案的以及為什么要作案。說的更明白一點(diǎn)，那就是人們從這些事件中獲得的信息越多，安全策略就會(huì)構(gòu)建的越好，就能防止類似事件的再次發(fā)生。

那些惡意行為的實(shí)施者，可以很容易地變換其使用的惡意軟件，但卻很難增強(qiáng)其手中的工具、技巧和處理過程 (TTP)，未來可以利用這一點(diǎn)來探測(cè)群組中的活動(dòng)。

你還可以更加有效地利用安全團(tuán)隊(duì)用在分析事件上的有限時(shí)間，比如，對(duì)低級(jí)別網(wǎng)絡(luò)犯罪集團(tuán)和國家支持級(jí)別的網(wǎng)絡(luò)間諜活動(dòng)的反應(yīng)會(huì)有著天壤之別，這是因?yàn)閮烧咧g的復(fù)雜程度相差很大，并且安全團(tuán)隊(duì)非常清楚這兩者之間的優(yōu)先級(jí)。

值得慶幸的是，在這場(chǎng)戰(zhàn)斗中，你并不孤單。各種各樣的公共資源、信息共享組織、供應(yīng)商研究發(fā)布以及分析服務(wù)都有助于獲取對(duì)手情報(bào)。獲得的信息越多，分析的效果越好，你制定的安全策略就會(huì)越好，就會(huì)杜絕某個(gè)特定對(duì)手對(duì)你的企業(yè)造成的破壞。當(dāng)攻擊出現(xiàn)時(shí)，可以利用這個(gè)機(jī)會(huì)好好進(jìn)行檢查，找出那些試圖破壞網(wǎng)絡(luò)的幕后真兇，并采取相應(yīng)的措施防止再次發(fā)生類似的襲擊。