启用新的安全模式势在必行
当前的威胁环境完全不同于 10 年前。那些损害可控的简单攻击早已让位于高度复杂、资金基础雄厚且能对组织和国家基础设施造成重创的现代网络犯罪。这些高级攻击不仅难以检测,而且还会长时间留在网络内,积累网络资源,以便在其他地方发动攻击。
完全依赖检测与拦截来实现防护的传统防御措施已经远远不够。目前的形势要求启用新的安全模式,在攻击前、攻击中和攻击后的整个过程中提供保护。
黑客活动的产业化
最早的电脑病毒出现距今已超过 25 年。当时几乎没有人意识到,它们会成为黑客活动产业化的开端。
近 10 年来,病毒一直是主要的攻击方式。随着时间的推移,防御者在很大程度上能够依靠拦截和防护能力来对抗这些病毒。随着新漏洞不断被发现和公布,攻击者获得了恶名,但也积累了越来越多的知识,这使得他们一直在不断创新。随之而来的,是清晰的威胁周期,也可以说,这是一种“军备竞赛”。大约每隔五年,攻击者们就会推出新型的威胁(从宏病毒到蠕虫病毒,再到间谍软件和 rootkit),而防御者们则会快速创新,以保护网络免受这些威胁的损害。
毫无疑问,我们可以把这些周期与那些带来新攻击载体的主要技术转变对应起来(见图 1)。早期的病毒主要是以操作系统为目标,并通过“潜入者网络”进行传播。宏病毒利用用户的文件共享进行传播。蠕虫类型的病毒利用企业网络和不断增加的互联网活动,在不同计算机之间传播。间谍软件和 rootkit 则伴随新的应用、设备和在线社区出现。现在,我们面对的是高级恶意软件、针对性攻击和高级持续性威胁 (APT)。这个时代与过去的不同在于攻击背后的动机与工具,这使得检测、了解和阻止这些攻击变得非常困难。
图 1. 黑客活动的产业化
黑客活动的产业化正在创造一种更快、更有效且更高效的犯罪经济,他们会通过攻击我们的 IT 基础设施获取利益。有组织的漏洞交易非常猖獗且利益可观,而开放的市场更是推动了从利用漏洞到盗窃、破坏和损毁数据的转变。而且,随着网络罪犯意识到可以从中获取巨额的资金,他们的工作变得越来越标准化、自动化和流程化。攻击者了解传统安全技术的静态特性及其相互独立的部署,因此他们可以利用两者之间的缺口及其内部的漏洞。黑客集团遵循软件开发流程甚至成了司空见惯的事情,比如他们会在发布自己的产品前针对安全技术进行质量保证测试或工作台测试,以确保能够继续绕过常规防护。
现在,由于存在保密性方面的巨额经济奖励,许多“黑客活动分子”团队因此会发动能够为他们带来经济或政治收益而又极少会招致惩罚或起诉的攻击。新的攻击方法(例如:端口和协议跳跃、加密隧道、植入程序、以及使用社交工程和零日攻击的复合型威胁和技术)使得黑客能够更加轻松迅速地入侵,且成本更低,同时也增加了防御者检测和拦截攻击的难度。另外,这些方法还具有巧妙逃避的特性,因此,攻击能够自己在入侵企业后迅速变化,寻找稳固的立足点并窃取重要数据。#p#
“全面互通”挑战
现代的扩展网络及其组件在不断地变化,并造就了新的攻击媒介。其中包括移动设备、具备网络功能的移动应用、虚拟机监控程序、社交媒体、网络浏览器和嵌入式计算机,以及我们初步构想的由万物互联所带来的数量激增的各种设备和服务。人们需要使用各种设备、访问各种应用并使用许多不同的云,因此总是与网络息息相关。这种普及性就是所谓的“全面互通”挑战。这些动态性在方便我们的通信的同时,也增加了可让黑客用以入侵的入口点和方法。遗憾的是,大多数组织处理安全问题的方法尚未实现统一。
大多数组织采用相互独立的技术来保护扩展网络,这些技术不会也无法协同工作。他们还可能过分地依赖云安全服务供应商和托管公司来保护互联网基础设施。在这一新的现实情况下,安全管理员往往对访问企业网络的设备和应用具有较低的可视性和可控性,而且能力不足以应对新的威胁形势。
新的安全动态
面对高级攻击和任意点对点基础设施共同带来的挑战,安全专业人员提出了三大问题:
1. 伴随着新的业务模式和攻击媒介的出现,我们如何在 IT 形势不断变化时保持安全性和合规性?那些为了获得云、虚拟化或移动技术所提供的工作效率、灵活性与效率而过渡到这些设备的组织,必须对其安全基础设施进行相应地调整。
2. 在不断变化的威胁形势下,我们如何提高能力来持续防御新的攻击媒介和日益复杂的威胁?攻击者不会区别对待;他们会抓住该链条中的任何薄弱环节。他们会频繁使用专为规避目标所选择的安全基础设施而开发的工具,毫不留情地攻击相应环节。他们会使用那些危害表现极其细微的技术和方法,在规避检测方面竭尽全力。
3. 我们如何才能够解决前两个问题并同时降低安全解决方案的复杂性与凌乱性?留下可被当今经验丰富的攻击者利用的防护缺口,将会给组织带来难以承受的代价。同时,由于未进行集成的不同安全解决方案而增加复杂性,无法提供应对高级威胁所需的防护水平。
这些动态性(不断变化的业务模式、威胁形势和安全的复杂性与凌乱性)的结合,造成了安全漏洞,打破了安全周期,降低了可视性,并带来了安全管理挑战。为了真正保护企业应对这些动态性,我们需要改变我们的安全方法。因此,启用以威胁为中心的全新安全模式势在必行。#p#
应对整个攻击过程:攻击前、攻击中和攻击后
当今的大多数安全工具都专注于提供网络可视性,并在进入点拦截恶意软件。它们会在开始阶段对文件进行一次扫描,以确定其是否为恶意文件。但高级攻击并不限于单个时间点;而是持续不断地发生,这就需要我们提供持续的审查。现在,攻击者采用诸如端口跳跃、封装、零日攻击、命令和控制 (C&C) 检测规避、休眠技术、横向移动、加密流量、复合型威胁以及沙盒规避等手段,来躲避初始检测。如果未捕捉到相应的文件或文件在进入相应环境后才发展演变成恶意文件,在某个时间点进行检测的技术将无法识别攻击者的后续演变活动。
安全方法不能只专注于检测,它还必须具备降低攻击者侵入后所造成影响的能力。组织需要全面检查他们的安全模式并获得整个扩展网络和攻击过程(攻击发生前、攻击发生过程中以及攻击开始破坏系统或窃取信息后)的可视性和可控性(见图 2)。
图 2. 新安全模式
● 攻击前:为了实施策略和控制以防护扩展网络,防御者需要对扩展网络上的事物具有全面的感知与可视性。
● 攻击中:持续检测并拦截恶意软件的能力至关重要。
● 攻击后:为了消除攻击的影响,防御者需要追溯性安全功能。他们必须识别进入点,确定范围,遏制威胁,降低再次感染的风险并修复破坏的部分。
攻击前
面对情景感知型攻击者,我们需要情景感知安全产品。组织面对的攻击者往往比他们自己更了解他们所保护的基础设施。为了在攻击发生之前进行防御,组织需要具有对自身环境(包括[但不限于]物理和虚拟主机、操作系统、应用、服务、协议、用户、内容和网络行为)的全面可视性,以期在与攻击者的对抗中获得信息优势。防御者需根据目标价值、攻击的合法性及历史情况,了解基础设施所面临的风险。如果不明白自己在努力保护什么,他们对于配置用来进行防御的安全技术将会毫无准备。可视性需要覆盖整个网络 - 包括终端、电子邮件和 Web 网关、虚拟环境和移动设备,并延伸到数据中心。而且从这种可视性中,必须能够生成可指导操作的警报,以便防御者做出明智决策。
攻击中
严酷的攻击并不限于单个时间点;而是持续不断地发生的。这就需要我们提供持续的安全防护。传统的安全技术仅能基于攻击本身的单个数据点在某个时间点检测攻击。这种方法是无法与高级攻击相抗衡的。我们需要的是基于感知概念的安全基础设施:集成并关联历史模式扩展网络的数据与全局攻击情报,从而提供情景并区分主动攻击、外泄和侦察与单独的背景噪声。这使得安全防护从一种某个时间点的测试转变成一种持续的分析与决策制定过程。如果某个文件通过了安全检测,后来又表现出恶意行为,那么组织就可以采取措施。有了这种实时洞察,安全专业人员可以在不进行人工干预的情况下,采用情报自动化来强化安全策略。
攻击后
为了应对整个攻击过程,组织需要追溯性安全功能。追溯性安全功能是一项巨大的数据挑战,很少有产品能够提供这种功能。当基础设施能够不断收集和分析数据来创建安全情报时,安全团队可以通过自动化来识别危害表现,检测那些复杂程度足以改变自身行为来躲避检测的恶意软件,然后修复相应的问题。数周或数月前未被检测出的攻击都可以被识别、确定范围、遏制和修复。
以威胁为中心的安全模式可帮助组织应对整个攻击过程,处理所有攻击媒介并随时、时时、实时进行响应。#p#
启用新安全模式
为了启用新的安全模式,思科认为现代安全技术需要专注于三项战略性事务:它们必须是可视性驱动、专注于威胁且基于平台的。
可视性驱动:安全管理员必须能够准确地查看一切正在发生的事情。这种功能需要广度与深度的结合(见图 3)。广度即具备跨网络交换矩阵、终端、电子邮件和 Web 网关、移动设备、虚拟环境和云来查看和收集来自所有潜在攻击媒介的数据的能力,从而获得有关环境和威胁的知识。深度提供关联信息、应用情报来了解情况、做出更好的决策并手动或自动采取行动的能力。
图 3. 广度与深度
专注于威胁:现在的网络已扩展到所有有员工、数据以及可以访问数据的地方。尽管尽了最大努力,对于安全专业人员而言,应对不断变化的攻击媒介仍是一项巨大的挑战,这种持续的变化也给攻击者带来了可乘之机。策略和控制对于减少攻击面而言是必需的,但网络仍然面临着威胁。因此,技术必须专注于检测、了解和阻止威胁。专注于威胁意味着站在攻击者的立场上去思考、应用可视性与情景以了解和适应环境中的变化,然后演变防护措施,从而采取行动并阻止威胁。随着高级恶意软件和零日攻击的出现,这已成为一个需要持续分析以及实时安全情报(来自云并在所有产品中共享)的持续流程,以便提升效率。
基于平台:安全现在不仅仅是一个网络问题;它需要涵盖了网络、设备和云的灵活开放平台的集成系统。这些平台必须具备可扩展性,具有一定规模且可针对统一策略和一致性控制进行集中管理。简单地说,在我们对抗攻击时,它们需要无处不在。这体现了从部署单点安全设备到集成可扩展的真实平台、易于部署的服务与设备的转变。基于平台的方法不仅增加了安全效力,消除了孤立及其产生的漏洞,还减少了检测时间,简化了执行过程。#p#
涵盖整个攻击全程
为了克服当今的安全挑战并获得更好的防护,组织需要贯穿整个攻击过程且根据可视性驱动、专注于威胁和基于平台三个原则设计的解决方案。思科提供了贯穿整个攻击过程,以威胁为中心的网络安全解决方案的全面产品组合。
图 4. 涵盖整个攻击全程
这些基于平台的特定解决方案在出现威胁的攻击媒介方面,提供了业界最广泛的执行与修复选项。这些解决方案协同工作,在整个攻击过程中提供防护,同时还针对整体安全系统集成了补充性的解决方案。
● 攻击发生之前,包括防火墙、下一代防火墙、网络访问控制和身份服务等在内的解决方案会向安全专业人员提供他们发现威胁、执行和强化策略所需的工具。
● 攻击进行期间,下一代入侵防御系统与电子邮件和 Web 安全解决方案会提供检测、拦截和防御正在渗透或已渗透进来的网络攻击的功能。
● 攻击之后,组织可以利用思科高级恶意软件防护与网络行为分析来快速、有效地针对攻击确定范围、遏制威胁并修复漏洞,将破坏降到最低。
这些解决方案扩展后甚至可以支持最大的跨国组织,在需要时根据情况,以物理和虚拟设备或基于云的服务的形式提供。它们还进行了集成,可跨扩展网络和所有攻击媒介提供持续的可视性与可控性。
总结
黑客活动的产业化,再加上全面互通挑战,正深刻改变着我们保护自己系统的方式,促使我们去考虑全新的网络安全方法。把重点放在基于外围的防御和预防性技术上的安全战略将使得攻击者在进入网络后能够随心所欲。
不断变化的业务模式、威胁形势和安全的复杂性与凌乱性,造成了安全漏洞,打破了安全周期,降低了可视性,并带来了安全管理挑战。因此启用以威胁为中心的、能够跨扩展网络和整个攻击过程提供组织需要的可视性和可控性的全新安全模式势在必行。
这种以威胁为中心的安全方法能够在降低复杂性的同时,跨整个攻击过程提供出色的可视性、持续的可控性和高级威胁防护,思科是唯一一家能够提供这种方法的企业。使用这一新的安全模式后,组织将能够更智能、更快速地应对攻击前、攻击中和攻击后的情况。
