伴随着各种新型网络攻击的出现,企业信息安全形势变得不容乐观,特别是银行、大型国企等机构,正在成为受攻击的主要对象。高级持续性威胁(APT,Advanced Persistent Threat)是众多攻击手段中破坏性极强的一种,特点在于其不可预见性,一切的破坏都是“突袭”,已成为各级各类网络所面临的主要安全威胁,使得各级单位机构对于内网安全的投入依旧是“杯水车薪”。也正因如此,企业级信息安全迎来了新挑战。
中睿天下iLab安全实验室负责人白应东
传统安全设备存短板
防火墙,一种典型的边界设备,通过访问控制来阻断外部威胁。但随着Web服务的不断发展,隐藏在HTTP等基础协议之上的应用层攻击越来越多。而攻击手法也相对隐蔽,其行为相当于一次正常的Web访问,此时防火墙是无法识别和阻止的,同时也不能阻止来自内部的攻击。于是入侵检测(IDS)、入侵防御(IPS)等安全设备应运而生,通过模式匹配、协议分析、异常流量统计等特征匹配方式进行检测攻击,其特点是主要针对已知的攻击类型。
但是特征的“伪装”在今天也变得异常容易,只需修改一个“二进制代码”即可改变木马的特征。因此依靠匹配模式进行“扫荡”显得有些力不从心,我们必须转变思路,采取新的形式。
为了在目前快速的攻防对抗中获得优势,中睿天下以大数据为支撑,以溯源技术为核心,研发了睿眼系列攻击溯源设备。通过深度把握网络中攻击源、攻击工具、攻击手法、被攻击者等要素,来实现已知威胁检测和未知威胁检测。首创的攻击模型检测方式,与现有的高级攻击(如APT)针尖对麦芒,即使君有疾在腠理,睿眼也可像“扁鹊”一样实时将威胁检出。即使部署睿眼之前资产服务器已被植入后门,一旦后门被利用,睿眼立即就可将其抓出。
中睿天下iLab安全实验室负责人白应东表示:”睿眼的最大优势在于弥补了传统IDS和IPS防御的不足。基于强大的攻击溯源技术能够有效解决传统安全设备无法检测的未知威胁。“
高调做事的iLAB实验室
面对复杂不可控的APT攻击,中睿天下的iLAB实验室不同于其他安全研究机构,立足服务用户。研究的都是用户最为关心的问题,如攻击者的背景、目的以及来源、攻击过程等。白应东表示:80%的APT攻击开始于web攻击,睿眼能够在APT攻击发起之时及时发现并采取措施。不仅如此,iLAB实验室还与其他互联网安全厂商建立了PB级的数据资源共享的合作,为提供攻击溯源做了后援保障。
不仅如此,在威胁分析方面iLAB实验室也有专业的人才团队。在非人工干预的情况下,记录网站访问者的“指纹”,包括攻击行为、攻击手法等能辨析攻击者身份的数据。把这些数据与指纹库的攻击模型进行匹配,确定是否是攻击行为并加以评级。这不仅需要对各种攻击行为非常熟悉,必要时还需要进行人工分析。
iLAB实验室依靠睿眼WEB攻击威胁溯源系统,再加上专家团队、大数据溯源中心的支撑,实现了威胁分析、攻击溯源、策略改进三方面的持续闭环防护,能够在传统安全设备的防护基础上,明显改进Web防护的效果。
睿眼WEB攻击威胁溯源系统的工作原理是对链路中的流量进行深层次的协议解析和应用还原,识别其中是否包含攻击行为。检测到可疑攻击行为时,在全流量存储的条件下,回溯分析相关流量,例如可将包含的http访问、下载的文件、及时通信信息进行还原,协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力,是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。
请让睿眼为安全买单
在近期出台的《CTO企业信息安全调查报告》中显示,超4成企业在过去三年内曾发生过不同级别的信息安全事故,仅有15%的企业认为自己的安全措施完全可以防范风险。企业信息安全得不到保障,严重者会影响企业自身发展,同时泄露企业敏感信息也会给企业带来不可估量的负面社会影响和损失。
不仅如此,企业信誉也与信息安全息息相关,据统计,世界上每分钟就有2个企业因为信息安全问题倒闭。对于企业而言,如何保护关键的数据保密性、完整性,关键业务系统的可用性,关系到企业的兴衰。企业安全问题已经不再简单,而是动态、持续、隐蔽、高渗透的攻击行为。要想有效的防范信息安全威胁,就必须确保信息安全防护手段也随之“进化”,并采用下一代威胁防御技术。
白应东再次提醒用户,传统的安全防御理念,都是以控制为核心,通过各种网络安全设备对信息资源进行保护,但从网络攻击行为的发展趋势来看,“潜伏性”和“持续性”是最显著的特征,这让攻击行为的阻断越来越困难。睿眼WEB攻击威胁溯源系统的设计理念跳出了被动防守的传统做法,通过对数据流量的实时分析,真正做到安全防护的“智能感知”和“可视化”,并给了出准确有效的防护建议。
