步入新時(shí)代 2012網(wǎng)絡(luò)安全熱門技術(shù)盤點(diǎn)
2012年人類從世界末日的謠言中惶惑而過,在這不平凡的一年里,互聯(lián)網(wǎng)向人們展示了在各行各業(yè)里的巨大影響力。通過互聯(lián)網(wǎng)人們可以隨時(shí)移動(dòng)辦公、輕松網(wǎng)絡(luò)購(gòu)物,但在這便捷的背后是越來越多的網(wǎng)絡(luò)安全威脅。首當(dāng)其沖的當(dāng)屬企業(yè)用戶,他們需要適應(yīng)辦公生態(tài)圈里爆發(fā)的移動(dòng)終端,還要迎戰(zhàn)各種應(yīng)用安全威脅以及數(shù)據(jù)泄露等。2012年是網(wǎng)絡(luò)安全領(lǐng)域值得紀(jì)念的一年,也是值得企業(yè)用戶驚醒的一年,因?yàn)閺拇似髽I(yè)網(wǎng)絡(luò)安全的概念已經(jīng)跨入了新的時(shí)代。
BYOD——促使網(wǎng)絡(luò)安全進(jìn)入新時(shí)代
截至2012年6月底,中國(guó)手機(jī)網(wǎng)民規(guī)模首次超越臺(tái)式電腦用戶,達(dá)到3.88億。2012年上半年與2011年下半年相比,手機(jī)上網(wǎng)用戶占網(wǎng)民比例由69.3%提升至72.2%。整個(gè)行業(yè)已經(jīng)注意到,消費(fèi)者采購(gòu)移動(dòng)設(shè)備的速度比采用任何其他技術(shù)的速度都快。
順理成章的,自帶設(shè)備辦公BYOD(Bring Your Own Device)從一個(gè)概念進(jìn)入了人們的實(shí)際工作。能夠使用隨身的iPad和智能手機(jī)辦公,對(duì)員工而言無疑是一件非常便捷的事情。BYOD對(duì)企業(yè)來說,可以大幅降低設(shè)備的購(gòu)置、升級(jí)和維護(hù)投入。但是,這看似雙贏的一個(gè)事情,卻埋藏著巨大的隱患。
隨著BYOD(Bring your own devices)現(xiàn)象的日趨風(fēng)行,以消費(fèi)者為主導(dǎo)的BYOD迅速在企業(yè)公司普及。進(jìn)而公司的網(wǎng)絡(luò)和數(shù)據(jù)的安全威脅主要來著于員工。IT管理員面對(duì)BYOD,不可麻痹大意。BYOD意味著,IT部門應(yīng)該比以往任何時(shí)候都更加提高警覺,以確保他們的公司的安全策略是最新的,同時(shí)還要處理企業(yè)網(wǎng)絡(luò)之外的數(shù)以百計(jì)的移動(dòng)設(shè)備。
實(shí)施BYOD之后,安全和數(shù)據(jù)流失是CIO們比較關(guān)心的問題。畢竟,BYOD之后企業(yè)對(duì)設(shè)備的可控度降低了。而過去,企業(yè)的信息安全是建立在設(shè)備可控的基礎(chǔ)上,也就是企業(yè)有哪些IT設(shè)備,其上運(yùn)行的是什么系統(tǒng)和應(yīng)用,都在IT部門的掌握之中,同時(shí),企業(yè)的管理方式和流程都建立在這個(gè)前提之上,而如今這個(gè)前提不再有,為此企業(yè)的管理和流程也都需要進(jìn)行調(diào)整。
安全設(shè)備、安全數(shù)據(jù)、網(wǎng)絡(luò)保護(hù)三管齊下的辦法,可以有效防止BYOD的安全威脅。專家表示,在移動(dòng)設(shè)備上,有些設(shè)備本身就比其他設(shè)備更具有安全性。基于此的考慮,有些公司甚至出臺(tái)政策,只允許員工攜帶特有品牌的移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò)。
比如說一些公司只允許iPhone和iPad接入網(wǎng)絡(luò),而Android操作系統(tǒng)的設(shè)備不允許接入。為什么Android操作系統(tǒng)的設(shè)備不允許接入呢?因?yàn)锳ndroid是開放式開發(fā)平臺(tái),這樣的手機(jī)更容易受到攻擊。
除此之外,企業(yè)還利用網(wǎng)絡(luò)管理做到安全把關(guān),以確保員工遵守辦公規(guī)則。舉例來說,有些公司允許員工使用自己的移動(dòng)設(shè)備,但是必須在設(shè)備上安裝MDM安全策略。如果員工的手機(jī)丟失或者被盜,企業(yè)IT主管可以發(fā)送指令,遠(yuǎn)程鎖定設(shè)備或者遠(yuǎn)程擦除移動(dòng)設(shè)備上的信息。
不過MDM安全策略和擦除設(shè)備是不夠的,有專家表示,即使這樣,移動(dòng)設(shè)備仍有可能受到威脅,比如說通過訪問Web訪問電子郵件的內(nèi)容。因?yàn)镸DM產(chǎn)品可以提供設(shè)備的控制,但它并不能防止釣魚攻擊,惡意軟件,惡意的應(yīng)用程序或數(shù)據(jù)被竊取。IT管理人員應(yīng)該安裝一個(gè)設(shè)備管理解決方案相結(jié)合的數(shù)據(jù)丟失,動(dòng)態(tài)網(wǎng)頁(yè)威脅,移動(dòng)惡意軟件,惡意移動(dòng)應(yīng)用程序來做實(shí)時(shí)保護(hù)。
這時(shí)候,我們傳統(tǒng)的網(wǎng)絡(luò)安全提供商就迎來了跨時(shí)代的挑戰(zhàn)。他們需要在整個(gè)組織內(nèi)實(shí)施統(tǒng)一的安全策略、為各種用戶提供優(yōu)化的經(jīng)管體驗(yàn),支持多種設(shè)備并符合安全和業(yè)務(wù)要求。需要確保用戶對(duì)資源的安全訪問,并提供針對(duì)任何移動(dòng)設(shè)備的高性能網(wǎng)絡(luò)連接。#p#
下一代防火墻NGFW
自Gartner在2009年提出了下一代防火墻概念以來,眾多國(guó)內(nèi)外網(wǎng)絡(luò)安全廠商都陸續(xù)推出了下一代防火墻產(chǎn)品。另?yè)?jù)Gartner的研究報(bào)告顯示,在2014年,60%的新購(gòu)防火墻都將是下一代防火墻。可以看出,無論是企業(yè)用戶還是廠商,都在順應(yīng)IT趨勢(shì)的變革,也都看到了其中的機(jī)遇。
圖片來自網(wǎng)絡(luò)
2012年,NGFW(Next generation firewall)即下一代防火墻已經(jīng)成為業(yè)界的熱點(diǎn)聲音。云計(jì)算、WEB2.0及移動(dòng)互聯(lián)網(wǎng)等一系列新應(yīng)用技術(shù)被廣泛使用,Gartner于2009年定義NGFW時(shí)的認(rèn)知已經(jīng)明顯不足。眾網(wǎng)絡(luò)安全廠商和相關(guān)機(jī)構(gòu),紛紛為此下“定義”,但至今爭(zhēng)執(zhí)不下,足見此概念的熱度。
我們暫且這樣陳述,下一代防火墻并不是簡(jiǎn)單的功能堆砌和性能疊加,下一代防火墻以全局的視角,從解決用戶網(wǎng)絡(luò)面臨的實(shí)際問題出發(fā)來定義才更為妥當(dāng)。下一代防火墻并不是憑空而出的產(chǎn)品,也不會(huì)是防火墻的終極形態(tài)。下一代防火墻需要安全廠商不斷的關(guān)注IT環(huán)境和客戶需求的變化、持續(xù)專注的技術(shù)積累及創(chuàng)新,而厚積薄發(fā)的產(chǎn)品成果。
業(yè)界的主流觀點(diǎn)認(rèn)為,下一代防火墻應(yīng)該實(shí)實(shí)在在實(shí)現(xiàn)以下六大功能:
基于用戶防護(hù)
傳統(tǒng)防火墻策略都是依賴IP或MAC地址來區(qū)分?jǐn)?shù)據(jù)流,不利于管理也很難完成對(duì)網(wǎng)絡(luò)狀況的清晰掌握和精確控制。下一代防火墻則具備用戶身份管理系統(tǒng),實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能,充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。此外還集成了安全準(zhǔn)入控制功能,支持多種認(rèn)證協(xié)議與認(rèn)證方式,實(shí)現(xiàn)了基于用戶的安全防護(hù)策略部署與可視化管控。
面向應(yīng)用安全
在應(yīng)用安全方面,下一代防火墻應(yīng)該包括“智能流檢測(cè)”和“虛擬化遠(yuǎn)程接入”兩點(diǎn)。一方面可以做到對(duì)各種應(yīng)用的深層次的識(shí)別;另外在解決數(shù)據(jù)安全性問題方面,通過將虛擬化技術(shù)與遠(yuǎn)程接入技術(shù)相結(jié)合,為遠(yuǎn)程接入終端提供虛擬應(yīng)用發(fā)布與虛擬桌面功能,使其本地?zé)o需執(zhí)行任何應(yīng)用系統(tǒng)客戶端程序的情況下完成與內(nèi)網(wǎng)服務(wù)器端的數(shù)據(jù)交互,就可以實(shí)現(xiàn)了終端到業(yè)務(wù)系統(tǒng)的“無痕訪問”,進(jìn)而達(dá)到終端與業(yè)務(wù)分離的目的。
高效轉(zhuǎn)發(fā)平臺(tái)
為了突破傳統(tǒng)網(wǎng)關(guān)設(shè)備的性能瓶頸,下一代防火墻可以通過整機(jī)的并行多級(jí)硬件架構(gòu)設(shè)計(jì),將NSE(網(wǎng)絡(luò)服務(wù)引擎)與SE(安全引擎)獨(dú)立部署。網(wǎng)絡(luò)服務(wù)引擎完成底層路由/交換轉(zhuǎn)發(fā),并對(duì)整機(jī)各模塊進(jìn)行管理與狀態(tài)監(jiān)控;而安全引擎負(fù)責(zé)將數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層安全處理與應(yīng)用層安全處理。通過部署多安全引擎與多網(wǎng)絡(luò)服務(wù)引擎的方式來實(shí)現(xiàn)整機(jī)流量的分布式并行處理與故障切換功能。
多層級(jí)冗余架構(gòu)
下一代防火墻設(shè)備自身要有一套完善的業(yè)務(wù)連續(xù)性保障方案。針對(duì)這一需求,必須采用多層級(jí)冗余化設(shè)計(jì)。在設(shè)計(jì)中,通過板卡冗余、模塊冗余以及鏈路冗余來構(gòu)建底層物理級(jí)冗余;使用雙操作系統(tǒng)來提供系統(tǒng)級(jí)冗余;而采用多機(jī)冗余及負(fù)載均衡進(jìn)行設(shè)備部署實(shí)現(xiàn)了方案級(jí)冗余。由物理級(jí)、系統(tǒng)級(jí)與方案級(jí)共同構(gòu)成了多層級(jí)的冗余化架構(gòu)體系。
全方位可視化
下一代防火墻還要注意“眼球經(jīng)濟(jì)”,必須提供豐富的展示方式,從應(yīng)用和用戶視角多層面的將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來,包括對(duì)歷史的精確還原和對(duì)各種數(shù)據(jù)的智能統(tǒng)計(jì)分析,使管理者清晰的認(rèn)知網(wǎng)絡(luò)運(yùn)行狀態(tài)。實(shí)施可視化所要達(dá)到的效果是,對(duì)于管理范圍內(nèi)任意一臺(tái)主機(jī)的網(wǎng)絡(luò)應(yīng)用情況及安全事件信息可以進(jìn)行準(zhǔn)確的定位與實(shí)時(shí)跟蹤;對(duì)于全網(wǎng)產(chǎn)生的海量安全事件信息,通過深入的數(shù)據(jù)挖掘能夠形成安全趨勢(shì)分析,以及各類圖形化的統(tǒng)計(jì)分析報(bào)告。
安全技術(shù)融合
動(dòng)態(tài)云防護(hù)和全網(wǎng)威脅聯(lián)防是技術(shù)融合的典范。下一代防火墻的整套安全防御體系都應(yīng)該是基于動(dòng)態(tài)云防護(hù)設(shè)計(jì)的。一方面可以通過“云”來收集安全威脅信息并快速尋找解決方案,及時(shí)更新攻擊防護(hù)規(guī)則庫(kù)并以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶設(shè)備中,保證用戶的安全防護(hù)策略得到及時(shí)、準(zhǔn)確的動(dòng)態(tài)更新;另一方面,通過 “云”,使得策略管理體系的安全策略漂移機(jī)制能夠?qū)崿F(xiàn)物理網(wǎng)絡(luò)基于“人”、虛擬計(jì)算環(huán)境基于“VM”(虛擬機(jī))的安全策略動(dòng)態(tài)部署。#p#
Web應(yīng)用防護(hù)系統(tǒng)WAF
當(dāng)前網(wǎng)絡(luò)環(huán)境中,應(yīng)用已成為網(wǎng)絡(luò)的主要載體,而網(wǎng)絡(luò)安全的威脅更多的來源于應(yīng)用層,這也使得用戶對(duì)于網(wǎng)絡(luò)訪問控制提出更高的要求。如何精確的識(shí)別出用戶和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問題,已成為現(xiàn)階段用戶對(duì)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。
Web應(yīng)用防護(hù)系統(tǒng)(也稱:網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文:Web Application Firewall,簡(jiǎn)稱:WAF)應(yīng)運(yùn)而生。利用國(guó)際上公認(rèn)的一種說法,Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。
WAF還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備;從防火墻角度來看,WAF是一種防火墻的功能模塊。還有人把WAF看作“深度檢測(cè)防火墻”的增強(qiáng)。(深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次,而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。)
Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè),拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且,它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過,從而減少攻擊的影響范圍。甚至,一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。
修補(bǔ)Web安全漏洞,是Web應(yīng)用開發(fā)者最頭痛的問題,沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn),會(huì)為Web應(yīng)用帶來什么樣的危害。現(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。
基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則,WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù),并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型,并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。
WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件(比如登陸失敗),并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。
WAF還有一些安全增強(qiáng)的功能,可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如:隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。增強(qiáng)輸入驗(yàn)證,可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為,從而減小Web服務(wù)器被攻擊的可能性。#p#
云安全服務(wù)——分享和共享
云安全服務(wù)的出現(xiàn),徹底顛覆了傳統(tǒng)安全產(chǎn)業(yè)基于軟硬件提供安全服務(wù)的模式,降低了企業(yè)部署安全產(chǎn)品的成本,使更多的企業(yè)可以享受到安全服務(wù)。然而,云安全服務(wù)目前仍主要面向于中小企業(yè),對(duì)于大型企業(yè)來說考慮使用云安全服務(wù)的還是很少。而云安全服務(wù)還有一個(gè)問題是關(guān)于隱私的問題,這也是很多企業(yè)在選擇云安全服務(wù)時(shí)最大的顧慮。
“云安全(Cloud Security)”計(jì)劃是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn),它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念,通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,傳送到Server端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬,在這樣的情況下,采用的特征庫(kù)判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后,識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫(kù),而是依靠龐大的網(wǎng)絡(luò)服務(wù),實(shí)時(shí)進(jìn)行采集、分析以及處理。
由安全服務(wù)器、數(shù)千萬(wàn)安全用戶就可以組成虛擬的網(wǎng)絡(luò),簡(jiǎn)稱為“云”。病毒針對(duì)“云”的攻擊,都會(huì)被服務(wù)器截獲、記錄并反擊。被病毒感染的節(jié)點(diǎn)可以在最短時(shí)間內(nèi),獲取服務(wù)器的解決措施,查殺病毒恢復(fù)正常。這樣的“云”,理論上的安全程度是可以無限改善的。
“云”最強(qiáng)大的地方,就是拋開了單純的“客戶端”防護(hù)的概念。傳統(tǒng)客戶端被感染,殺毒完畢之后就完了,沒有進(jìn)一步的信息跟蹤和分享。而“云”的所有節(jié)點(diǎn),是與服務(wù)器共享信息的。你中毒了,服務(wù)器就會(huì)記錄,在幫助你處理的同時(shí),也把信息分享給其它用戶,他們就不會(huì)被重復(fù)感染。
于是這個(gè)“云”籠罩下的用戶越多,“云”記錄和分享的安全信息也就越多,整體的用戶也就越強(qiáng)大。這才是網(wǎng)絡(luò)的真諦,也是所謂“云安全”的精華之所在。要想建立“云安全”系統(tǒng),并使之正常運(yùn)行,需要海量的客戶端(云安全探針)。只有擁有海量的客戶端,才能對(duì)互聯(lián)網(wǎng)上出現(xiàn)的病毒、木馬、掛馬網(wǎng)站有最靈敏的感知能力。
有了海量的客戶端的支持,還需要專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn),同時(shí)還要加上大量的資金和技術(shù)投入,而且這個(gè)云系統(tǒng)必須是開放的系統(tǒng),可以同其他大量的相關(guān)合作伙伴共享探針。這樣的開放性系統(tǒng),其“探針”與所有軟件完全兼容,即使用戶使用其他網(wǎng)絡(luò)安全產(chǎn)品,也可以共享這些“探針”,才能給整個(gè)網(wǎng)絡(luò)帶來最大的安全。#p#
數(shù)據(jù)泄密(泄露)防護(hù)(Data leakage prevention, DLP)
數(shù)據(jù)泄密(泄露)防護(hù)(Data leakage prevention, DLP),又稱為“數(shù)據(jù)丟失防護(hù)”(Data Loss prevention, DLP),有時(shí)也稱為“信息泄漏防護(hù)”(Information leakage prevention, ILP)。數(shù)據(jù)泄密防護(hù)(DLP)是通過一定的技術(shù)手段,防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。
隨著信息技術(shù)的飛速發(fā)展,計(jì)算機(jī)和網(wǎng)絡(luò)已成為日常辦公、通訊交流和協(xié)作互動(dòng)的必備工具和途徑。但是,信息系統(tǒng)在提高人們工作效率的同時(shí),也對(duì)信息的存儲(chǔ)、訪問控制及信息系統(tǒng)中的計(jì)算機(jī)終端及服務(wù)器的訪問控制提出了安全需求。
目前對(duì)內(nèi)外安全的解決方案,還停留在防火墻、入侵檢測(cè)、網(wǎng)絡(luò)防病毒等被動(dòng)防護(hù)手段上。在過去的一年中,全球98.2%的計(jì)算機(jī)用戶使用殺毒軟件,90.7%設(shè)有防火墻,75.1%使用反間諜程序軟件,但卻有83.7%的用戶遭遇過至少一次病毒、蠕蟲或者木馬的攻擊,79.5%遭遇過至少一次間諜程序攻擊事件。
據(jù)國(guó)家計(jì)算機(jī)信息安全測(cè)評(píng)中心數(shù)據(jù)顯示,由于內(nèi)部重要機(jī)密數(shù)據(jù)通過網(wǎng)絡(luò)泄露而造成經(jīng)濟(jì)損失的單位中,重要資料被黑客竊取和被內(nèi)部員工泄露的比例為1:99。也就是說重要資料的泄露只有1%是被黑客竊取造成的,而99%都是由于內(nèi)部員工有意或者無意之間泄露而造成的。
DLP數(shù)據(jù)泄漏防護(hù)系統(tǒng)的原理,是通過身份認(rèn)證和加密控制以及使用日志的統(tǒng)計(jì)對(duì)內(nèi)部文件經(jīng)行控制。數(shù)據(jù)泄漏防護(hù)技術(shù)(DLP)日漸成為目前市場(chǎng)上最為重要的安全技術(shù)之一。企業(yè)青睞數(shù)據(jù)泄漏防護(hù)技術(shù),來保護(hù)所有權(quán)數(shù)據(jù)和滿足法規(guī)遵從。
根據(jù)所部署的位置的不同,數(shù)據(jù)泄漏防御方案可以分成基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案(NDLP)和基于主機(jī)的數(shù)據(jù)泄漏防御方案(HDLP)。大部分?jǐn)?shù)據(jù)泄漏防御方案是基于網(wǎng)絡(luò)類型,少部分是基于主機(jī)類型。
基于網(wǎng)絡(luò)的數(shù)據(jù)泄漏防御方案通常部署內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的出口處,所針對(duì)的對(duì)象是進(jìn)出單位內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)。基于主機(jī)的數(shù)據(jù)泄漏防御方案則部署在存放敏感數(shù)據(jù)的主機(jī)上,當(dāng)其發(fā)現(xiàn)被保護(hù)主機(jī)上的數(shù)據(jù)被違規(guī)轉(zhuǎn)移出主機(jī)時(shí),HDLP會(huì)采取攔截或警報(bào)等行為。
DLP是一套完整的體系,也是多種系統(tǒng)的集成,用以解決不同類型的用戶的不同需求。國(guó)外DLP方案多數(shù)是基于網(wǎng)絡(luò)的,這主要是因?yàn)閲?guó)外用戶的網(wǎng)絡(luò)環(huán)境和信息化水平與國(guó)內(nèi)大不相同。這種基于網(wǎng)絡(luò)的DLP比較符合國(guó)外用戶的需求。而中國(guó)國(guó)內(nèi)的信息化現(xiàn)狀來看,比較適合采用基于主機(jī)的DLP解決方案。#p#
高持續(xù)性威脅(APT)
高持續(xù)性威脅(APT)是以商業(yè)和政治為目的的一個(gè)網(wǎng)絡(luò)犯罪類別。APT需要長(zhǎng)期經(jīng)營(yíng)與策劃,并具備高度的隱蔽性,才可能取得成功。這種攻擊方式往往不會(huì)追求短期的經(jīng)濟(jì)收益和單純的系統(tǒng)破壞,而是專注于步步為營(yíng)的系統(tǒng)入侵,每一步都要達(dá)到一個(gè)目標(biāo),而不會(huì)做其他多余的事來打草驚蛇。
APT旨在突破企業(yè)防御系統(tǒng)的高明攻擊,今年,出現(xiàn)了許多針對(duì)公司和政府的高級(jí)攻擊(例如Gauss和Flame)。這些攻擊被稱為高級(jí)持續(xù)性威脅(APT)。他們高度復(fù)雜并經(jīng)過仔細(xì)構(gòu)建。APT攻擊背后的意圖是獲得網(wǎng)絡(luò)訪問權(quán)限并偷偷地竊取信息。高級(jí)持續(xù)性威脅(APT)采取low-and-slow的方式,常常難以被發(fā)現(xiàn),成功率很高。
APT入侵客戶的途徑多種多樣,主要包括以下幾個(gè)方面。其一是以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。另外,社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一。
隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn),這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客剛一開始,就是針對(duì)某些特定員工發(fā)送釣魚郵件,以此作為使用APT手法進(jìn)行攻擊的源頭。
總之,高級(jí)持續(xù)性威脅(APT)正在通過一切方式,繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等),并更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測(cè)。“潛伏性和持續(xù)性”是APT攻擊最大的威脅。
高級(jí)持續(xù)性威脅(APT)的潛伏性,主要表現(xiàn)在這些新型的攻擊和威脅可能在用戶環(huán)境中存在一年以上或更久,他們不斷收集各種信息,直到收集到重要情報(bào)。而這些發(fā)動(dòng)APT攻擊的黑客目的往往不是為了在短時(shí)間內(nèi)獲利,而是把“被控主機(jī)”當(dāng)成跳板,持續(xù)搜索,直到能徹底掌握所針對(duì)的目標(biāo)人、事、物,所以這種APT攻擊模式, 實(shí)質(zhì)上是一種“惡意商業(yè)間諜威脅”。
APT的持續(xù)性則表現(xiàn)在,該類攻擊具有持續(xù)性甚至長(zhǎng)達(dá)數(shù)年的特征,這讓企業(yè)的管理人員無從察覺。在此期間,這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段,以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏。
高級(jí)持續(xù)性威脅(APT)基本上都會(huì)鎖定明確目標(biāo),針對(duì)特定政府或企業(yè),長(zhǎng)期進(jìn)行有計(jì)劃性、組織性的竊取情報(bào)行為,針對(duì)被鎖定對(duì)象寄送幾可亂真的社交工程惡意郵件,如冒充客戶的來信,取得在計(jì)算機(jī)植入惡意軟件的第一個(gè)機(jī)會(huì)。
在成功侵入目標(biāo)系統(tǒng)以后,高級(jí)持續(xù)性威脅(APT)一般都會(huì)安裝遠(yuǎn)程控制工具。攻擊者建立一個(gè)類似僵尸網(wǎng)絡(luò)Botnet的遠(yuǎn)程控制架構(gòu),攻擊者會(huì)定期傳送有潛在價(jià)值文件的副本給命令和控制服務(wù)器(C&C Server)審查。將過濾后的敏感機(jī)密數(shù)據(jù),利用加密的方式外傳。
雖然APT的惡意軟件可以一直潛伏在主機(jī)里面,然而其遠(yuǎn)程控制等相關(guān)網(wǎng)絡(luò)活動(dòng)則相對(duì)容易被發(fā)現(xiàn)。所以,APT攻擊的有效防范就是在網(wǎng)絡(luò)層進(jìn)行控制和中斷。也有不少人認(rèn)為,數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異常現(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡(luò)成為APT目標(biāo)的最好方式。
編輯點(diǎn)評(píng):
2012年是不平凡的一年,尤其對(duì)IT行業(yè)來說。智能手機(jī)普及、平板設(shè)備大量涌現(xiàn)、Win8發(fā)布等等,都給我們明確的啟示——移動(dòng)時(shí)代來了!終端的多樣化是這個(gè)時(shí)代的特征,企業(yè)、個(gè)人信息大量暴露在互聯(lián)網(wǎng)上是這個(gè)時(shí)代的巨大的隱患。如何有力的解決這個(gè)問題,不但要依靠強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品,還要我們的用戶有足夠的安全意識(shí)和知識(shí),在一定程度上更要依靠強(qiáng)力的法律作為保障,比如我們最新的個(gè)人信息保護(hù)法。
