網絡安全架構解決方案
1、 APT攻擊的(de)特點和(hé)途徑
與傳統的(de)網絡威脅對比,APT攻擊具有(yǒu)持續、終端性、信息收集性、針對性、未知性、隐蔽合法性、滲透性、長(cháng)期潛伏與控制性等的(de)特點。APT攻擊的(de)以上特性決定了其可(kě)能采取一(yī)切可(kě)能的(de)途徑進入到企業內(nèi)部。容易被APT所利用的(de)因素包括:手機(jī)、平闆電腦和(hé)USB外設等可(kě)以接入到企業內(nèi)部的(de)網絡設備;可(kě)供外部訪問的(de)網頁和(hé)應用程序;與外界相通的(de)企業內(nèi)部的(de)郵件系統等。同時APT會不斷的(de)試探防火牆和(hé)服務器等的(de)系統漏洞,尋找突破口。
因此我們可(kě)以通過一(yī)些管理(lǐ)或者技術上的(de)措施,來減輕這些外部風險敞口的(de)影響。但是更重要得是。企業必須建立有(yǒu)效得安全防護體系,才能有(yǒu)效得阻斷APT得進攻。
2、 傳統得三層企業網絡安全架構及其弱點
傳統得企業網絡架構往往采用“網關+服務器+PC終端”通過不同的(de)區域劃分不同的(de)vlan的(de)三層得安全防護模式。這種模式下,安全防護模式分散再各個節點,如(rú)下圖所示:
與傳統的(de)網絡威脅對比,APT攻擊具有(yǒu)持續、終端性、信息收集性、針對性、未知性、隐蔽合法性、滲透性、長(cháng)期潛伏與控制性等的(de)特點。APT攻擊的(de)以上特性決定了其可(kě)能采取一(yī)切可(kě)能的(de)途徑進入到企業內(nèi)部。容易被APT所利用的(de)因素包括:手機(jī)、平闆電腦和(hé)USB外設等可(kě)以接入到企業內(nèi)部的(de)網絡設備;可(kě)供外部訪問的(de)網頁和(hé)應用程序;與外界相通的(de)企業內(nèi)部的(de)郵件系統等。同時APT會不斷的(de)試探防火牆和(hé)服務器等的(de)系統漏洞,尋找突破口。
因此我們可(kě)以通過一(yī)些管理(lǐ)或者技術上的(de)措施,來減輕這些外部風險敞口的(de)影響。但是更重要得是。企業必須建立有(yǒu)效得安全防護體系,才能有(yǒu)效得阻斷APT得進攻。
2、 傳統得三層企業網絡安全架構及其弱點
傳統得企業網絡架構往往采用“網關+服務器+PC終端”通過不同的(de)區域劃分不同的(de)vlan的(de)三層得安全防護模式。這種模式下,安全防護模式分散再各個節點,如(rú)下圖所示:
表面上看來,這種三層得結構為(wèi)企業提供了安全得防護,無論是再網絡入口位置、企業的(de)關鍵服務器還是個人辦公PC終端,都有(yǒu)安全的(de)保障,不同的(de)區域不能直接互通。但再實際工作中,發現該方案還存在以下一(yī)些不足:
2.1、防護能力不足。這種架構下,對病毒的(de)發現通常是基于特征庫匹配的(de)方式,其有(yǒu)效性與病毒庫的(de)更新速度及病毒庫的(de)樣本數準确性又很大的(de)關系。基于病毒的(de)防護實際是一(yī)種被動的(de)防護,隻有(yǒu)當相應的(de)病毒樣本已經被發現,并且經過放病毒公司的(de)處理(lǐ)後才又相應的(de)病毒特征碼去(qù)匹配。根據現在大多數防病毒公司的(de)能力來看,這至少要15分鍾或者更長(cháng)的(de)實際,如(rú)果該病毒具有(yǒu)較大的(de)破壞能力,則15分鍾足已産生很大的(de)破壞效應。
2.2、對APT等的(de)攻擊模式無效。這種架構對一(yī)般的(de)病毒或威脅還可(kě)以應對,但是對一(yī)些高(gāo)級持續性威脅APT和(hé)針對性的(de)攻擊通常都是無能為(wèi)力的(de)。因為(wèi)每個企業收到的(de)攻擊都是不一(yī)樣的(de),因此及時能夠很快的(de)發布病毒樣本,這些病毒樣本對其他企業根本沒有(yǒu)用處,隻會增加病毒庫的(de)負擔。
2.3、缺乏整體性。企業安全就像防洪堤,它應該是一(yī)個有(yǒu)機(jī)整體,任何一(yī)個部分的(de)損壞都會導緻企業的(de)安全出現問題。而該三層網絡安全系統實際上還是3個系統,它們隻是分布在不通的(de)網絡位置,并沒有(yǒu)形成一(yī)個有(yǒu)機(jī)的(de)整體,并且他們所監控到的(de)信息并不能再整個系統中共享,還是各自(zì)為(wèi)政。例如(rú),我們工作中經常碰到這樣的(de)情況,一(yī)台PC終端遭遇到高(gāo)級持續的(de)(APT)攻擊或有(yǒu)針對性攻擊,可(kě)能因為(wèi)使用者對這些內(nèi)容不清楚或者不知道(dào),他無法判斷或根本不清楚他的(de)計算機(jī)遭遇到了攻擊,而管理(lǐ)人員基本上要的(de)等到大多數計算機(jī)遭遇到了攻擊才能得知并采取措施,可(kě)很多時候破壞已經造成了損失。
3、防範APT攻擊的(de)分層集中式網絡安全架構
如(rú)上所述,為(wèi)了給企業提供一(yī)個有(yǒu)機(jī)統一(yī)的(de)安全環境,更加有(yǒu)效的(de)防範APT網絡攻擊,客戶在企業中部署如(rú)下圖所示的(de)分層中式網絡安全架構
2.1、防護能力不足。這種架構下,對病毒的(de)發現通常是基于特征庫匹配的(de)方式,其有(yǒu)效性與病毒庫的(de)更新速度及病毒庫的(de)樣本數準确性又很大的(de)關系。基于病毒的(de)防護實際是一(yī)種被動的(de)防護,隻有(yǒu)當相應的(de)病毒樣本已經被發現,并且經過放病毒公司的(de)處理(lǐ)後才又相應的(de)病毒特征碼去(qù)匹配。根據現在大多數防病毒公司的(de)能力來看,這至少要15分鍾或者更長(cháng)的(de)實際,如(rú)果該病毒具有(yǒu)較大的(de)破壞能力,則15分鍾足已産生很大的(de)破壞效應。
2.2、對APT等的(de)攻擊模式無效。這種架構對一(yī)般的(de)病毒或威脅還可(kě)以應對,但是對一(yī)些高(gāo)級持續性威脅APT和(hé)針對性的(de)攻擊通常都是無能為(wèi)力的(de)。因為(wèi)每個企業收到的(de)攻擊都是不一(yī)樣的(de),因此及時能夠很快的(de)發布病毒樣本,這些病毒樣本對其他企業根本沒有(yǒu)用處,隻會增加病毒庫的(de)負擔。
2.3、缺乏整體性。企業安全就像防洪堤,它應該是一(yī)個有(yǒu)機(jī)整體,任何一(yī)個部分的(de)損壞都會導緻企業的(de)安全出現問題。而該三層網絡安全系統實際上還是3個系統,它們隻是分布在不通的(de)網絡位置,并沒有(yǒu)形成一(yī)個有(yǒu)機(jī)的(de)整體,并且他們所監控到的(de)信息并不能再整個系統中共享,還是各自(zì)為(wèi)政。例如(rú),我們工作中經常碰到這樣的(de)情況,一(yī)台PC終端遭遇到高(gāo)級持續的(de)(APT)攻擊或有(yǒu)針對性攻擊,可(kě)能因為(wèi)使用者對這些內(nèi)容不清楚或者不知道(dào),他無法判斷或根本不清楚他的(de)計算機(jī)遭遇到了攻擊,而管理(lǐ)人員基本上要的(de)等到大多數計算機(jī)遭遇到了攻擊才能得知并采取措施,可(kě)很多時候破壞已經造成了損失。
3、防範APT攻擊的(de)分層集中式網絡安全架構
如(rú)上所述,為(wèi)了給企業提供一(yī)個有(yǒu)機(jī)統一(yī)的(de)安全環境,更加有(yǒu)效的(de)防範APT網絡攻擊,客戶在企業中部署如(rú)下圖所示的(de)分層中式網絡安全架構
3.2、基于沙箱的(de)虛拟分析技術。原有(yǒu)在三層安全防護模式對某些附件或可(kě)執行(xíng)文件系統可(kě)能造成的(de)影響沒有(yǒu)一(yī)個準确的(de)分析,傳統的(de)方法通常是把這些文件隔離(lí)起來或者直接放過。如(rú)果該文件是一(yī)個正常的(de)文件,隔離(lí)後,用戶需要額外的(de)操作才能得到該文件;如(rú)果該文件是一(yī)個惡意文件,放過的(de)話,也會對用戶的(de)系統造成影響。因此,無論隔離(lí)還是放過,都會對用戶造成困擾。并且,用戶通常不具備足夠的(de)知識來判斷文件是否是惡意的(de)。那麽引入這個基于沙箱虛拟分析技術,将會大大幫助用戶解決這個問題。可(kě)以降文件放在沙箱中執行(xíng),看看它對系統的(de)所有(yǒu)更改是否有(yǒu)害,無害則發過,如(rú)過有(yǒu)害則可(kě)以攔截該文件。沙箱是一(yī)個相對封閉的(de)環境,并且采用的(de)是虛拟化的(de)技術,對整個網絡安全環境沒有(yǒu)影響。
3.3、一(yī)份統一(yī)的(de)威脅名單。根據威脅檢測技術和(hé)虛拟化分析技術的(de)結果,可(kě)以産生一(yī)個可(kě)疑的(de)威脅名單,及時的(de)反饋給部署的(de)不同網絡位置的(de)安全防護模塊,由這些網絡安全系統來決定如(rú)何進行(xíng)防護。
3.4、生成本地(dì)病毒庫以防範高(gāo)級持續性威脅(APT)和(hé)針對性攻擊。如(rú)前文所述,APT和(hé)針對性攻擊是傳統的(de)全局病毒庫無能為(wèi)力的(de),因為(wèi)這些攻擊在其他地(dì)方根本沒有(yǒu)發生過,無法得到相應的(de)病毒樣本。該子(zǐ)系統根據威脅分析和(hé)虛拟分析的(de)結果提供一(yī)個在本地(dì)生成病毒庫樣本的(de)功能,從而不讓安全威脅的(de)網絡中進一(yī)步擴散。
3.5、清晰統一(yī)的(de)報表系統。該集中分析管控系統會根據不同的(de)目的(de),提供不同的(de)報表供IT安全管理(lǐ)人員查看。例如(rú),攔截病毒數量、本地(dì)病毒庫更新狀态、已發現的(de)潛在威脅、病毒來源等。它是一(yī)個統一(yī)的(de)報表系統,省去(qù)了以前IT安全管理(lǐ)人員需要的(de)每一(yī)個系統上查看報表,然後進行(xíng)人工整合的(de)工作,大大減少了日常的(de)管理(lǐ)開銷。
4、綜上所述,這種分層集中式的(de)網絡安全架構已經在一(yī)些企業級安全防護産品中體現,并已經應用到了政府、銀行(xíng)、中大型企業等容易受APT攻擊威脅的(de)組織和(hé)部門。通過采用文中所介紹的(de)安全防護架構,能夠降低(dī)APT攻擊的(de)有(yǒu)效性,從而增加企事業單位信息安全防護能力,減少信息暴露和(hé)被竊取的(de)風險。
3.3、一(yī)份統一(yī)的(de)威脅名單。根據威脅檢測技術和(hé)虛拟化分析技術的(de)結果,可(kě)以産生一(yī)個可(kě)疑的(de)威脅名單,及時的(de)反饋給部署的(de)不同網絡位置的(de)安全防護模塊,由這些網絡安全系統來決定如(rú)何進行(xíng)防護。
3.4、生成本地(dì)病毒庫以防範高(gāo)級持續性威脅(APT)和(hé)針對性攻擊。如(rú)前文所述,APT和(hé)針對性攻擊是傳統的(de)全局病毒庫無能為(wèi)力的(de),因為(wèi)這些攻擊在其他地(dì)方根本沒有(yǒu)發生過,無法得到相應的(de)病毒樣本。該子(zǐ)系統根據威脅分析和(hé)虛拟分析的(de)結果提供一(yī)個在本地(dì)生成病毒庫樣本的(de)功能,從而不讓安全威脅的(de)網絡中進一(yī)步擴散。
3.5、清晰統一(yī)的(de)報表系統。該集中分析管控系統會根據不同的(de)目的(de),提供不同的(de)報表供IT安全管理(lǐ)人員查看。例如(rú),攔截病毒數量、本地(dì)病毒庫更新狀态、已發現的(de)潛在威脅、病毒來源等。它是一(yī)個統一(yī)的(de)報表系統,省去(qù)了以前IT安全管理(lǐ)人員需要的(de)每一(yī)個系統上查看報表,然後進行(xíng)人工整合的(de)工作,大大減少了日常的(de)管理(lǐ)開銷。
4、綜上所述,這種分層集中式的(de)網絡安全架構已經在一(yī)些企業級安全防護産品中體現,并已經應用到了政府、銀行(xíng)、中大型企業等容易受APT攻擊威脅的(de)組織和(hé)部門。通過采用文中所介紹的(de)安全防護架構,能夠降低(dī)APT攻擊的(de)有(yǒu)效性,從而增加企事業單位信息安全防護能力,減少信息暴露和(hé)被竊取的(de)風險。
