伴隨著各種新型網(wǎng)絡(luò)攻擊的出現(xiàn)，企業(yè)信息安全形勢(shì)變得不容樂(lè)觀，特別是銀行、大型國(guó)企等機(jī)構(gòu)，正在成為受攻擊的主要對(duì)象。高級(jí)持續(xù)性威脅(APT，Advanced Persistent Threat)是眾多攻擊手段中破壞性極強(qiáng)的一種，特點(diǎn)在于其不可預(yù)見(jiàn)性，一切的破壞都是“突襲”，已成為各級(jí)各類網(wǎng)絡(luò)所面臨的主要安全威脅，使得各級(jí)單位機(jī)構(gòu)對(duì)于內(nèi)網(wǎng)安全的投入依舊是“杯水車薪”。也正因如此，企業(yè)級(jí)信息安全迎來(lái)了新挑戰(zhàn)。

[[159942]]

中睿天下iLab安全實(shí)驗(yàn)室負(fù)責(zé)人白應(yīng)東

傳統(tǒng)安全設(shè)備存短板

防火墻，一種典型的邊界設(shè)備，通過(guò)訪問(wèn)控制來(lái)阻斷外部威脅。但隨著Web服務(wù)的不斷發(fā)展，隱藏在HTTP等基礎(chǔ)協(xié)議之上的應(yīng)用層攻擊越來(lái)越多。而攻擊手法也相對(duì)隱蔽，其行為相當(dāng)于一次正常的Web訪問(wèn)，此時(shí)防火墻是無(wú)法識(shí)別和阻止的，同時(shí)也不能阻止來(lái)自內(nèi)部的攻擊。于是入侵檢測(cè)(IDS)、入侵防御(IPS)等安全設(shè)備應(yīng)運(yùn)而生，通過(guò)模式匹配、協(xié)議分析、異常流量統(tǒng)計(jì)等特征匹配方式進(jìn)行檢測(cè)攻擊，其特點(diǎn)是主要針對(duì)已知的攻擊類型。

但是特征的“偽裝”在今天也變得異常容易，只需修改一個(gè)“二進(jìn)制代碼”即可改變木馬的特征。因此依靠匹配模式進(jìn)行“掃蕩”顯得有些力不從心，我們必須轉(zhuǎn)變思路，采取新的形式。

為了在目前快速的攻防對(duì)抗中獲得優(yōu)勢(shì)，中睿天下以大數(shù)據(jù)為支撐，以溯源技術(shù)為核心，研發(fā)了睿眼系列攻擊溯源設(shè)備。通過(guò)深度把握網(wǎng)絡(luò)中攻擊源、攻擊工具、攻擊手法、被攻擊者等要素，來(lái)實(shí)現(xiàn)已知威脅檢測(cè)和未知威脅檢測(cè)。首創(chuàng)的攻擊模型檢測(cè)方式，與現(xiàn)有的高級(jí)攻擊(如APT)針尖對(duì)麥芒，即使君有疾在腠理，睿眼也可像“扁鵲”一樣實(shí)時(shí)將威脅檢出。即使部署睿眼之前資產(chǎn)服務(wù)器已被植入后門，一旦后門被利用，睿眼立即就可將其抓出。

中睿天下iLab安全實(shí)驗(yàn)室負(fù)責(zé)人白應(yīng)東表示：”睿眼的最大優(yōu)勢(shì)在于彌補(bǔ)了傳統(tǒng)IDS和IPS防御的不足。基于強(qiáng)大的攻擊溯源技術(shù)能夠有效解決傳統(tǒng)安全設(shè)備無(wú)法檢測(cè)的未知威脅。“

高調(diào)做事的iLAB實(shí)驗(yàn)室

面對(duì)復(fù)雜不可控的APT攻擊，中睿天下的iLAB實(shí)驗(yàn)室不同于其他安全研究機(jī)構(gòu)，立足服務(wù)用戶。研究的都是用戶最為關(guān)心的問(wèn)題，如攻擊者的背景、目的以及來(lái)源、攻擊過(guò)程等。白應(yīng)東表示：80%的APT攻擊開(kāi)始于web攻擊，睿眼能夠在APT攻擊發(fā)起之時(shí)及時(shí)發(fā)現(xiàn)并采取措施。不僅如此，iLAB實(shí)驗(yàn)室還與其他互聯(lián)網(wǎng)安全廠商建立了PB級(jí)的數(shù)據(jù)資源共享的合作，為提供攻擊溯源做了后援保障。

不僅如此，在威脅分析方面iLAB實(shí)驗(yàn)室也有專業(yè)的人才團(tuán)隊(duì)。在非人工干預(yù)的情況下,記錄網(wǎng)站訪問(wèn)者的“指紋”，包括攻擊行為、攻擊手法等能辨析攻擊者身份的數(shù)據(jù)。把這些數(shù)據(jù)與指紋庫(kù)的攻擊模型進(jìn)行匹配，確定是否是攻擊行為并加以評(píng)級(jí)。這不僅需要對(duì)各種攻擊行為非常熟悉，必要時(shí)還需要進(jìn)行人工分析。

iLAB實(shí)驗(yàn)室依靠睿眼WEB攻擊威脅溯源系統(tǒng)，再加上專家團(tuán)隊(duì)、大數(shù)據(jù)溯源中心的支撐，實(shí)現(xiàn)了威脅分析、攻擊溯源、策略改進(jìn)三方面的持續(xù)閉環(huán)防護(hù)，能夠在傳統(tǒng)安全設(shè)備的防護(hù)基礎(chǔ)上，明顯改進(jìn)Web防護(hù)的效果。

睿眼WEB攻擊威脅溯源系統(tǒng)的工作原理是對(duì)鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識(shí)別其中是否包含攻擊行為。檢測(cè)到可疑攻擊行為時(shí)，在全流量存儲(chǔ)的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問(wèn)、下載的文件、及時(shí)通信信息進(jìn)行還原，協(xié)助確認(rèn)攻擊的完整過(guò)程。這種方案具備強(qiáng)大的事后溯源能力和實(shí)時(shí)檢測(cè)能力，是將安全人員的分析能力、計(jì)算機(jī)強(qiáng)大的存儲(chǔ)能力和運(yùn)算能力相結(jié)合的完整解決方案。

請(qǐng)讓睿眼為安全買單

在近期出臺(tái)的《CTO企業(yè)信息安全調(diào)查報(bào)告》中顯示，超4成企業(yè)在過(guò)去三年內(nèi)曾發(fā)生過(guò)不同級(jí)別的信息安全事故，僅有15%的企業(yè)認(rèn)為自己的安全措施完全可以防范風(fēng)險(xiǎn)。企業(yè)信息安全得不到保障，嚴(yán)重者會(huì)影響企業(yè)自身發(fā)展，同時(shí)泄露企業(yè)敏感信息也會(huì)給企業(yè)帶來(lái)不可估量的負(fù)面社會(huì)影響和損失。

不僅如此，企業(yè)信譽(yù)也與信息安全息息相關(guān)，據(jù)統(tǒng)計(jì)，世界上每分鐘就有2個(gè)企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉。對(duì)于企業(yè)而言，如何保護(hù)關(guān)鍵的數(shù)據(jù)保密性、完整性，關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性，關(guān)系到企業(yè)的興衰。企業(yè)安全問(wèn)題已經(jīng)不再簡(jiǎn)單，而是動(dòng)態(tài)、持續(xù)、隱蔽、高滲透的攻擊行為。要想有效的防范信息安全威脅，就必須確保信息安全防護(hù)手段也隨之“進(jìn)化”，并采用下一代威脅防御技術(shù)。

白應(yīng)東再次提醒用戶，傳統(tǒng)的安全防御理念，都是以控制為核心，通過(guò)各種網(wǎng)絡(luò)安全設(shè)備對(duì)信息資源進(jìn)行保護(hù)，但從網(wǎng)絡(luò)攻擊行為的發(fā)展趨勢(shì)來(lái)看，“潛伏性”和“持續(xù)性”是最顯著的特征，這讓攻擊行為的阻斷越來(lái)越困難。睿眼WEB攻擊威脅溯源系統(tǒng)的設(shè)計(jì)理念跳出了被動(dòng)防守的傳統(tǒng)做法，通過(guò)對(duì)數(shù)據(jù)流量的實(shí)時(shí)分析，真正做到安全防護(hù)的“智能感知”和“可視化”，并給了出準(zhǔn)確有效的防護(hù)建議。