網絡安全架構解決方案
1、 APT攻擊的特點和途徑
與傳統的網絡威脅對(duì)比,APT攻擊具有持續、終端性、信息收集性、針對(duì)性、未知性、隐蔽合法性、滲透性、長(cháng)期潛伏與控制性等的特點。APT攻擊的以上特性決定了其可能(néng)采取一切可能(néng)的途徑進(jìn)入到企業内部。容易被(bèi)APT所利用的因素包括:手機、平闆電腦和USB外設等可以接入到企業内部的網絡設備;可供外部訪問的網頁和應用程序;與外界相通的企業内部的郵件系統等。同時(shí)APT會(huì)不斷的試探防火牆和服務器等的系統漏洞,尋找突破口。
因此我們可以通過(guò)一些管理或者技術上的措施,來減輕這(zhè)些外部風險敞口的影響。但是更重要得是。企業必須建立有效得安全防護體系,才能(néng)有效得阻斷APT得進(jìn)攻。
2、 傳統得三層企業網絡安全架構及其弱點
傳統得企業網絡架構往往采用“網關+服務器+PC終端”通過(guò)不同的區域劃分不同的vlan的三層得安全防護模式。這(zhè)種(zhǒng)模式下,安全防護模式分散再各個節點,如下圖所示:
與傳統的網絡威脅對(duì)比,APT攻擊具有持續、終端性、信息收集性、針對(duì)性、未知性、隐蔽合法性、滲透性、長(cháng)期潛伏與控制性等的特點。APT攻擊的以上特性決定了其可能(néng)采取一切可能(néng)的途徑進(jìn)入到企業内部。容易被(bèi)APT所利用的因素包括:手機、平闆電腦和USB外設等可以接入到企業内部的網絡設備;可供外部訪問的網頁和應用程序;與外界相通的企業内部的郵件系統等。同時(shí)APT會(huì)不斷的試探防火牆和服務器等的系統漏洞,尋找突破口。
因此我們可以通過(guò)一些管理或者技術上的措施,來減輕這(zhè)些外部風險敞口的影響。但是更重要得是。企業必須建立有效得安全防護體系,才能(néng)有效得阻斷APT得進(jìn)攻。
2、 傳統得三層企業網絡安全架構及其弱點
傳統得企業網絡架構往往采用“網關+服務器+PC終端”通過(guò)不同的區域劃分不同的vlan的三層得安全防護模式。這(zhè)種(zhǒng)模式下,安全防護模式分散再各個節點,如下圖所示:
表面(miàn)上看來,這(zhè)種(zhǒng)三層得結構爲企業提供了安全得防護,無論是再網絡入口位置、企業的關鍵服務器還(hái)是個人辦公PC終端,都(dōu)有安全的保障,不同的區域不能(néng)直接互通。但再實際工作中,發(fā)現該方案還(hái)存在以下一些不足:
2.1、防護能(néng)力不足。這(zhè)種(zhǒng)架構下,對(duì)病毒的發(fā)現通常是基于特征庫匹配的方式,其有效性與病毒庫的更新速度及病毒庫的樣(yàng)本數準确性又很大的關系。基于病毒的防護實際是一種(zhǒng)被(bèi)動的防護,隻有當相應的病毒樣(yàng)本已經(jīng)被(bèi)發(fā)現,并且經(jīng)過(guò)放病毒公司的處理後(hòu)才又相應的病毒特征碼去匹配。根據現在大多數防病毒公司的能(néng)力來看,這(zhè)至少要15分鍾或者更長(cháng)的實際,如果該病毒具有較大的破壞能(néng)力,則15分鍾足已産生很大的破壞效應。
2.2、對(duì)APT等的攻擊模式無效。這(zhè)種(zhǒng)架構對(duì)一般的病毒或威脅還(hái)可以應對(duì),但是對(duì)一些高級持續性威脅APT和針對(duì)性的攻擊通常都(dōu)是無能(néng)爲力的。因爲每個企業收到的攻擊都(dōu)是不一樣(yàng)的,因此及時(shí)能(néng)夠很快的發(fā)布病毒樣(yàng)本,這(zhè)些病毒樣(yàng)本對(duì)其他企業根本沒(méi)有用處,隻會(huì)增加病毒庫的負擔。
2.3、缺乏整體性。企業安全就(jiù)像防洪堤,它應該是一個有機整體,任何一個部分的損壞都(dōu)會(huì)導緻企業的安全出現問題。而該三層網絡安全系統實際上還(hái)是3個系統,它們隻是分布在不通的網絡位置,并沒(méi)有形成(chéng)一個有機的整體,并且他們所監控到的信息并不能(néng)再整個系統中共享,還(hái)是各自爲政。例如,我們工作中經(jīng)常碰到這(zhè)樣(yàng)的情況,一台PC終端遭遇到高級持續的(APT)攻擊或有針對(duì)性攻擊,可能(néng)因爲使用者對(duì)這(zhè)些内容不清楚或者不知道(dào),他無法判斷或根本不清楚他的計算機遭遇到了攻擊,而管理人員基本上要的等到大多數計算機遭遇到了攻擊才能(néng)得知并采取措施,可很多時(shí)候破壞已經(jīng)造成(chéng)了損失。
3、防範APT攻擊的分層集中式網絡安全架構
如上所述,爲了給企業提供一個有機統一的安全環境,更加有效的防範APT網絡攻擊,客戶在企業中部署如下圖所示的分層中式網絡安全架構
2.1、防護能(néng)力不足。這(zhè)種(zhǒng)架構下,對(duì)病毒的發(fā)現通常是基于特征庫匹配的方式,其有效性與病毒庫的更新速度及病毒庫的樣(yàng)本數準确性又很大的關系。基于病毒的防護實際是一種(zhǒng)被(bèi)動的防護,隻有當相應的病毒樣(yàng)本已經(jīng)被(bèi)發(fā)現,并且經(jīng)過(guò)放病毒公司的處理後(hòu)才又相應的病毒特征碼去匹配。根據現在大多數防病毒公司的能(néng)力來看,這(zhè)至少要15分鍾或者更長(cháng)的實際,如果該病毒具有較大的破壞能(néng)力,則15分鍾足已産生很大的破壞效應。
2.2、對(duì)APT等的攻擊模式無效。這(zhè)種(zhǒng)架構對(duì)一般的病毒或威脅還(hái)可以應對(duì),但是對(duì)一些高級持續性威脅APT和針對(duì)性的攻擊通常都(dōu)是無能(néng)爲力的。因爲每個企業收到的攻擊都(dōu)是不一樣(yàng)的,因此及時(shí)能(néng)夠很快的發(fā)布病毒樣(yàng)本,這(zhè)些病毒樣(yàng)本對(duì)其他企業根本沒(méi)有用處,隻會(huì)增加病毒庫的負擔。
2.3、缺乏整體性。企業安全就(jiù)像防洪堤,它應該是一個有機整體,任何一個部分的損壞都(dōu)會(huì)導緻企業的安全出現問題。而該三層網絡安全系統實際上還(hái)是3個系統,它們隻是分布在不通的網絡位置,并沒(méi)有形成(chéng)一個有機的整體,并且他們所監控到的信息并不能(néng)再整個系統中共享,還(hái)是各自爲政。例如,我們工作中經(jīng)常碰到這(zhè)樣(yàng)的情況,一台PC終端遭遇到高級持續的(APT)攻擊或有針對(duì)性攻擊,可能(néng)因爲使用者對(duì)這(zhè)些内容不清楚或者不知道(dào),他無法判斷或根本不清楚他的計算機遭遇到了攻擊,而管理人員基本上要的等到大多數計算機遭遇到了攻擊才能(néng)得知并采取措施,可很多時(shí)候破壞已經(jīng)造成(chéng)了損失。
3、防範APT攻擊的分層集中式網絡安全架構
如上所述,爲了給企業提供一個有機統一的安全環境,更加有效的防範APT網絡攻擊,客戶在企業中部署如下圖所示的分層中式網絡安全架構
3.2、基于沙箱的虛拟分析技術。原有在三層安全防護模式對(duì)某些附件或可執行文件系統可能(néng)造成(chéng)的影響沒(méi)有一個準确的分析,傳統的方法通常是把這(zhè)些文件隔離起(qǐ)來或者直接放過(guò)。如果該文件是一個正常的文件,隔離後(hòu),用戶需要額外的操作才能(néng)得到該文件;如果該文件是一個惡意文件,放過(guò)的話,也會(huì)對(duì)用戶的系統造成(chéng)影響。因此,無論隔離還(hái)是放過(guò),都(dōu)會(huì)對(duì)用戶造成(chéng)困擾。并且,用戶通常不具備足夠的知識來判斷文件是否是惡意的。那麼(me)引入這(zhè)個基于沙箱虛拟分析技術,將(jiāng)會(huì)大大幫助用戶解決這(zhè)個問題。可以降文件放在沙箱中執行,看看它對(duì)系統的所有更改是否有害,無害則發(fā)過(guò),如過(guò)有害則可以攔截該文件。沙箱是一個相對(duì)封閉的環境,并且采用的是虛拟化的技術,對(duì)整個網絡安全環境沒(méi)有影響。
3.3、一份統一的威脅名單。根據威脅檢測技術和虛拟化分析技術的結果,可以産生一個可疑的威脅名單,及時(shí)的反饋給部署的不同網絡位置的安全防護模塊,由這(zhè)些網絡安全系統來決定如何進(jìn)行防護。
3.4、生成(chéng)本地病毒庫以防範高級持續性威脅(APT)和針對(duì)性攻擊。如前文所述,APT和針對(duì)性攻擊是傳統的全局病毒庫無能(néng)爲力的,因爲這(zhè)些攻擊在其他地方根本沒(méi)有發(fā)生過(guò),無法得到相應的病毒樣(yàng)本。該子系統根據威脅分析和虛拟分析的結果提供一個在本地生成(chéng)病毒庫樣(yàng)本的功能(néng),從而不讓安全威脅的網絡中進(jìn)一步擴散。
3.5、清晰統一的報表系統。該集中分析管控系統會(huì)根據不同的目的,提供不同的報表供IT安全管理人員查看。例如,攔截病毒數量、本地病毒庫更新狀态、已發(fā)現的潛在威脅、病毒來源等。它是一個統一的報表系統,省去了以前IT安全管理人員需要的每一個系統上查看報表,然後(hòu)進(jìn)行人工整合的工作,大大減少了日常的管理開(kāi)銷。
4、綜上所述,這(zhè)種(zhǒng)分層集中式的網絡安全架構已經(jīng)在一些企業級安全防護産品中體現,并已經(jīng)應用到了政府、銀行、中大型企業等容易受APT攻擊威脅的組織和部門。通過(guò)采用文中所介紹的安全防護架構,能(néng)夠降低APT攻擊的有效性,從而增加企事(shì)業單位信息安全防護能(néng)力,減少信息暴露和被(bèi)竊取的風險。
3.3、一份統一的威脅名單。根據威脅檢測技術和虛拟化分析技術的結果,可以産生一個可疑的威脅名單,及時(shí)的反饋給部署的不同網絡位置的安全防護模塊,由這(zhè)些網絡安全系統來決定如何進(jìn)行防護。
3.4、生成(chéng)本地病毒庫以防範高級持續性威脅(APT)和針對(duì)性攻擊。如前文所述,APT和針對(duì)性攻擊是傳統的全局病毒庫無能(néng)爲力的,因爲這(zhè)些攻擊在其他地方根本沒(méi)有發(fā)生過(guò),無法得到相應的病毒樣(yàng)本。該子系統根據威脅分析和虛拟分析的結果提供一個在本地生成(chéng)病毒庫樣(yàng)本的功能(néng),從而不讓安全威脅的網絡中進(jìn)一步擴散。
3.5、清晰統一的報表系統。該集中分析管控系統會(huì)根據不同的目的,提供不同的報表供IT安全管理人員查看。例如,攔截病毒數量、本地病毒庫更新狀态、已發(fā)現的潛在威脅、病毒來源等。它是一個統一的報表系統,省去了以前IT安全管理人員需要的每一個系統上查看報表,然後(hòu)進(jìn)行人工整合的工作,大大減少了日常的管理開(kāi)銷。
4、綜上所述,這(zhè)種(zhǒng)分層集中式的網絡安全架構已經(jīng)在一些企業級安全防護産品中體現,并已經(jīng)應用到了政府、銀行、中大型企業等容易受APT攻擊威脅的組織和部門。通過(guò)采用文中所介紹的安全防護架構,能(néng)夠降低APT攻擊的有效性,從而增加企事(shì)業單位信息安全防護能(néng)力,減少信息暴露和被(bèi)竊取的風險。
