今天读到了绿盟科技发布的2012年第7期技术内刊,其中赵粮博士的一篇《智能驱动的下一代安全》让我受益匪浅,摘录最有营养的一部分与各位分享。
在这篇文章的开始部分,赵粮博士首先从RSA2012大会谈起,着重阐述了对APT攻击的看法,APT的主要特点为:
-高级:攻击手段更高级,攻击工具更先进;
-持久:攻击者为达最终目的,不会轻易放弃,通过持续监测和不断尝试,最终达到攻击目的;
-威胁:发动APT攻击的大多为一个团队或组织,并非盲目的自动化攻击;
从这些特点来看,以传统安全技术来对抗APT明显吃力。RSA2012传递出的重要声音就是对智能驱动的安全尤为期盼。
具体说来,赵博士分析智能驱动的安全应包括如下方面:
1.基于深度分析的态势感知。也即,需要对网络流量、应用数据、代码等因素综合分析,深入分析,从而识别攻击行为。
我的一点看法:安全行业其实一直都在做类似的努力,比如各家安全网关产品都会把精力放在DPI上,通过对数据包的深度识别和分析,从而更精准的找出威胁。不过,由于APT攻击的多样性和隐蔽性,只对网络流量做DPI是远远不够的。APT攻击使用到的高级后门、Rookit,攻击得手后的信息资产外泄,都必须而且只能通过关联的、深入的识别分析,才能从企业海量网络流量中识别出来,并进行防御。单纯的在网关做DPI或者单纯的在终端上通过杀毒软件的深入分析,都是不够的,也许这也正是最近一段时间DLP产品越来越热的原因吧。
2.基于安全信誉系统的异常检测。
赵博士针对异常检测技术的未来发展方向描述为:“传统的异常检测在理念上基于攻击特征或模式匹配的,采用单纯黑名单(例如传统的入侵防御系统)或单纯白名单( 例如防火墙)规则的判断,这种判断的简单性与现实世界的复杂性是不相符的。智能化检测的指导思想是采用基于实体信誉的黑白互补的灰度判断,即对实体行为采用黑白名单相互补充的检测,并根据实体行为计算其安全信誉值的高低,进而以更细的粒度标识“异常度”或赋予不同的业务权限”
这一段文字的含金量实在是高。
防火墙的设计理念是“可信的才会放过”,但往往攻击行为就伪装或隐藏在这些可信的访问中,比如SQL注入会混在正常的web访问行为中。
而IPS的理念是“识别出来的威胁必须阻拦”,但往往依赖于设备的识别能力,也即特征库。被动的识别方式永远跟在攻击行为的屁股后头跑,而且为了降低对业务的影响,IPS大多不会设置的太过严苛,漏报在所难免。
因此这两种理念是从一个极端走向了另一个极端,处理常见的普通攻击问题不大,一旦面对APT,基本会坐以待毙。
其实对攻击行为的识别技术,可以类比杀毒软件的发展道路。回想一下,杀毒软件最近两年的恶意代码检测技术,用的最多的应该是“启发式”检测技术了吧。把可疑代码放在一个封闭环境下模拟运行,通过代码的实际行为判断是否有害。这可比被动的对比特征码先进一些啦。赵博士提到的“根据实体行为计算其安全信誉值”,我理解为就是入侵防御检测的“启发式扫描”,应该可以有效降低漏报行为。唯一需要担心的就是检测设备的性能是否可以满足大流量环境下的吞吐和延时。
3.基于自动部署的攻击防护。
这个没什么好说的,从最早的IDS时代,大家就在喊着“关联”和“联动”。识别到攻击以后,最好可以让设备自主学习并且自主修改防御策略,无需管理员手动干预,这样可以大大提高防御及时性。只不过,如何平衡关联及时度和误报,是这类技术的重中之重。
最近几乎各家安全厂商都在念叨“下一代”这个字眼,从下一代防火墙,到下一代IPS,做为甲方基本处于“乱花渐欲迷人眼”的迷糊状态,新概念很多,可真正有新意的技术并没有看到。所谓“应用识别”、“用户感知”等等概念,在我理解只不过是又一次的炒冷饭,几年以前大家不都在拿应用层说事儿么?可实际产品并没有给用户带来实际的明显效益,下一代这个词,最好还是谨慎为好。
但赵粮博士这篇文章,从威胁识别到自动化攻击防护,再到海量日志分析,基本上沿着攻击防御的生命周期都进行了未来技术展望,我相信在这种思路指导下产生的产品,的确是与现有防御设备完全不同的产品,称之为“下一代”毫不过分。
期待新的技术和新的产品,可以给用户带来切实的防护效果!
