国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

引言

隨著APT 攻擊事件的日益增多，其組織化、潛伏性、持續(xù)性、利用0day 漏洞的攻擊特點(diǎn)，導(dǎo)致大多數(shù)企業(yè)采用的傳統(tǒng)的基于防火墻、IPS 等邊界防護(hù)以及病毒惡意特征代碼檢測(cè)等靜態(tài)安全防護(hù)體系已經(jīng)越來(lái)越不能適應(yīng)外部攻擊者和攻擊手段的變化，也越來(lái)越不能適應(yīng)更加開(kāi)放、邊界更加模糊、日益復(fù)雜而又漏洞百出的各類(lèi)系統(tǒng)和應(yīng)用程序的發(fā)展趨勢(shì)。

基于攻擊能力隨著時(shí)代的變化而顯著提升，改進(jìn)、重構(gòu)已經(jīng)相對(duì)滯后的攻擊防御體系已勢(shì)在必行。

本文依據(jù)對(duì)典型APT 攻擊事件過(guò)程的分析，提煉出的被攻擊者安全防護(hù)體系的薄弱環(huán)節(jié)，并依據(jù)業(yè)界最新提出的PPDR 安全防護(hù)體系建設(shè)理論，結(jié)合作者多年工作實(shí)際經(jīng)驗(yàn)，闡述了傳統(tǒng)信息安全防護(hù)體系的未來(lái)建設(shè)發(fā)展的目標(biāo)與方法，實(shí)現(xiàn)從靜態(tài)特征檢測(cè)到動(dòng)態(tài)異常檢測(cè)的轉(zhuǎn)變、從邊界防護(hù)向全網(wǎng)防護(hù)的轉(zhuǎn)變、從被動(dòng)防御到充分利用威脅情報(bào)進(jìn)行主動(dòng)防護(hù)的轉(zhuǎn)變。

根據(jù)近幾年比較著名的APT 攻擊事件的分析，黑客攻擊的過(guò)程主要分為以下幾個(gè)階段：

1）偵察跟蹤階段

主要是發(fā)現(xiàn)確認(rèn)目標(biāo)，收集目標(biāo)網(wǎng)絡(luò)、服務(wù)狀態(tài)、相關(guān)人員電子郵件、社交信任關(guān)系，確定入侵可能的渠道。例如臺(tái)灣第一銀行ATM 吐鈔事件中，惡意代碼是來(lái)自第一銀行英國(guó)倫敦分行電腦主機(jī)和2 個(gè)存儲(chǔ)電話錄音的硬盤(pán)，而并非臺(tái)灣總行直接被入侵。這表明，黑客通過(guò)前期偵察準(zhǔn)確的定位倫敦分行作為入侵的初始目標(biāo)，并了解其內(nèi)部網(wǎng)絡(luò)互聯(lián)互通的情況。

2) 武器構(gòu)建階段

主要是創(chuàng)建用于攻擊的武器，比如郵件中的惡意代碼附件、假冒網(wǎng)站或網(wǎng)站掛馬、遠(yuǎn)程控制通信服務(wù)器等。臺(tái)灣第一銀行ATM 事件中，黑客創(chuàng)建的惡意代碼主要包括控制ATM 吐鈔的程序、讀取ATM 系統(tǒng)和卡夾信息的程序、清除痕跡的程序以及與黑客后臺(tái)遠(yuǎn)程通信的程序。

3) 突防利用與安裝植入階段

主要是利用系統(tǒng)或網(wǎng)絡(luò)漏洞、管理機(jī)制漏洞、人性弱點(diǎn)等將惡意代碼投遞到內(nèi)部目標(biāo)，獲得對(duì)系統(tǒng)的控制權(quán)。臺(tái)灣第一銀行事件中，就是利用倫敦分行作為突破口，將惡意代碼植入。

4) 通信控制與達(dá)成目標(biāo)階段

主要是與外部黑客遠(yuǎn)程控制服務(wù)器進(jìn)行連接，周期性的確認(rèn)其存活狀態(tài)，接受指令完成數(shù)據(jù)竊取、信息收集、破壞等最終任務(wù)。臺(tái)灣第一銀行事件中，黑客通過(guò)遠(yuǎn)程命令操控，將惡意代碼植入了ATM 版本升級(jí)的主機(jī)服務(wù)器，并利用ATM 升級(jí)的契機(jī)，將惡意代碼下發(fā)至第一銀行各ATM，最后在指定時(shí)間下達(dá)了吐鈔指令。

根據(jù)以上作案過(guò)程的分析，有以下幾個(gè)主要的薄弱點(diǎn)環(huán)節(jié)：

1) 傳統(tǒng)的邊界隔離措施無(wú)法對(duì)抗精準(zhǔn)的APT 攻擊

傳統(tǒng)的邊界隔離主要是依靠防火墻、路由器ACL 等對(duì)不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域進(jìn)行劃分，比如生產(chǎn)、辦公、測(cè)試、開(kāi)發(fā)、互聯(lián)網(wǎng)、第三方等。

一方面，由于客觀上總是存在外部接入內(nèi)部的網(wǎng)絡(luò)渠道，而且隨著互聯(lián)網(wǎng)的發(fā)展，內(nèi)外部互聯(lián)互通信息的需求越來(lái)越多，攻擊者總能找到入侵內(nèi)部的一條可以用的通道，可能是郵件、貌似正常的web 網(wǎng)頁(yè)數(shù)據(jù)上傳、第三方數(shù)據(jù)傳輸通道、企業(yè)各分支機(jī)構(gòu)管理不善開(kāi)了例外的終端等等；

另一方面，到目前為止，已經(jīng)開(kāi)通的防火墻和ACL 策略由于管理不善、信息更新滯后等原因，也可能存在少量未及時(shí)調(diào)整和刪除的冗余策略、范圍過(guò)大策略等邊界收緊不到位的情況。因此，基于防火墻和路由器的邊界隔離措施面對(duì)信息收集能力和針對(duì)性很強(qiáng)的APT 攻擊者，是無(wú)能為力的。

2) 傳統(tǒng)的基于特征碼的惡意代碼監(jiān)測(cè)存在滯后性和局限性

一是類(lèi)似IPS、WAF 和防病毒這樣的防護(hù)工具，屬于對(duì)已知固定惡意代碼進(jìn)行特征識(shí)別的一種靜態(tài)分析方法，無(wú)法有效應(yīng)對(duì)惡意代碼變形、加殼等隱蔽手段；

二是APT攻擊通常利用看似合法的輸入和非明顯惡意特征但非常針對(duì)性的程序代碼。因此，在事發(fā)之前，我們不可能提前識(shí)別出全部的惡意代碼特征，這種傳統(tǒng)的基于惡意代碼靜態(tài)監(jiān)測(cè)的方式存在較大不足。

3) 突破邊界后的內(nèi)部網(wǎng)絡(luò)防護(hù)能力不足

由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護(hù)，對(duì)于突破邊界后在內(nèi)網(wǎng)埋伏、感染、操控內(nèi)部服務(wù)器及數(shù)據(jù)的惡意行為識(shí)別和監(jiān)測(cè)缺乏有效手段。

例如臺(tái)灣第一銀行事件中，惡意代碼從倫敦分行傳播至ATM 軟件分發(fā)服務(wù)器，并進(jìn)一步感染ATM 目標(biāo)服務(wù)器，在整個(gè)內(nèi)部轉(zhuǎn)播路徑以及目標(biāo)ATM 服務(wù)器安裝了異常代碼文件都沒(méi)有被發(fā)現(xiàn)。

4) 單打獨(dú)斗式的防御，無(wú)法面對(duì)有組織有計(jì)劃的針對(duì)性攻擊

面對(duì)近幾年陸續(xù)發(fā)現(xiàn)的多起swift 事件，其幕后黑手直指臭名昭著的Lazarus 黑客組織。如此專(zhuān)業(yè)化組織嚴(yán)密的黑客組織，僅靠企業(yè)自身進(jìn)行防護(hù)顯得力不從心。

如何快速提前獲取0day 攻擊惡意代碼特征與文件路徑、黑客遠(yuǎn)程控制服務(wù)器IP 地址、釣魚(yú)郵件地址、假冒網(wǎng)站異常威脅情報(bào)，并及時(shí)與內(nèi)部防護(hù)系統(tǒng)聯(lián)動(dòng)，成為企業(yè)安全防護(hù)的重要保障關(guān)鍵能力之一。

5) 缺乏海量數(shù)據(jù)的關(guān)聯(lián)分析和可視化分析能力

從一系列安全事件來(lái)看，從植入沒(méi)有明顯惡意特征的代碼到分行服務(wù)器、到利用軟件升級(jí)契機(jī)下發(fā)ATM 升級(jí)軟件、再到黑客復(fù)用現(xiàn)有的網(wǎng)絡(luò)端口進(jìn)行外部遠(yuǎn)程控制通信，單獨(dú)看每一個(gè)步驟可能無(wú)法準(zhǔn)確判斷單個(gè)行為是否是惡意攻擊，但是如果將整個(gè)路徑上的行為串起來(lái)看是很有可能發(fā)現(xiàn)異常行為的。

例如建立一種基于外部連接的異常分析模型，當(dāng)發(fā)現(xiàn)ATM管理服務(wù)器與外部通訊時(shí)，分析通訊的進(jìn)程、相關(guān)程序文件的安裝時(shí)間、來(lái)源以及傳播路徑，并檢查下游ATM 設(shè)備通訊流量情況，并通過(guò)可視化手段可以直觀的還原出，ATM 設(shè)備通過(guò)內(nèi)部管理服務(wù)器作為跳板與外部進(jìn)行異常連接的情況。

當(dāng)然，這一方面需要大量的信息安全日志數(shù)據(jù)作為支撐，包括內(nèi)外網(wǎng)邊界及關(guān)鍵路徑上的網(wǎng)絡(luò)流量情況、服務(wù)器設(shè)備的異常行為檢測(cè)情況、惡意遠(yuǎn)程通訊IP 地址等外部威脅情報(bào)等，另一方面需要有實(shí)時(shí)快速處理海量數(shù)據(jù)和建模關(guān)聯(lián)分析的能力，以及可視化展現(xiàn)能力，畢竟可疑事件最終還是需要人工準(zhǔn)確判斷。

以上關(guān)鍵環(huán)節(jié)的薄弱點(diǎn)正是我們目前靜態(tài)的、被動(dòng)式防御體系的薄弱點(diǎn)，傳統(tǒng)的安全防護(hù)體系已經(jīng)逐漸不能適應(yīng)外部攻擊防護(hù)的需要。以下結(jié)合業(yè)界研究分析及實(shí)踐情況，就如何構(gòu)建新一代安全防護(hù)體系談幾點(diǎn)思路。

正如剛才描述的靜態(tài)被動(dòng)式安全防護(hù)體系弱點(diǎn)，新一代信息安全防護(hù)體系應(yīng)該朝著如下的四個(gè)方向進(jìn)行轉(zhuǎn)變：

1) 由被動(dòng)監(jiān)控向主動(dòng)預(yù)防轉(zhuǎn)變。

2) 由邊界安全向全網(wǎng)安全轉(zhuǎn)變。

3) 由靜態(tài)特征識(shí)別向動(dòng)態(tài)異常分析轉(zhuǎn)變。

4) 由系統(tǒng)安全向業(yè)務(wù)驅(qū)動(dòng)安全為轉(zhuǎn)變。

最終，信息安全的所有問(wèn)題本質(zhì)上將轉(zhuǎn)變?yōu)榇髷?shù)據(jù)分析問(wèn)題。

傳統(tǒng)的應(yīng)急式安全響應(yīng)中心將轉(zhuǎn)變?yōu)槌掷m(xù)安全響應(yīng)中心。為了實(shí)現(xiàn)這個(gè)目標(biāo)，我們將從以前以Policy 策略、Protect 防護(hù)、Detect 檢測(cè)、Response 響應(yīng)四個(gè)階段組成的PPDR 安全防護(hù)體系，轉(zhuǎn)變?yōu)橐訥artner 最新提出的并獲得業(yè)界主流安全企業(yè)和研究機(jī)構(gòu)認(rèn)可的PPDR 安全防護(hù)體系。

即以Predict 預(yù)測(cè)、Protect 防護(hù)、Detect 檢測(cè)、Response 響應(yīng)四個(gè)階段組成的新PPDR 閉環(huán)安全防護(hù)模型，并且在不同階段引入威脅情報(bào)、大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、云防護(hù)等新技術(shù)和服務(wù)，從而真正構(gòu)建一個(gè)能進(jìn)行持續(xù)性威脅響應(yīng)、智能化、協(xié)同化的自適應(yīng)安全防護(hù)體系。

預(yù)測(cè)階段

該階段的目標(biāo)是獲得一種攻擊“預(yù)測(cè)能力”，可從外部威脅情報(bào)中學(xué)習(xí)，以主動(dòng)鎖定對(duì)現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊，并對(duì)漏洞劃定優(yōu)先級(jí)和定位。

該情報(bào)將反饋到防護(hù)階段和檢測(cè)功能，從而構(gòu)成整個(gè)威脅處理流程的閉環(huán)。這里面有兩個(gè)關(guān)鍵要素：一是威脅情報(bào)本身；二是對(duì)威脅情報(bào)的利用。

所謂威脅情報(bào)，是指一組基于證據(jù)的描述威脅的關(guān)聯(lián)信息，包括威脅相關(guān)的環(huán)境信息、手法機(jī)制、指標(biāo)、影響以及行動(dòng)建議等?？蛇M(jìn)一步分為基礎(chǔ)數(shù)據(jù)、技術(shù)情報(bào)、戰(zhàn)術(shù)情報(bào)、戰(zhàn)略情報(bào)4 個(gè)層次。

基礎(chǔ)數(shù)據(jù), 例如PE 可執(zhí)行程序樣本、netflow 網(wǎng)絡(luò)流數(shù)據(jù)、終端日志、DNS 與whois 記錄等；

技術(shù)情報(bào), 例如惡意遠(yuǎn)程控制服務(wù)器地址、惡意網(wǎng)站、電話、釣魚(yú)郵件地址、惡意代碼HASH 值、修改的特定注冊(cè)表項(xiàng)、系統(tǒng)漏洞、異常賬號(hào)、洗錢(qián)手法等；

戰(zhàn)術(shù)情報(bào), 包括已發(fā)現(xiàn)的外部攻擊者和目標(biāo)信息、攻擊手段和過(guò)程、可能造成的攻擊影響、應(yīng)急響應(yīng)建議等；

戰(zhàn)略情報(bào), 主要指社會(huì)、政治、經(jīng)濟(jì)和文化動(dòng)機(jī)、歷史攻擊軌跡和目標(biāo)趨勢(shì)、攻擊重點(diǎn)、攻擊組織的技術(shù)能力評(píng)估等。

利用這些情報(bào)成為后續(xù)防護(hù)、檢查和響應(yīng)的基礎(chǔ)，我們可以與現(xiàn)有防護(hù)系統(tǒng)充分結(jié)合，自下而上在網(wǎng)絡(luò)、系統(tǒng)、終端、應(yīng)用、業(yè)務(wù)各個(gè)層面進(jìn)行外部攻擊的有效預(yù)防。

例如，可以將惡意遠(yuǎn)程控制服務(wù)器地址納入網(wǎng)絡(luò)流分析檢測(cè)工具中，及時(shí)阻斷可疑的外部連接情況；將互聯(lián)網(wǎng)上已檢測(cè)到的惡意代碼特征、異常行為模式等同步到IPS、HIDS、沙箱工具；通過(guò)APP等提示并攔截客戶對(duì)假冒網(wǎng)站的訪問(wèn)；根據(jù)外部攻擊的手法和目標(biāo)等情報(bào)信息，主動(dòng)調(diào)整DDos和WAF 的防護(hù)策略等等。

相關(guān)資料顯示，65%的企業(yè)和政府機(jī)構(gòu)計(jì)劃使用外部威脅情報(bào)服務(wù)增強(qiáng)安全檢測(cè)和防護(hù)能力。威脅情報(bào)的引入，是從被動(dòng)式防護(hù)專(zhuān)向主動(dòng)式預(yù)防的重要基石。

安全防護(hù)階段

該階段的目標(biāo)是通過(guò)一系列安全策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。

這個(gè)方面的關(guān)鍵目標(biāo)是通過(guò)減少被攻擊面來(lái)提升攻擊門(mén)檻，并在受影響前攔截攻擊動(dòng)作，主要分為加固與隔離、漏洞與補(bǔ)丁管理、轉(zhuǎn)移攻擊等三個(gè)方面。

加固與隔離方面，大部分企業(yè)在系統(tǒng)、網(wǎng)絡(luò)及終端方面進(jìn)行了大量的投入和系統(tǒng)建設(shè)，包括使用防火墻、VLAN 等對(duì)不同網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離和訪問(wèn)策略控制，終端的802.1x 準(zhǔn)入控制與隔離，各類(lèi)系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁以及安全配置加固。

但是在應(yīng)用方面特別是web應(yīng)用和移動(dòng)app 安全加固方面還做的不夠，包括沒(méi)有限制用戶輸入字符串的長(zhǎng)度、使用了SQL語(yǔ)句拼接且沒(méi)有主動(dòng)過(guò)濾非法字符、未安裝限制頻繁撞庫(kù)的驗(yàn)證碼控件、未在后臺(tái)限制頻繁交易次數(shù)等。

這些加固控制措施都是必須結(jié)合應(yīng)用自身特點(diǎn)進(jìn)行設(shè)置，并非簡(jiǎn)單通過(guò)IPS、DDoS、WAF 等防護(hù)設(shè)備就能阻擋此類(lèi)利用正常應(yīng)用對(duì)外服務(wù)渠道和業(yè)務(wù)邏輯發(fā)起的外部攻擊。

因此，應(yīng)進(jìn)一步加大對(duì)應(yīng)用安全加固問(wèn)題的重視，如應(yīng)用安全代碼檢測(cè)和應(yīng)用安全設(shè)計(jì)應(yīng)該放在更重要的位置，特別是對(duì)逐漸引入的生物特征識(shí)別與認(rèn)證技術(shù)、物聯(lián)網(wǎng)技術(shù)的安全性研究，作為從系統(tǒng)安全到業(yè)務(wù)驅(qū)動(dòng)安全轉(zhuǎn)變的重要支撐。

漏洞與補(bǔ)丁管理方面，盡管大多數(shù)企業(yè)都引入了漏洞掃描工具，并建立了漏洞發(fā)現(xiàn)、分析、補(bǔ)丁修復(fù)的完整工作機(jī)制，但漏洞與補(bǔ)丁管理最容易在兩個(gè)方面產(chǎn)生疏漏，一是漏洞情報(bào)獲取的滯后，二是設(shè)備資產(chǎn)梳理不清。非常容易導(dǎo)致信息安全的木桶效應(yīng)，即一塊短板導(dǎo)致整個(gè)防線崩潰。

漏洞情報(bào)獲取的時(shí)效性提升可以納入到前面說(shuō)講的威脅情報(bào)收集工作中，盡可能從外部更快速的渠道獲取并以可機(jī)讀的方式與防護(hù)系統(tǒng)聯(lián)動(dòng)；設(shè)備資產(chǎn)清單梳理方面，資產(chǎn)的梳理范圍和顆粒度劃分、以及信息采集的自動(dòng)化程度是制約設(shè)備資產(chǎn)請(qǐng)安管理工作取得實(shí)質(zhì)性成效的重要因素。

然而現(xiàn)實(shí)中，大多數(shù)企業(yè)都不重視物聯(lián)網(wǎng)設(shè)備如視頻監(jiān)控、自助機(jī)具等如今可以被入侵或當(dāng)作攻擊肉雞的聯(lián)網(wǎng)設(shè)備清單，缺少Struts2、Open SSL 等組件分布情況快速收集的能力等。

轉(zhuǎn)移攻擊方面，簡(jiǎn)單來(lái)說(shuō)，該功能可是企業(yè)在黑客攻防中獲得時(shí)間上的非對(duì)稱(chēng)優(yōu)勢(shì)，通過(guò)蜜罐、系統(tǒng)鏡像與隱藏等多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏、混淆系統(tǒng)接口和系統(tǒng)信息。

此項(xiàng)技術(shù)對(duì)于研究攻擊者手法、檢測(cè)防護(hù)系統(tǒng)不足甚至刻畫(huà)黑客的攻擊畫(huà)像等都十分有利，但考慮到該類(lèi)技術(shù)的應(yīng)用場(chǎng)景復(fù)雜性，引入時(shí)應(yīng)考慮更加全面充分。

安全檢測(cè)階段

該階段的主要目標(biāo)是及時(shí)發(fā)現(xiàn)各類(lèi)外部直接的或潛伏的攻擊。在這個(gè)階段是傳統(tǒng)安全防護(hù)體系中，各個(gè)企業(yè)投入最大且最為依賴的部分，因此也是構(gòu)建數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)架構(gòu)最需要做出改變的階段。

一是從傳統(tǒng)的只重視邊界流量（如互聯(lián)網(wǎng)與第三方入口的IPS）的安全檢測(cè)，發(fā)展為全流量檢測(cè)或至少具備任一網(wǎng)絡(luò)關(guān)鍵路徑流量的檢測(cè)能力，因?yàn)楣粽卟豢杀苊獾貢?huì)繞過(guò)傳統(tǒng)的攔截和預(yù)防機(jī)制，一旦進(jìn)入內(nèi)部傳統(tǒng)的檢測(cè)防護(hù)機(jī)制就難以發(fā)現(xiàn)。

二是從靜態(tài)的基于特征碼的檢測(cè)，如目前的IPS、防病毒、WAF 等，發(fā)展到基于異常的動(dòng)態(tài)檢測(cè)，正如前面提到的，很多APT 攻擊者利用的是0day 漏洞或者利用經(jīng)過(guò)多態(tài)和變形的惡意代碼進(jìn)行攻擊，無(wú)法被傳統(tǒng)基于特征碼的檢測(cè)手段發(fā)現(xiàn)，但通過(guò)異常行為分析是有可能發(fā)現(xiàn)的。

目前業(yè)界主要通過(guò)進(jìn)入沙箱檢測(cè)技術(shù)，將網(wǎng)絡(luò)、終端、郵件等系統(tǒng)中獲取到的可執(zhí)行文件等在沙箱環(huán)境運(yùn)行，并觀察相關(guān)進(jìn)程創(chuàng)建或調(diào)用、文件或資源訪問(wèn)行為、注冊(cè)表修改等是否存在異常。

然而，沙箱逃逸技術(shù)的蓬勃發(fā)展（即通過(guò)主動(dòng)識(shí)別沙箱環(huán)境而不執(zhí)行相關(guān)代碼、利用時(shí)間差埋伏一段時(shí)間再啟動(dòng)等），使得對(duì)于異常的分析不能完全依賴于沙箱，而是通過(guò)異常流量檢測(cè)、機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析等大數(shù)據(jù)分析手段進(jìn)行自適應(yīng)安全檢測(cè)。

三是加大云平臺(tái)的安全監(jiān)測(cè)能力。隨著Iaas、Paas 等云平臺(tái)的不斷擴(kuò)充，越來(lái)越多的企業(yè)核心業(yè)務(wù)正逐漸從傳統(tǒng)的服務(wù)器遷移至私有云或混合云。除了云平臺(tái)帶來(lái)的擴(kuò)展靈活性、高可用性、運(yùn)維便捷性外，也會(huì)帶來(lái)新的安全挑戰(zhàn)。

虛擬化層hypervisor 的安全漏洞與安全控制問(wèn)題，如虛擬機(jī)逃逸問(wèn)題，會(huì)產(chǎn)生一鍋端的較大風(fēng)險(xiǎn)；安全設(shè)備和安全防護(hù)手段的虛擬化軟件化將帶來(lái)攻擊面的擴(kuò)大。

云上應(yīng)用的數(shù)據(jù)高度集中，用戶及權(quán)限管理方面管控不嚴(yán)格也存在客戶信息泄露風(fēng)險(xiǎn)；系統(tǒng)、網(wǎng)絡(luò)和存儲(chǔ)資源復(fù)用，既給數(shù)據(jù)有效隔離和保護(hù)帶來(lái)挑戰(zhàn)，也存在安全風(fēng)險(xiǎn)傳導(dǎo)的隱患；原有實(shí)體網(wǎng)絡(luò)之間的網(wǎng)絡(luò)邊界、實(shí)體設(shè)備之間的物理邊界已經(jīng)模糊，不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域整合到了一個(gè)網(wǎng)絡(luò)區(qū)域中，給網(wǎng)絡(luò)邊界防護(hù)帶來(lái)挑戰(zhàn)；不同安全級(jí)別的信息系統(tǒng)使用云平臺(tái)上同樣的資源，對(duì)安全分級(jí)保護(hù)和安全管理增加難度和復(fù)雜度。

但反過(guò)來(lái)云平臺(tái)也會(huì)給安全防護(hù)帶來(lái)積極的一面，如網(wǎng)絡(luò)隔離的靈活多樣和更精細(xì)的顆粒度；全局網(wǎng)絡(luò)流量的鏡像抓取與檢測(cè)更加容易；安全防護(hù)設(shè)備虛擬化后的靈活定制能力等。

因此，我們可以通過(guò)幾個(gè)方面綜合提升云平臺(tái)的安全檢測(cè)能力進(jìn)而降低整個(gè)云平臺(tái)的安全風(fēng)險(xiǎn)。

首先，實(shí)現(xiàn)云平臺(tái)跨虛擬機(jī)內(nèi)部的全流量采集與監(jiān)測(cè)，例如目前有很多針對(duì)openstack 的流量監(jiān)控方案；

其次，通過(guò)軟件定義安全的方式，充分利用安全防護(hù)設(shè)備的軟件化虛擬化，實(shí)現(xiàn)個(gè)性化流量監(jiān)測(cè)策略，例如針對(duì)不同的web 應(yīng)用業(yè)務(wù)實(shí)現(xiàn)不同的WAF 策略，而無(wú)需像以往一樣受限與固定硬件設(shè)備的一些掣肘；

再次，實(shí)現(xiàn)不同安全防護(hù)設(shè)備的云化集中監(jiān)測(cè)能力，云平臺(tái)自身的特性和云計(jì)算的強(qiáng)大能力使得各類(lèi)安全檢測(cè)設(shè)備云化后，安全日志等安全檢測(cè)信息的整合集中與關(guān)聯(lián)能力更容易獲得。

四是從系統(tǒng)安全檢測(cè)發(fā)展到重視應(yīng)用和業(yè)務(wù)層面安全問(wèn)題的檢測(cè)能力。對(duì)于資金欺詐、撞庫(kù)洗庫(kù)、惡意頻繁交易等業(yè)務(wù)層面的安全檢測(cè)能力也應(yīng)該得到進(jìn)一步加強(qiáng)，主要包括：

（1）外部威脅情報(bào)引入與反欺詐系統(tǒng)的聯(lián)動(dòng)，例如惡意釣魚(yú)網(wǎng)站、惡意IP等；

（2）反欺詐系統(tǒng)監(jiān)控變量、模型與規(guī)則的豐富，例如生物認(rèn)證信息、移動(dòng)終端位置信息、更加豐富的移動(dòng)和固定終端的設(shè)備指紋信息等；

（3）基于機(jī)器學(xué)習(xí)的異常流量檢測(cè)和反欺詐交易行為檢測(cè)。 

綜上所述，持續(xù)而嚴(yán)密的異常動(dòng)態(tài)安全檢測(cè)是自適應(yīng)安全架構(gòu)的核心，全網(wǎng)流量檢測(cè)、沙箱技術(shù)、大數(shù)據(jù)分析能力、面向業(yè)務(wù)安全的檢測(cè)技術(shù)等，共同構(gòu)成了我們構(gòu)建下一代信息安全防護(hù)體系的核心能力建設(shè)目標(biāo)。

安全響應(yīng)階段

該階段的目標(biāo)是一旦外部攻擊被識(shí)別，將迅速阻斷攻擊、隔離被感染系統(tǒng)和賬戶，防止進(jìn)一步破壞系統(tǒng)或擴(kuò)散。

常用的隔離能力包括，終端隔離、網(wǎng)絡(luò)層IP 封禁與隔離、系統(tǒng)進(jìn)程、賬戶凍結(jié)、應(yīng)用層阻斷和主動(dòng)拒絕響應(yīng)等。這些響應(yīng)措施在新一代數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)體系中最重要的目標(biāo)是能夠跟基于大數(shù)據(jù)的安全檢測(cè)系統(tǒng)進(jìn)行有效對(duì)接，自動(dòng)根據(jù)檢測(cè)結(jié)果進(jìn)行觸發(fā)或者提示人工判斷后自動(dòng)觸發(fā)。

因此，在建立下一代安全防護(hù)體系過(guò)程中，必須把響應(yīng)階段與安全檢測(cè)階段一體化考慮。同時(shí)，在做好自身的響應(yīng)準(zhǔn)備時(shí)還要充分考慮外部服務(wù)商、合作方的共同應(yīng)急響應(yīng)或風(fēng)險(xiǎn)傳導(dǎo)控制。

一是一些應(yīng)用攻擊的影響控制需要應(yīng)用系統(tǒng)側(cè)采取驗(yàn)證碼控件、后臺(tái)交易頻率限制、輸入過(guò)濾等措施進(jìn)行真正有效的應(yīng)急處理，但通常這類(lèi)措施受限與供應(yīng)商或內(nèi)部開(kāi)發(fā)團(tuán)隊(duì)的影響上線周期過(guò)長(zhǎng)，因此要提前建立快速響應(yīng)機(jī)制。

二是使用CDN 服務(wù)情況下面臨外部攻擊時(shí)，惡意攻擊的阻斷和地址封禁等需要CDN廠商同步實(shí)施，但其封禁時(shí)效性以及CDN 自身入侵防護(hù)能力可能存在不足。如何第一時(shí)間從CDN 獲取詳細(xì)信息、如何在CDN 側(cè)響應(yīng)過(guò)慢時(shí)主動(dòng)切換CDN 或者切回源站、如何考核督促CDN 等都是需要高度重視的問(wèn)題。

三是系統(tǒng)層面快速阻斷與隔離手段通常較網(wǎng)絡(luò)隔離與封禁等使用的較少，例如進(jìn)程中止與隔離、文件鎖定與隔離、用戶會(huì)話中斷與用戶鎖定等。

四是回溯能力不足，一方面需要構(gòu)建大數(shù)據(jù)分析平臺(tái)，還原和展現(xiàn)事件發(fā)生前后關(guān)鍵路徑上所發(fā)生的一切，利用運(yùn)營(yíng)商、安全廠商、BAT 等互聯(lián)網(wǎng)大數(shù)據(jù)威脅情報(bào)進(jìn)行溯源和快速響應(yīng)。

本文結(jié)合日益突出的APT 攻擊問(wèn)題，針對(duì)性的提出了目前傳統(tǒng)靜態(tài)防御技術(shù)體系和應(yīng)急式威脅響應(yīng)防護(hù)機(jī)制的不足，并按照PPDR 模型，簡(jiǎn)要描述了構(gòu)建下一代數(shù)據(jù)驅(qū)動(dòng)的安全防護(hù)體系建設(shè)四個(gè)階段（安全預(yù)測(cè)、安全防護(hù)、安全檢測(cè)、安全響應(yīng)）的建設(shè)目標(biāo)、內(nèi)容和關(guān)鍵技術(shù)思路，打造一個(gè)內(nèi)外聯(lián)動(dòng)的、預(yù)防為主的、具有整體威脅感知和快速響應(yīng)處理能力的持續(xù)信息安全響應(yīng)平臺(tái)。

作者

金海旻，博士，高級(jí)工程師，主要從事應(yīng)用密碼學(xué)、網(wǎng)絡(luò)攻防與數(shù)據(jù)庫(kù)安全相關(guān)研究。

顧駿，本科，高級(jí)工程師，主要從事國(guó)內(nèi)外信息安全管理體系理論與實(shí)踐、企業(yè)級(jí)病毒防護(hù)體系、身份認(rèn)證技術(shù)與應(yīng)用、金融IC 卡技術(shù)等相關(guān)研究。

金晶，本科，高級(jí)工程師，主要從事信息安全審計(jì)與取證技術(shù)、數(shù)據(jù)安全相關(guān)技術(shù)、ZOS 大型主機(jī)安全技術(shù)等相關(guān)研究。

來(lái)源： 信息安全與通信保密雜志社