在當前信息安全已經上升到國家安全層面的形勢下,來自國外具有國家背景的攻擊者已經針對多家央企,通過免殺、魚叉、水坑攻擊等新技術手段進行高級可持續性攻擊。然而大量未知威脅攻擊手段可以繞過以特徵檢測為核心檢測手段的傳統安全防護設備,企業難以有效發現未知威脅,也就無法抵禦未知威脅,如何檢測未知威脅成為企業面臨的挑戰。
央企的終端資產管理是項龐大而複雜的工作,是對企業的管理能力嚴峻的挑戰;各個分公司所部署的終端安全管理系統多種多樣,防病毒能力也層次不齊,影響了整個企業整體終端防護能力。由於大多企業並未採用統一的終端安全軟件,企業無法對具體的指標進行考核,難以出台精細有效的管理要求,無法全面提高集團整體終端安全防護能力。
隨着信息安全技術的不斷變化,導致信息安全風險日益複雜化。我國的網站仍然存在較多的漏洞風險,Web服務日益成為網絡攻擊的重點目標,DNS攻擊、暴力破解、零日漏洞利用讓網站弱不禁風。傳統的Web安全解決方案通過WAF等安全設備的堆疊來進行安全防護,這已經無法解決央企網站所面臨的安全風險。
央企大多重視信息安全建設,正在逐步完善信息安全防護體系,網絡中部署了大量的安全產品和設備,為信息系統的安全運行提供了有力的保障。但往往這些設備和產品來自多個廠商,無法進行有效的協同防護,都是各自為戰;無法從總體上進行安全態勢可視化展現,企業安全管理人員無法整體瞭解和掌握集團安全態勢。信息安全建設效果看不到和摸不到,信息安全人員工作成績也難以體現,此類問題也困擾着信息安全管理人員。
解決思路
1、以數據為核心取代以技術為核心
新型安全體系本質上就是圍繞數據為核心的數據驅動安全的技術思路,數據是新型安全體系最本質與最核心的內容,具體來説就是依靠數據的大範圍分析實現對威脅的感知、發現、分析、溯源。新型防禦技術依靠數據為核心,相當於將整個攻擊過程都錄製下來,而後對攻擊的全過程進行回溯分析,不但能夠了解到攻擊的全貌,而且有可能在攻擊過程的任意一個環節、片段對攻擊進行發現。
簡言之,通過單點檢測技術,只可能看到攻擊過程某一片段的快照,而透過數據的鏡子,卻可以看到攻擊的全貌、攻擊的歷史、可以通過別人的被攻擊數據做到提前預防,可以看到更多的攻擊。
2、以雲端分析取代設備分析
新型防禦體系強調的是雲端的海量存儲與大規模深度計算,存儲規模的增大,意味着可以有更多的規則、更多的樣本、更多的數據作為檢測的基礎與依據,而大規模的雲端計算資源意味着可以展開復雜度更高的算法對流量、樣本、行為進行深度分析與歷史分析,雲端的海量存儲與計算使得基於人工智能與數據挖掘的大數據分析成為可能,同時雲端的海量帶寬也解決了Anti-DDoS中由於帶寬限制無法接下全部待清洗流量的難題,奇安信公司用於惡意樣本分析的雲端資源超過一萬台,用於Anti-DDoS的帶寬高達500Gbps,這一切都將包括惡意樣本分析、抗D的能力提高到了一個歷史高度,如果不採用雲計算的基礎設施,依靠傳統的安全設備,這一切都是不可能做到的。
3、以情報線索取代技術對抗
傳統安全的防禦思路是基於攻防技術對抗為基礎的,攻防技術對抗可以在獲得攻擊細節的前提下有效對抗標準的攻擊行為,但是對於加入嚴重變形與繞過手段的攻擊卻無能為力,回到前面提到的,攻防對抗是矛與盾的競賽,現實中從來都是先有矛後有盾,因此傳統的對抗思路無法解決未知威脅的問題,典型的如未知木馬、未知漏洞就是傳統安全防禦中最頭疼的問題。新型防禦技術中強調威脅情報的價值與使用,轉而在整個網絡活動中尋找有價值的可疑線索,通過可疑線索結合已有的海量歷史數據,進一步深挖線索背後的一系列行為活動。依靠威脅情報線索的思路,防守一側只要有一次抓住線索,就能夠以及線索捕獲攻擊,徹底扭轉了以往攻防雙方不對等的較量,這一切都歸功於新型防禦體系思路的轉變。
解決方案
1、終端一體化解決方案
依據統一基線策略、分級管理、分級授權的方針搭建企業統一防病毒體系、統一計算機安全管理體系。建設終端和服務器病毒防護,安全管控,網絡准入一體的平台進行統一安全管理,終端安裝單個Agent就可實現病毒防護、安全准入、安全管控等安全功能。
終端防病毒:提供針對終端安全的防護措施,為終端提供安全的上網辦公環境。包括互聯網中的病毒、木馬、蠕蟲、網馬、殭屍網絡、流氓軟件、間諜軟件等惡意代碼進行有效的識別、查殺與隔離;
終端管控:控制中心制定策略,全網對USB接口、無線路由,移動存儲及各種外設接口進行管控;設定軟件運行黑白名單,禁止娛樂軟件、盜版軟件的安裝及運行;根據部門、用户設定終端帶寬管理策略,有效杜絕P2P軟件帶來的網絡擁塞問題。對全網終端進行IP、Mac地址綁定,有效防止私自修改行為;對客户端進行防黑加固,提供有針對性監控功能,包括系統賬號變更、重點端口監控,共享目錄管控等;
統一運維:採用統一運維功能,實現全網終端的補丁統一升級、普通軟件分發、硬件資產管理、一鍵加速、一鍵修復及遠程協助功能,協助IT維護人員高效的完成終端運維工作。
企業通過總部天擎終端安全管理中心對總部和分支機構終端設置強管控安全策略,分支機構在總部安全策略基礎上按需調整安全管控力度。在內網部署私有云引擎,在不訪問外部互聯網情況下實現終端病毒雲查殺。通過部署NAC網絡准入設備,阻止未授權設備接入內網和訪問敏感資源,保證內網接入安全的同時也提高安全管理軟件的安裝率。
企業通過技術結合管理的方式,根據企業實際狀況,制定終端安全管理制度,對終端安全具體的防護內容提出了管理和考核要求,並通過技術手段進行檢測。分支機構根據基線要求對本單位終端進行管理,對執行結果進行評分,從而有力的推動企業的終端安全建設。
2、未知威脅解決方案
高級持續性威脅(Advanced Persistent Threat,簡稱APT)是一種可以繞過各種傳統安全檢測防護措施,通過精心偽裝、定點攻擊、長期潛伏、持續滲透等方式,伺機竊取網絡信息系統核心資料和各類情報的攻擊方式。事實證明,傳統安全設備已經無法抵禦複雜、隱蔽的APT攻擊。
為了及時發現此類威脅,奇安信天眼將大數據技術應用於威脅發現領域,在雲端通過多維度跨域分析,深度數據挖掘和人工智能技術對海量數據進行深度分析以實時獲知未知威脅的發展動態。
奇安信天眼系統獨有的雲端威脅情報系統結合本地安全大數據引擎,建立雲端 + 本地系統的關聯分析及立體式防護體系,為用户提供全方位的未知威脅感知能力。
企業部署奇安信天眼系統未知威脅檢測系統可以及時有效的發現未知威脅,提升管理人員對未知威脅的發現速度和效率,最大限度的降低受攻擊後的損失,回溯方案可以記錄內網的任何一次網絡行為為回溯提供強大的支撐。
- 威脅情報:奇安信天眼實驗室在雲端共蒐集了200PB與安全相關的數據,涵蓋了DNS解析記錄、WHOIS信息、樣本信息、文件行為日誌等內容,並針對所有這些信息使用了機器學習、深度學習、重沙箱集羣、關聯分析等分析手段,最終形成雲端威脅情報下發本地進行檢測。
- 本地檢測:傳感器負責將所有鏡像流量進行還原分析,提取HTTP、SMTP、POP3、FTP等文件傳輸協議中出現的文件內容,將文件通過加密通道傳送到檢測器;檢測器對所有文件進行解壓縮,格式檢查後,將使用靜態檢測、半動態檢測、沙箱檢測等多種檢測手段對文件中可能包含的惡意行為進行捕捉分析以發現高級威脅。使用該方案後,可以有效發現網絡中出現的漏洞利用行為,木馬控制行為,同時沙箱檢測還可以提供更多高級沙箱防逃逸技術以避免攻擊繞過整個檢測系統。
- 回溯:分析平台可以依靠自身獨特的分佈式搜索架構設計,將所有傳送至此的行為信息和告警信息進行快速的存儲並建立索引。建立索引後的信息可以在分析平台上快速的搜索到。如此,安全管理人員便可以利用該方案記錄過去一段時間內出現的任何一次網絡行為,發現任何一次網絡行為中的具體細節,提升網絡透明度及可視性,快速發現高級威脅結合本地系統進行準確溯源,牢牢掌握安全工作的主導位置,滿足上級監管單位對於安全工作的溯源及定位要求。
天眼可以與天擎終端安全管理系統進行聯動,藉助奇安信天眼的深度檢測能力,結合奇安信天擎在終端上的精確防禦能力,實現對PC終端的攻擊防禦。
(終端安全管理系統部署示意圖)
3、網站安全解決方案
網站安全環境日益惡化,全國範圍內時常發生重大網絡安全事件;《2015年中國互聯網安全報告》顯示,2015年境內75028個網站被植入後門,境內24550個網站被篡改,2015年1-6月1Gbit/s 以上DDoS日均攻擊數量1558起。2015年奇安信掃描國內現有網站中存在漏洞的網站約為43%,奇安信網站衞士共攔截各類網站漏洞攻擊16.5億次,較2014年增長約135.7%。
安域是為大型企業定製網站雲防護產品。不同於傳統的網站防護設備,利用虛擬化技術形成了集掃描、監控、防護、DSN防禦於一體的顛覆性立體化的Web安全防護體系。能有效防護常見的Web漏洞攻擊,並能夠識別多種變型攻擊方式,同時能有效針對DDoS攻擊和CC攻擊進行防護。基於CDN的原理,在全國部署了多個IDC骨幹節點,每個節點上都部署了奇安信自研的雲WAF模塊。通過修改網站DNS域名解析將原本指向網站服務器IP修改為指向雲防護節點IP,以此實現網站流量調度,將客户真實網站服務器隱藏在雲防護節點之後,通過雲防護節點強大的集羣防護能力進行攻擊流量清洗和黑客攻擊行為攔截。
相比於傳統的本地硬件方案,雲防護方案在解決傳統方案的不足的同時,極大地降低了採購成本及運維成本,並實現了集團總部對於成員單位的管理要求,增強了全集團的信息化安全。
(未知威脅感知系統部署示意圖)
4、安全態勢感知與運營解決方案
針對企業安全現狀,可在部署未知威脅感知系統基礎上,升級軟硬件方式來完成本地大數據安全平台(安全態勢感知與運營平台)的建設。未知威脅感知系統將成為安全態勢感知與運營系統子系統。安全態勢感知與運營系統對集團內所有安全設備的告警信息,服務器、網絡設備日誌,以及互聯網出口及關鍵區域流量進行全量採集,結合資產價值、資產脆弱性以及安全威脅進行關聯分析,感知全局安全風險態勢,並將安全態勢以可視化方式展現起來,從而使安全管理人員能夠對企業安全狀況一目瞭然。同時安全態勢感知與運營平台可作為企業信息安全體系的大腦,綜合分析各種告警和風險,並下發安全策略到終端和網絡邊界防護設備,進行安全協同聯動防護。
全集團部署安全態勢感知與運營系統,總部和分支分級部署,從而對整個集團的安全態勢進行分析和展現。
(安域部署示意圖)
部署終端安全管理系統、未知威脅感知系統、安全態勢感知與運營平台後,能夠為企業實現如下價值:
提升終端安全管理能力
全集團集中部署天擎終端安全管理系統,建設統一防病毒體系、統一計算機安全管理體系;利用管理和技術有效結合,可以完美解決終端系統所面臨的病毒、惡意軟件、補丁缺失、配置不規範問題,保障全集團的終端安全。
統一安全管理中心和模塊化單一終端軟件,易用的產品功能,可以降低運維人員維護成本。私有云病毒查殺功能,既保證了病毒查殺效率,也可以降低終端資源消耗,獲得良好的企業內部用户體驗。
獲得未知威脅感知能力
通過部署天眼未知威脅感知系統,通過進行雲端大數據計算和挖掘,結合專家分析所形成的威脅情報數據與本地流量進行關聯分析,最大限度地發現企業內未知威脅,從而使企業獲得一般企業所不具備的未知威脅感知能力,使企業的安全檢測能力處於行業領先地位。
具備安全態勢感知能力
部署安全態勢感知與運營系統將能使企業管理人員能夠準確和直觀的瞭解集團安全態勢,集團信息安全狀況一目瞭然。
極大提高網站綜合防護能力
安域雲安全防護平台集成了網站加速、安全監控、雲WAF、抗海量DDOS、抗CC、DNS防護、WEB攻擊防護等,可以為企業建立一套完整且功能強大的網站安全防禦體系,極大提高網站的綜合防護能力。
具有安全溯源能力
當發生安全事件後,可以快速對歷史流量數據進行檢索,結合雲端的海量互聯網數據進行多維可視化關聯,快速定位攻擊、還原攻擊路徑和追溯攻擊者,從源頭上控制安全風險,降低攻擊再次發生的可能性。