随着云计算、虚拟化、社交网络、IPv6等新技术、新应用的不断发展和广泛应用,网络攻击的技术手段和攻击方式也不断变化,网络安全的形势也变得越来越严峻。通过对新一代网络攻击方式进行分析,重新思考当前的网络安全现状,提出了几点防护的应对思考。
近年来,随着云计算、虚拟化、社交网络、IPv6等新技术、新应用的不断发展和广泛应用,网络安全攻击也趋向新型的高级持续性攻击。在攻击的过程中,攻击者综合运用社会工程学、0Day、Botnet、恶性文件、AET高级规避攻击等技术手段。攻击的方式也已从上一代单纯基于字符串的攻击演变为新一代面向应用和内容的深度、复杂、高级可持续攻击。传统的入侵检测以及安全保护设备、工作方式、管理模式在面对新一代的网络安全威胁时已经无法适应当前的安全形势的发展。过去所掌握的技术手段、所积累的大量经验和教训等,目前已经不足以应对未来的新一代网络安全威胁。
1 新一代网络攻击方式
1.1 网络安全攻击的4个阶段
根据国家网络信息安全技术研究所的有关报告分析,网络安全攻击从表现形式上可以分为4个阶段:第一个阶段,是攻击者制造一个有影响力的攻击。比如 2001 年的红色代码,2003年的冲击波,2004年的振荡波等。这些事件影响力都非常大,但是破坏对攻击者本身并没有带来什么好处。第二个阶段,攻击的主要目的转向“赚钱”,网络上多种形式的敲诈变得比较常见,很多商业网站都成为地下产业链的一环,用恶意攻击的形式来取代正常的竞争。第三个阶段,另一种不同于以前的攻击出现了,这就是窃密。第四个阶段就是从现在开始的,网络窃密的方法已经大不相同,网络攻击的目的也远不仅止于窃密。新阶段的网络攻击与以往那些阶段有很大不同,使得过去在网络安全领域所积累的东西面临过期的危险。
1.2 新一代网络攻击的原理
新一代网络攻击已经不仅仅从单纯的软件的漏洞进行病毒的攻击,而是结合社会工程学,心理学,将系统的使用者——人作为突破口,再综合运用各种攻击技术手段进行有针对性地攻击,甚至是高级可持续攻击(APT攻击)。下面就以新一代网络攻击的典型代表—APT攻击为例进行说明。
APT高级持续性威胁,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需的网络;其次 APT攻击具有很强的针对性,攻击触发之前通常收集大量关于用户业务流程和目标系统使用情况的精确信息。APT攻击可能持续的时间很长,攻击是通过多个步骤,多个间接目标和多种辅助手段最终实现对特定目标的攻击,经常结合各种社会工程学手段。任何规模的公司,只要员工可以访问网站、使用电子邮件(尤其是HTML邮件)、传输文件等,就有可能受到APT威胁。例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击,例如通过内部接入被感染的可移动驱动器(U盘、闪存卡)、其他地方被感染的笔记本电脑等。
2 目前的安全防御体系在挑战中处于劣势地位
面对新一代的网络攻击的挑战,目前的安全防御体系已经无法适应新形势、新技术的发展,在攻防的博弈中处于劣势地位。
第一,在对入侵的预警方面,无法及时发现网络攻击。由于攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现。攻击者还经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,因此,对于这些合法邮件现有的邮件过滤系统无法进行过滤。同时,由于邮件附件中隐含的恶意代码往往都是0day漏洞,现有的邮件内容分析也难以奏效。
第二,在初始的网络渗透前,目前的安全防御、检测设备已经落后。初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御、检测设备无法识别这些0day漏洞攻击。 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。
3 防范新一代网络攻击的应对思考
通过以上的分析,不难看出,要有效地防范新一代的网络攻击,仅仅依赖传统的几台网络安全设备是不可能完成的任务,必须从管理和技术手段两方面入手。
3.1 管理方面的应对
第一,加强培训,增强安全意识及有关警示教育,特别是如何防范邮件攻击方面的培训。从过去的攻击中,攻击者所制造的社会工程陷阱大部分会通过邮件的方式进行部署,如利用常见的网页邮件服务账号、入侵获得的电子邮件账号、伪装的电子邮件账号等手段发送携带漏洞攻击信息的邮件,并通过常见软件的漏洞入侵受害者的电脑。据趋势科技调查显示:在2012年,每天产生的企业电子邮件数量高达890亿封,占邮件总数的60%;一般企业员工平均每天会发送41封、接收100封电子邮件,而收到的邮件中有16%是垃圾邮件。考虑到企业员工需要频繁使用电子邮件,以及攻击者制作社会工程陷阱电子邮件的容易程度,因此,邮件的风险程度愈来愈高,已成为攻击者的敲门砖,防范好这个环节就可以大大降低被攻陷的风险。有一条通用安全法则是:“你不能阻止愚蠢行为发生,但你可以对其加以控制。”许多威胁通过引诱用户点击他们不应理会的链接侵入网络。因此限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的管理措施。
第二,建立健全分级保护制度,严格划分用户的访问权限。攻击者的最终目的就是窃取企业和组织内部的数据,因此严格控制不同的用户对数据的访问权限是防止数据泄露的有效途径。通过建立分级保护制度,将原来的一个大网络按照保护的等级划分为多个子网络,网络之间相互隔离。隔离网络域既包括为避免感染的目的与危险网络域进行隔离,也包括为保护资产的目的而将重要数据网络域与其他域隔离。这样,既可以避免一般用户被攻击者控制后数据的安全,又可以重点防护核心的数据区域及加强掌握核心数据访问权限的人员的重点管理,将有限的安全设备用于重点防护区域。
3.2 技术方面的应对
在技术方面,针对传统安全防护系统的不足及新一代网络攻击的技术特点,针锋相对,改进及采取新的技术手段进行分析和检测。
第一,基于安全信誉系统进行异常检测。安全防护系统的最关键的一环是如何阻止恶性软件进入内部网络,如果能够实时识别恶性软件并进行拦截是最完美的,但是由于攻击技术的不断进步和攻击手段的千变万化,现有的技术和设备要在线实时检测恶性文件内容几乎是一个不可能完成的任务。传统的异常检测是基于攻击特征或模式匹配的,采取黑白名单规则判断。这种简单的判断无法满足现实世界复杂性的需要,容易造成较多的误判。当前,要改进这种简单的判断,采用基于实体信誉的黑白互补的灰度判断。同时,还可以根据安全威胁的态势,动态选择判断阀值的宽严程度,更好地为网络服务。
第二,基于用户身份行为分析技术进行攻击识别。传统入侵检测技术手段无法及时有效地检测到新一代的网络攻击,主要是因为难以从数据包中查找到“恶意字符串”,所以无法及时检测到攻击事件的发生。但是,网络中的每个用户根据各自的工作职责和个人爱好都会形成各自的唯一的行为习惯,而这种行为习惯反映在日常的网络访问活动中就形成了各自的唯一的网络行为。当检测到网络中出现了违背白环境模型的异常行为时,则很可能发生了攻击行为。例如:有一个用户日常的登录时间都在工作日的白天时间,当系统检测到他在深夜时间登录系统时,报警系统就要报警,提示系统管理员进一步检查是否有攻击事件发生。
4 结束语
随着信息技术和社会文明的不断进步,新一代网络攻击必将进一步加强对我们网络的攻击和渗透,我们不可避免地必须面对它的存在,不能存在侥幸心理,要从思想上重视,时刻保持警惕。另一方面,又不能妄自菲薄,自乱阵脚,新一代的网络攻击也不是不可防护的,只要认真地对它进行分析,结合技术和管理的手段,不断改进和完善现有的安全防护体系,网络攻击还是可防可控的。虽然,目前在攻防的博弈中暂时处于劣势,但是通过长期有针对性地努力,我们深信在这场攻防的博弈中一定会重新取得优势。
作者简介:黄嵩(1973—9),男,汉族,广东人,本科,信息系统项目管理师,研究方向为网络安全、项目管理。
|