技術(shù)
導(dǎo)讀:面對(duì)當(dāng)前的攻擊態(tài)勢(shì),端點(diǎn)安全防護(hù)需要綜合運(yùn)用多種技術(shù)。
2017年5月12日,一個(gè)名為「WannaCry」電腦病毒開(kāi)始席卷全球,通過(guò)惡意加密電腦信息來(lái)向機(jī)主索要解密贖金,這就是后來(lái)名噪一時(shí)的勒索病毒。
勒索病毒攻擊的不僅僅是個(gè)人用戶,還包括眾多企業(yè)用戶。有統(tǒng)計(jì)數(shù)據(jù)顯示,勒索病毒出現(xiàn)當(dāng)天,全球就有近百個(gè)國(guó)家超10萬(wàn)家組織機(jī)構(gòu)被勒索病毒攻擊,僅僅美國(guó)就有1600多家機(jī)構(gòu)遭受攻擊。
隨后幾年里,勒索病毒又多次卷土重來(lái),網(wǎng)絡(luò)安全的重要性由此也被提升到了空前高度。
實(shí)際上,隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)、應(yīng)用態(tài)勢(shì)的巨變,端點(diǎn)的安全體系也在悄然改變。
網(wǎng)絡(luò)攻擊:從炫技到獲利
什么是端點(diǎn)安全?
山石網(wǎng)科規(guī)劃總工孫默告訴至頂網(wǎng),由于端點(diǎn)(包括終端和服務(wù)端)是應(yīng)用程序運(yùn)行的載體,除了極少數(shù)的網(wǎng)絡(luò)攻擊以破壞網(wǎng)絡(luò)為目的,大部分網(wǎng)絡(luò)攻擊是針對(duì)端點(diǎn)進(jìn)行的攻擊。端點(diǎn)數(shù)量巨大,很多用戶也缺乏安全意識(shí),所以控制了端點(diǎn),既可以破壞或竊取數(shù)據(jù),也可以長(zhǎng)期利用算力獲益,比如早期的DDoS,近年來(lái)的挖礦。正因如此,ATT&CK里的攻擊技術(shù)約80%都需要在端點(diǎn)進(jìn)行檢測(cè)。
而從過(guò)去幾十年“黑客帝國(guó)”的崛起來(lái)看,對(duì)于端點(diǎn)的網(wǎng)絡(luò)攻擊一共經(jīng)歷了三次演變。
最早的網(wǎng)絡(luò)攻擊源自于網(wǎng)絡(luò)黑客的炫技,諸如早年間出現(xiàn)的冰河木馬。
冰河木馬,又稱木馬冰河,這款軟件出自國(guó)內(nèi)著名黑客黃鑫(glacier)之手,1999年,還是西安電子科技大學(xué)大四學(xué)生的黃鑫出于個(gè)人愛(ài)好開(kāi)發(fā)了一款可以遠(yuǎn)程控制別人電腦的軟件,取名冰河,這款軟件當(dāng)時(shí)被上傳到網(wǎng)上后迅速在圈內(nèi)傳播開(kāi)來(lái)。
也正是這樣一款軟件,后來(lái)成了中國(guó)木馬軟件的鼻祖。
類似冰河木馬這樣的軟件在早期互聯(lián)網(wǎng)發(fā)展歷史中不勝枚舉,被稱為“世界頭號(hào)黑客”的米特尼克早年間甚至入侵過(guò)大名鼎鼎的美國(guó)聯(lián)邦調(diào)查局(FBI),將FBI正在調(diào)查自己的幾位特工資料改成了罪犯資料。
這個(gè)階段的網(wǎng)絡(luò)攻擊比較“純粹”,幾乎都是黑客編寫(xiě)出一個(gè)“病毒”放到網(wǎng)上,黑客并不會(huì)因此得到什么好處。
2000年后,隨著一些重要行業(yè)的信息化建設(shè)逐漸成熟,網(wǎng)絡(luò)攻擊開(kāi)始進(jìn)入到定向攻擊階段。
這個(gè)階段的網(wǎng)絡(luò)攻擊已經(jīng)不再是簡(jiǎn)單的木馬植入,而是形成了「植入電腦病毒-探測(cè)收集電腦信息-與外部建立連接-向外傳送資料-銷毀入侵證據(jù)-進(jìn)行定向攻擊」一整套復(fù)雜流程。
這類專業(yè)的網(wǎng)絡(luò)攻擊的目標(biāo)一般都是一些重要組織,甚至是國(guó)與國(guó)之間的對(duì)抗,例如2009年伊朗遭受的“震網(wǎng)”攻擊、2015年烏克蘭的電網(wǎng)入侵事件。
2017年勒索病毒的出現(xiàn),標(biāo)志著網(wǎng)絡(luò)攻擊進(jìn)入到了泛網(wǎng)絡(luò)攻擊時(shí)代。
與定向攻擊不同的是,勒索病毒針對(duì)的不是特定的某個(gè)組織或個(gè)人,而是整個(gè)互聯(lián)網(wǎng),只要你的電腦有安全漏洞,或者點(diǎn)開(kāi)了病毒鏈接或郵件,就有可能遭受攻擊,實(shí)際上,這已經(jīng)發(fā)展成了一種全網(wǎng)“薅羊毛”。
時(shí)至今日,網(wǎng)絡(luò)攻擊早已不再是幾個(gè)聰明人的一時(shí)炫技,大多開(kāi)始形成了有規(guī)模、有組織、以獲利為目的利益團(tuán)體,逐漸形成了一個(gè)龐大的灰色產(chǎn)業(yè)。
殺毒軟件的難題
有「矛」就必然有「盾」,這是社會(huì)發(fā)展的客觀規(guī)律。
于是,隨著網(wǎng)絡(luò)攻擊的逐漸興起,也開(kāi)始有一批又一批有志之士投身于網(wǎng)絡(luò)世界的安全構(gòu)建中,與網(wǎng)絡(luò)上的黑客勢(shì)力展開(kāi)生死角逐。
其中影響最為深遠(yuǎn)的,要數(shù)殺毒軟件的誕生。
世界上第一款殺毒軟件誕生于1989年,距今已有26年的發(fā)展歷史,在這二十多年里,殺毒軟件也從最初的數(shù)據(jù)匹配到如今逐漸引入人工智能技術(shù)。
從技術(shù)上來(lái)看,傳統(tǒng)的殺毒軟件一般來(lái)說(shuō)是廠家針對(duì)新發(fā)現(xiàn)的病毒進(jìn)行特征提取,或直接拿文件的MD5作為庫(kù),當(dāng)電腦上有新文件出現(xiàn)或者運(yùn)行殺毒軟件時(shí),就會(huì)將相應(yīng)位置的文件與殺毒軟件的庫(kù)作比對(duì),比對(duì)結(jié)果相符的話,就會(huì)發(fā)出警告并清除文件。
所以傳統(tǒng)的殺毒軟件實(shí)際上是一種針對(duì)計(jì)算機(jī)上文件的防護(hù)技術(shù),這種方式也確實(shí)能比較好地應(yīng)對(duì)很大一部分網(wǎng)絡(luò)攻擊。
不過(guò),從很多年前,殺毒軟件就已經(jīng)開(kāi)始面臨嚴(yán)峻的挑戰(zhàn)。
據(jù)瑞星的統(tǒng)計(jì)數(shù)據(jù)顯示,2021年 瑞星“云安全”系統(tǒng)共截獲病毒樣本總量有1.19億個(gè)。孫默告訴至頂網(wǎng),實(shí)際上,全球網(wǎng)絡(luò)病毒樣本每年新增數(shù)量早在很多年前就已經(jīng)達(dá)到了億級(jí),像勒索病毒這類泛網(wǎng)絡(luò)攻擊,黑客可以不斷的產(chǎn)生變種讓傳統(tǒng)殺毒軟件防不勝防。殺毒軟件由于是一種被動(dòng)防御,所需要的庫(kù)會(huì)越來(lái)越大,實(shí)時(shí)性也會(huì)變得相對(duì)較差。
殺毒軟件的優(yōu)勢(shì)在于相對(duì)易于部署使用,結(jié)果簡(jiǎn)單明了,也能夠起到明顯作用,因而早年間比較流行。隨著網(wǎng)絡(luò)攻擊的種類越來(lái)越多樣,針對(duì)現(xiàn)在高價(jià)值數(shù)字資產(chǎn)的攻擊手段越來(lái)越高明,僅僅依靠殺毒軟件查殺病毒就開(kāi)始顯得比較被動(dòng)。
孫默介紹,面對(duì)當(dāng)前的攻擊態(tài)勢(shì),端點(diǎn)安全防護(hù)需要綜合運(yùn)用多種技術(shù)。
比如基于行為的檢測(cè)與響應(yīng),可以彌補(bǔ)殺軟基于特征匹配對(duì)未知威脅的不足。但每種技術(shù),有優(yōu)勢(shì)也會(huì)有局限性?;谛袨榈臋z測(cè),可以發(fā)現(xiàn)未知威脅,然而誤報(bào)率會(huì)相對(duì)較高,而且針對(duì)發(fā)現(xiàn)的未知威脅,如何排查和清除,也需要IT人員具備更高的專業(yè)水平。
對(duì)企業(yè)來(lái)說(shuō),加強(qiáng)端點(diǎn)操作系統(tǒng)和軟件的補(bǔ)丁管理,也是非常有效的預(yù)防攻擊手段,近年來(lái)造成嚴(yán)重危害的幾次勒索病毒,都屬于利用系統(tǒng)漏洞的蠕蟲(chóng)病毒,打補(bǔ)丁,就相當(dāng)于提高機(jī)體的健康水平。
近年來(lái),企業(yè)員工自帶設(shè)備和遠(yuǎn)程辦公也越來(lái)越普遍,針對(duì)這種場(chǎng)景的終端,除了要加強(qiáng)安全防護(hù),還需要基于終端的屬性、狀態(tài)和環(huán)境等因素,合理的限制其對(duì)企業(yè)內(nèi)網(wǎng)資源的訪問(wèn),防止出現(xiàn)問(wèn)題時(shí)的蔓延擴(kuò)散。
因此,端點(diǎn)安全防護(hù)產(chǎn)品,正在向綜合多種安全技術(shù)的統(tǒng)一端點(diǎn)安全產(chǎn)品演進(jìn)。
企業(yè)的“云”上安全
對(duì)于普通用戶,提到端點(diǎn)安全,更多的是想到PC、移動(dòng)端等終端,而對(duì)于企業(yè)安全管理者來(lái)說(shuō),服務(wù)器的安全防護(hù)會(huì)更加被關(guān)注。
早期服務(wù)器端是以物理機(jī)形式呈現(xiàn),彼時(shí)的安全防護(hù)與終端安全防護(hù)相似,主要是基于操作系統(tǒng)的惡意文件和行為檢測(cè)與防護(hù)。
然而,隨著服務(wù)器端逐漸走向云化,各種開(kāi)源組件被廣泛使用,企業(yè)數(shù)字化業(yè)務(wù)也越來(lái)越豐富。尤其在當(dāng)下企業(yè)數(shù)字化進(jìn)程中,一些大的企業(yè)既有跑在物理機(jī)上的業(yè)務(wù)應(yīng)用,也有跑在虛擬機(jī)的業(yè)務(wù)應(yīng)用,甚至還有一部分新業(yè)務(wù)用到了容器化部署,服務(wù)器端的安全管理就成了一大難題。
孫默提到,服務(wù)器端一方面是云化后的資產(chǎn)梳理、風(fēng)險(xiǎn)管理、訪問(wèn)控制變的復(fù)雜,另一方面,企業(yè)對(duì)業(yè)務(wù)應(yīng)用運(yùn)行的穩(wěn)定性要求很高,這給服務(wù)器威脅防護(hù)都帶來(lái)的更高的要求。
全球知名咨詢機(jī)構(gòu)Gartner也正是意識(shí)到了云端安全防護(hù)的重要性,繼2013年在EPP基礎(chǔ)上提出了EDR(終端檢測(cè)威脅與響應(yīng))后,又在2016年提出了CWPP(云工作負(fù)載安全防護(hù)平臺(tái)),與此同時(shí),國(guó)內(nèi)針對(duì)云端安全防護(hù)的產(chǎn)品也逐漸發(fā)展起來(lái),山石網(wǎng)科在2020年就入選了Gartner CWPP全球市場(chǎng)指南,在云端防護(hù)可以提供覆蓋不同細(xì)分場(chǎng)景的多種產(chǎn)品組合選擇。
針對(duì)云端的安全,孫默也特別指出,數(shù)字化簡(jiǎn)單說(shuō)是把企業(yè)的業(yè)務(wù)和流程搬到線上并且打通,隨著企業(yè)數(shù)字化程度越來(lái)越高,有越來(lái)越多業(yè)務(wù)應(yīng)用部署在云端,CWPP的發(fā)展空間會(huì)越來(lái)越大。
企業(yè)如何選擇端點(diǎn)安全
面對(duì)如此多樣化的端點(diǎn)安全技術(shù),企業(yè)用戶又該如何選擇?
孫默指出,企業(yè)的發(fā)展階段不同,規(guī)模不同,組網(wǎng)不同,業(yè)務(wù)應(yīng)用的重要性不同,在安全防護(hù)上,沒(méi)有標(biāo)準(zhǔn)答案。
比如,當(dāng)一個(gè)企業(yè)業(yè)務(wù)規(guī)模相對(duì)較小時(shí),部署通用的端點(diǎn)安全,同時(shí)通過(guò)網(wǎng)關(guān)加強(qiáng)內(nèi)外網(wǎng)以及內(nèi)部不同區(qū)域之間隔離,采用專業(yè)安全廠家的托管安全服務(wù),是性價(jià)比不錯(cuò)的選項(xiàng)。
而當(dāng)一個(gè)企業(yè)規(guī)模龐大,并且安全管理成熟度也較高時(shí),這樣的企業(yè)更需要的是建立一個(gè)綜合的安全防御體系。在這個(gè)安全防御體系中,終端、網(wǎng)絡(luò)、服務(wù)器端的安全防護(hù)能力,可以通過(guò)部署大數(shù)據(jù)安全分析運(yùn)營(yíng)平臺(tái),將安全事件收集起來(lái)做進(jìn)一步關(guān)聯(lián)分析和響應(yīng),從而對(duì)企業(yè)安全態(tài)勢(shì)有全局的可視可控,提高安全運(yùn)營(yíng)效率。。
所以,對(duì)于企業(yè)而言,端點(diǎn)安全是企業(yè)安全防護(hù)體系的重要一環(huán),應(yīng)該根據(jù)不同發(fā)展階段,建立不同的安全防護(hù)體系,在這個(gè)體系下,選擇適合的端點(diǎn)安全產(chǎn)品和方案。