江苏龙网

  1. 主页 > 生活百科 > >

网络攻击防护体系发展趋势与建设思路( 三 )

网络攻击


利用这些情报成为后续防护、检查和响应的基础,我们可以与现有防护系统充分结合,自下而上在网络、系统、终端、应用、业务各个层面进行外部攻击的有效预防 。
例如,可以将恶意远程控制服务器地址纳入网络流分析检测工具中,及时阻断可疑的外部连接情况;将互联网上已检测到的恶意代码特征、异常行为模式等同步到IPS、HIDS、沙箱工具;通过App等提示并拦截客户对假冒网站的访问;根据外部攻击的手法和目标等情报信息,主动调整DDoS和WAF 的防护策略等等 。
相关资料显示,65%的企业和政府机构计划使用外部威胁情报服务增强安全检测和防护能力 。威胁情报的引入,是从被动式防护专向主动式预防的重要基石 。
安全防护阶段
该阶段的目标是通过一系列安全策略集、产品和服务可以用于防御攻击 。
这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作,主要分为加固与隔离、漏洞与补丁管理、转移攻击等三个方面 。
加固与隔离方面,大部分企业在系统、网络及终端方面进行了大量的投入和系统建设,包括使用防火墙、VLAN 等对不同网络安全区域进行隔离和访问策略控制,终端的802.1x 准入控制与隔离,各类系统、网络设备的安全补丁以及安全配置加固 。
但是在应用方面特别是web应用和移动app 安全加固方面还做的不够,包括没有限制用户输入字符串的长度、使用了SQL语句拼接且没有主动过滤非法字符、未安装限制频繁撞库的验证码控件、未在后台限制频繁交易次数等 。
这些加固控制措施都是必须结合应用自身特点进行设置,并非简单通过IPS、DDoS、WAF 等防护设备就能阻挡此类利用正常应用对外服务渠道和业务逻辑发起的外部攻击 。
因此,应进一步加大对应用安全加固问题的重视,如应用安全代码检测和应用安全设计应该放在更重要的位置,特别是对逐渐引入的生物特征识别与认证技术、物联网技术的安全性研究,作为从系统安全到业务驱动安全转变的重要支撑 。
漏洞与补丁管理方面,尽管大多数企业都引入了漏洞扫描工具,并建立了漏洞发现、分析、补丁修复的完整工作机制,但漏洞与补丁管理最容易在两个方面产生疏漏,一是漏洞情报获取的滞后,二是设备资产梳理不清 。非常容易导致信息安全的木桶效应,即一块短板导致整个防线崩溃 。
漏洞情报获取的时效性提升可以纳入到前面说讲的威胁情报收集工作中,尽可能从外部更快速的渠道获取并以可机读的方式与防护系统联动;设备资产清单梳理方面,资产的梳理范围和颗粒度划分、以及信息采集的自动化程度是制约设备资产请安管理工作取得实质性成效的重要因素 。
然而现实中,大多数企业都不重视物联网设备如视频监控、自助机具等如今可以被入侵或当作攻击肉鸡的联网设备清单,缺少Struts2、Open SSL 等组件分布情况快速收集的能力等 。
转移攻击方面,简单来说,该功能可是企业在黑客攻防中获得时间上的非对称优势,通过蜜罐、系统镜像与隐藏等多种技术使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏、混淆系统接口和系统信息 。
此项技术对于研究攻击者手法、检测防护系统不足甚至刻画黑客的攻击画像等都十分有利,但考虑到该类技术的应用场景复杂性,引入时应考虑更加全面充分 。
安全检测阶段
该阶段的主要目标是及时发现各类外部直接的或潜伏的攻击 。在这个阶段是传统安全防护体系中,各个企业投入最大且最为依赖的部分,因此也是构建数据驱动的自适应安全防护架构最需要做出改变的阶段 。
一是从传统的只重视边界流量(如互联网与第三方入口的IPS)的安全检测,发展为全流量检测或至少具备任一网络关键路径流量的检测能力,因为攻击者不可避免地会绕过传统的拦截和预防机制,一旦进入内部传统的检测防护机制就难以发现 。
二是从静态的基于特征码的检测,如目前的IPS、防病毒、WAF 等,发展到基于异常的动态检测,正如前面提到的,很多APT 攻击者利用的是0day 漏洞或者利用经过多态和变形的恶意代码进行攻击,无法被传统基于特征码的检测手段发现,但通过异常行为分析是有可能发现的 。
目前业界主要通过进入沙箱检测技术,将网络、终端、邮件等系统中获取到的可执行文件等在沙箱环境运行,并观察相关进程创建或调用、文件或资源访问行为、注册表修改等是否存在异常 。


推荐阅读


上一篇:明明是200M宽带,可网络为啥还是那么差?教你轻松突破网速限制

下一篇:要成为一名成功的开发人员,您应该放弃的22件事