江苏龙网

  1. 主页 > 生活百科 > >

网络攻击防护体系发展趋势与建设思路( 四 )

网络攻击


然而,沙箱逃逸技术的蓬勃发展(即通过主动识别沙箱环境而不执行相关代码、利用时间差埋伏一段时间再启动等),使得对于异常的分析不能完全依赖于沙箱,而是通过异常流量检测、机器学习、关联分析等大数据分析手段进行自适应安全检测 。
三是加大云平台的安全监测能力 。随着Iaas、Paas 等云平台的不断扩充,越来越多的企业核心业务正逐渐从传统的服务器迁移至私有云或混合云 。除了云平台带来的扩展灵活性、高可用性、运维便捷性外,也会带来新的安全挑战 。
虚拟化层hypervisor 的安全漏洞与安全控制问题,如虚拟机逃逸问题,会产生一锅端的较大风险;安全设备和安全防护手段的虚拟化软件化将带来攻击面的扩大 。
云上应用的数据高度集中,用户及权限管理方面管控不严格也存在客户信息泄露风险;系统、网络和存储资源复用,既给数据有效隔离和保护带来挑战,也存在安全风险传导的隐患;原有实体网络之间的网络边界、实体设备之间的物理边界已经模糊,不同安全等级的网络区域整合到了一个网络区域中,给网络边界防护带来挑战;不同安全级别的信息系统使用云平台上同样的资源,对安全分级保护和安全管理增加难度和复杂度 。
但反过来云平台也会给安全防护带来积极的一面,如网络隔离的灵活多样和更精细的颗粒度;全局网络流量的镜像抓取与检测更加容易;安全防护设备虚拟化后的灵活定制能力等 。
因此,我们可以通过几个方面综合提升云平台的安全检测能力进而降低整个云平台的安全风险 。
首先,实现云平台跨虚拟机内部的全流量采集与监测,例如目前有很多针对openstack 的流量监控方案;
其次,通过软件定义安全的方式,充分利用安全防护设备的软件化虚拟化,实现个性化流量监测策略,例如针对不同的web 应用业务实现不同的WAF 策略,而无需像以往一样受限与固定硬件设备的一些掣肘;
再次,实现不同安全防护设备的云化集中监测能力,云平台自身的特性和云计算的强大能力使得各类安全检测设备云化后,安全日志等安全检测信息的整合集中与关联能力更容易获得 。
四是从系统安全检测发展到重视应用和业务层面安全问题的检测能力 。对于资金欺诈、撞库洗库、恶意频繁交易等业务层面的安全检测能力也应该得到进一步加强,主要包括:
1. 外部威胁情报引入与反欺诈系统的联动,例如恶意钓鱼网站、恶意IP等;2. 反欺诈系统监控变量、模型与规则的丰富,例如生物认证信息、移动终端位置信息、更加丰富的移动和固定终端的设备指纹信息等;3. 基于机器学习的异常流量检测和反欺诈交易行为检测 。
综上所述,持续而严密的异常动态安全检测是自适应安全架构的核心,全网流量检测、沙箱技术、大数据分析能力、面向业务安全的检测技术等,共同构成了我们构建下一代信息安全防护体系的核心能力建设目标 。
安全响应阶段
该阶段的目标是一旦外部攻击被识别,将迅速阻断攻击、隔离被感染系统和账户,防止进一步破坏系统或扩散 。
常用的隔离能力包括,终端隔离、网络层IP 封禁与隔离、系统进程、账户冻结、应用层阻断和主动拒绝响应等 。这些响应措施在新一代数据驱动的自适应安全防护体系中最重要的目标是能够跟基于大数据的安全检测系统进行有效对接,自动根据检测结果进行触发或者提示人工判断后自动触发 。
因此,在建立下一代安全防护体系过程中,必须把响应阶段与安全检测阶段一体化考虑 。同时,在做好自身的响应准备时还要充分考虑外部服务商、合作方的共同应急响应或风险传导控制 。
一是一些应用攻击的影响控制需要应用系统侧采取验证码控件、后台交易频率限制、输入过滤等措施进行真正有效的应急处理,但通常这类措施受限与供应商或内部开发团队的影响上线周期过长,因此要提前建立快速响应机制 。
二是使用CDN 服务情况下面临外部攻击时,恶意攻击的阻断和地址封禁等需要CDN厂商同步实施,但其封禁时效性以及CDN 自身入侵防护能力可能存在不足 。如何第一时间从CDN 获取详细信息、如何在CDN 侧响应过慢时主动切换CDN 或者切回源站、如何考核督促CDN 等都是需要高度重视的问题 。
三是系统层面快速阻断与隔离手段通常较网络隔离与封禁等使用的较少,例如进程中止与隔离、文件锁定与隔离、用户会话中断与用户锁定等 。
四是回溯能力不足,一方面需要构建大数据分析平台,还原和展现事件发生前后关键路径上所发生的一切,利用运营商、安全厂商、BAT 等互联网大数据威胁情报进行溯源和快速响应 。


推荐阅读


上一篇:明明是200M宽带,可网络为啥还是那么差?教你轻松突破网速限制

下一篇:要成为一名成功的开发人员,您应该放弃的22件事