随着网络安全形势日渐严峻,厂商对网络安全防御也十分警惕,与此同时,随着厂商对安全威胁的理解深入与技术创新,防护和抵御手段不断涌现,催生了新网络安全环境下令人期待的产业。
网络安全攻击通常可植入后门程序或者控制漏洞,隐匿地获取被攻击方的信息和数据。APT攻击通常不仅仅为了短时间内攻破对方信息系统,而是长年累月的潜伏在对象系统直至完成收集或者破坏任务。由于APT攻击通过长达数年的观察、分析、监视至掌控,一旦获取到重要的情报信息或是需要完成破坏任务,那么将整个数据库全部转移甚至将被全部摧毁也是轻而易举,破坏程度之大甚于原来的所有攻击方式。
APT攻击中通常使用0day漏洞,即官方软件厂商或者网上尚未公开发布补丁的漏洞。由于其动机和目的的隐秘性,在公开环境中很难探寻到特定APT攻击的踪迹。另外攻击的方式具有战术思想,在发动多种混合攻击的同时善于将主要的攻击手段隐藏在内,传统的防御措施束手无策或者仅能识别防御其小部分的伪装攻击,而无法全局控制和抵御真正的威胁。
从目前的攻击方式及手段来看,主要通过网络审计监测三种方式进行抵御与防护。
最小网络授权源于安全领域顶尖咨询机构Forrester提出的“零信任网络”概念。其认为所有的流量都不可信,无论访问来自于何种位置,都必须遵守最严格的控制访问策略。作为隔断内部网络和外部网络第一道防线的防火墙是最基础的角色,通过限制网络互访来保护内网资源。
传统的防火墙分为四种类型,包过滤、状态性协议监测、网络地址转换(NAT)以及虚拟私用网络接入(VPN),主要适用于OSI模型中传输层与网络层的防护。而随着攻击技术的不断升级,传统的防火墙存在着无法检测加密Web流量、对于Web应用防护能力不足、深度检测扩展能力有限、遭遇攻击时有效流量无法通过等问题,日渐难以对应未来的复杂网络威胁环境。
于是,下一代防火墙(NGFW)应运而生,其能够支持全面面向安全漏洞与威胁的特征码,动态启发性的探测攻击方式及手段,同时能够识别在应用和应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务部署网络安全政策,有效的弥补了传统安全设备在设备性能、访问控制、应用识别和内容安全等方面的缺陷,在未来相当长的阶段中能较为成功的承担起Forrester“零信任网络”模型中网络隔离网关的角色。
对于企业内部信息系统而言,网络应用的管理成为防御APT攻击的重要方式,相对应的安全防护产品应用防护系统(WAF)成为完善这一方式的有利手段。WAF是执行系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款产品,主要面向Web服务器。虽然与下一代防火墙同为在应用层层面的防护,但是两者的部署位置与防护对象均不同。从防护对象来说,NGFW的防护对象是网络中的外部应用,例如P2P下载、外部网页访问等,而WAF的防护对象主要是内部服务器,两款产品的保护对象、防护的威胁种类、安全需求均不同。其次,从部署位置来说,NGFW一般部署在整个网络的网关位置,而WAF部署在WEB服务器之前,二者的性能压力也完全不同。
在面对APT的混合攻击时以上防护方式可能也会存在百密一疏,或者更新的APT攻击手段超越了目前的业界已有的防护措施。细致、精确的网络审计监测系统则成为监测预警、过程记录、事后追溯的强有力手段。在为自身业务提供高效的网络运营平台同时,日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁,如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问、网络文件共享等方式被篡改、泄露和窃取,都极有可能成为APT攻击者发现、利用并进行长期潜伏、日后破坏的手段。
敏感信息传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,成为防御APT攻击的重要方式和手段,网络安全审计系统成为必不可少的组件,只有这样,才能保证杜绝网络攻击事件发生。