導讀:面對當前的攻擊態(tài)勢,端點安全防護需要綜合運用多種技術(shù)。
2017年5月12日,一個名為「WannaCry」電腦病毒開始席卷全球,通過惡意加密電腦信息來向機主索要解密贖金,這就是后來名噪一時的勒索病毒。
勒索病毒攻擊的不僅僅是個人用戶,還包括眾多企業(yè)用戶。有統(tǒng)計數(shù)據(jù)顯示,勒索病毒出現(xiàn)當天,全球就有近百個國家超10萬家組織機構(gòu)被勒索病毒攻擊,僅僅美國就有1600多家機構(gòu)遭受攻擊。
隨后幾年里,勒索病毒又多次卷土重來,網(wǎng)絡(luò)安全的重要性由此也被提升到了空前高度。
實際上,隨著萬物互聯(lián)時代的到來、應(yīng)用態(tài)勢的巨變,端點的安全體系也在悄然改變。
網(wǎng)絡(luò)攻擊:從炫技到獲利
什么是端點安全?
山石網(wǎng)科規(guī)劃總工孫默告訴至頂網(wǎng),由于端點(包括終端和服務(wù)端)是應(yīng)用程序運行的載體,除了極少數(shù)的網(wǎng)絡(luò)攻擊以破壞網(wǎng)絡(luò)為目的,大部分網(wǎng)絡(luò)攻擊是針對端點進行的攻擊。端點數(shù)量巨大,很多用戶也缺乏安全意識,所以控制了端點,既可以破壞或竊取數(shù)據(jù),也可以長期利用算力獲益,比如早期的DDoS,近年來的挖礦。正因如此,ATT&CK里的攻擊技術(shù)約80%都需要在端點進行檢測。
而從過去幾十年“黑客帝國”的崛起來看,對于端點的網(wǎng)絡(luò)攻擊一共經(jīng)歷了三次演變。
最早的網(wǎng)絡(luò)攻擊源自于網(wǎng)絡(luò)黑客的炫技,諸如早年間出現(xiàn)的冰河木馬。
冰河木馬,又稱木馬冰河,這款軟件出自國內(nèi)著名黑客黃鑫(glacier)之手,1999年,還是西安電子科技大學大四學生的黃鑫出于個人愛好開發(fā)了一款可以遠程控制別人電腦的軟件,取名冰河,這款軟件當時被上傳到網(wǎng)上后迅速在圈內(nèi)傳播開來。
也正是這樣一款軟件,后來成了中國木馬軟件的鼻祖。
類似冰河木馬這樣的軟件在早期互聯(lián)網(wǎng)發(fā)展歷史中不勝枚舉,被稱為“世界頭號黑客”的米特尼克早年間甚至入侵過大名鼎鼎的美國聯(lián)邦調(diào)查局(FBI),將FBI正在調(diào)查自己的幾位特工資料改成了罪犯資料。
這個階段的網(wǎng)絡(luò)攻擊比較“純粹”,幾乎都是黑客編寫出一個“病毒”放到網(wǎng)上,黑客并不會因此得到什么好處。
2000年后,隨著一些重要行業(yè)的信息化建設(shè)逐漸成熟,網(wǎng)絡(luò)攻擊開始進入到定向攻擊階段。
這個階段的網(wǎng)絡(luò)攻擊已經(jīng)不再是簡單的木馬植入,而是形成了「植入電腦病毒-探測收集電腦信息-與外部建立連接-向外傳送資料-銷毀入侵證據(jù)-進行定向攻擊」一整套復雜流程。
這類專業(yè)的網(wǎng)絡(luò)攻擊的目標一般都是一些重要組織,甚至是國與國之間的對抗,例如2009年伊朗遭受的“震網(wǎng)”攻擊、2015年烏克蘭的電網(wǎng)入侵事件。
2017年勒索病毒的出現(xiàn),標志著網(wǎng)絡(luò)攻擊進入到了泛網(wǎng)絡(luò)攻擊時代。
與定向攻擊不同的是,勒索病毒針對的不是特定的某個組織或個人,而是整個互聯(lián)網(wǎng),只要你的電腦有安全漏洞,或者點開了病毒鏈接或郵件,就有可能遭受攻擊,實際上,這已經(jīng)發(fā)展成了一種全網(wǎng)“薅羊毛”。
時至今日,網(wǎng)絡(luò)攻擊早已不再是幾個聰明人的一時炫技,大多開始形成了有規(guī)模、有組織、以獲利為目的利益團體,逐漸形成了一個龐大的灰色產(chǎn)業(yè)。
殺毒軟件的難題
有「矛」就必然有「盾」,這是社會發(fā)展的客觀規(guī)律。
于是,隨著網(wǎng)絡(luò)攻擊的逐漸興起,也開始有一批又一批有志之士投身于網(wǎng)絡(luò)世界的安全構(gòu)建中,與網(wǎng)絡(luò)上的黑客勢力展開生死角逐。
其中影響最為深遠的,要數(shù)殺毒軟件的誕生。
世界上第一款殺毒軟件誕生于1989年,距今已有26年的發(fā)展歷史,在這二十多年里,殺毒軟件也從最初的數(shù)據(jù)匹配到如今逐漸引入人工智能技術(shù)。
從技術(shù)上來看,傳統(tǒng)的殺毒軟件一般來說是廠家針對新發(fā)現(xiàn)的病毒進行特征提取,或直接拿文件的MD5作為庫,當電腦上有新文件出現(xiàn)或者運行殺毒軟件時,就會將相應(yīng)位置的文件與殺毒軟件的庫作比對,比對結(jié)果相符的話,就會發(fā)出警告并清除文件。
所以傳統(tǒng)的殺毒軟件實際上是一種針對計算機上文件的防護技術(shù),這種方式也確實能比較好地應(yīng)對很大一部分網(wǎng)絡(luò)攻擊。
不過,從很多年前,殺毒軟件就已經(jīng)開始面臨嚴峻的挑戰(zhàn)。
據(jù)瑞星的統(tǒng)計數(shù)據(jù)顯示,2021年 瑞星“云安全”系統(tǒng)共截獲病毒樣本總量有1.19億個。孫默告訴至頂網(wǎng),實際上,全球網(wǎng)絡(luò)病毒樣本每年新增數(shù)量早在很多年前就已經(jīng)達到了億級,像勒索病毒這類泛網(wǎng)絡(luò)攻擊,黑客可以不斷的產(chǎn)生變種讓傳統(tǒng)殺毒軟件防不勝防。殺毒軟件由于是一種被動防御,所需要的庫會越來越大,實時性也會變得相對較差。
殺毒軟件的優(yōu)勢在于相對易于部署使用,結(jié)果簡單明了,也能夠起到明顯作用,因而早年間比較流行。隨著網(wǎng)絡(luò)攻擊的種類越來越多樣,針對現(xiàn)在高價值數(shù)字資產(chǎn)的攻擊手段越來越高明,僅僅依靠殺毒軟件查殺病毒就開始顯得比較被動。
孫默介紹,面對當前的攻擊態(tài)勢,端點安全防護需要綜合運用多種技術(shù)。
比如基于行為的檢測與響應(yīng),可以彌補殺軟基于特征匹配對未知威脅的不足。但每種技術(shù),有優(yōu)勢也會有局限性?;谛袨榈臋z測,可以發(fā)現(xiàn)未知威脅,然而誤報率會相對較高,而且針對發(fā)現(xiàn)的未知威脅,如何排查和清除,也需要IT人員具備更高的專業(yè)水平。
對企業(yè)來說,加強端點操作系統(tǒng)和軟件的補丁管理,也是非常有效的預防攻擊手段,近年來造成嚴重危害的幾次勒索病毒,都屬于利用系統(tǒng)漏洞的蠕蟲病毒,打補丁,就相當于提高機體的健康水平。
近年來,企業(yè)員工自帶設(shè)備和遠程辦公也越來越普遍,針對這種場景的終端,除了要加強安全防護,還需要基于終端的屬性、狀態(tài)和環(huán)境等因素,合理的限制其對企業(yè)內(nèi)網(wǎng)資源的訪問,防止出現(xiàn)問題時的蔓延擴散。
因此,端點安全防護產(chǎn)品,正在向綜合多種安全技術(shù)的統(tǒng)一端點安全產(chǎn)品演進。
企業(yè)的“云”上安全
對于普通用戶,提到端點安全,更多的是想到PC、移動端等終端,而對于企業(yè)安全管理者來說,服務(wù)器的安全防護會更加被關(guān)注。
早期服務(wù)器端是以物理機形式呈現(xiàn),彼時的安全防護與終端安全防護相似,主要是基于操作系統(tǒng)的惡意文件和行為檢測與防護。
然而,隨著服務(wù)器端逐漸走向云化,各種開源組件被廣泛使用,企業(yè)數(shù)字化業(yè)務(wù)也越來越豐富。尤其在當下企業(yè)數(shù)字化進程中,一些大的企業(yè)既有跑在物理機上的業(yè)務(wù)應(yīng)用,也有跑在虛擬機的業(yè)務(wù)應(yīng)用,甚至還有一部分新業(yè)務(wù)用到了容器化部署,服務(wù)器端的安全管理就成了一大難題。
孫默提到,服務(wù)器端一方面是云化后的資產(chǎn)梳理、風險管理、訪問控制變的復雜,另一方面,企業(yè)對業(yè)務(wù)應(yīng)用運行的穩(wěn)定性要求很高,這給服務(wù)器威脅防護都帶來的更高的要求。
全球知名咨詢機構(gòu)Gartner也正是意識到了云端安全防護的重要性,繼2013年在EPP基礎(chǔ)上提出了EDR(終端檢測威脅與響應(yīng))后,又在2016年提出了CWPP(云工作負載安全防護平臺),與此同時,國內(nèi)針對云端安全防護的產(chǎn)品也逐漸發(fā)展起來,山石網(wǎng)科在2020年就入選了Gartner CWPP全球市場指南,在云端防護可以提供覆蓋不同細分場景的多種產(chǎn)品組合選擇。
針對云端的安全,孫默也特別指出,數(shù)字化簡單說是把企業(yè)的業(yè)務(wù)和流程搬到線上并且打通,隨著企業(yè)數(shù)字化程度越來越高,有越來越多業(yè)務(wù)應(yīng)用部署在云端,CWPP的發(fā)展空間會越來越大。
企業(yè)如何選擇端點安全
面對如此多樣化的端點安全技術(shù),企業(yè)用戶又該如何選擇?
孫默指出,企業(yè)的發(fā)展階段不同,規(guī)模不同,組網(wǎng)不同,業(yè)務(wù)應(yīng)用的重要性不同,在安全防護上,沒有標準答案。
比如,當一個企業(yè)業(yè)務(wù)規(guī)模相對較小時,部署通用的端點安全,同時通過網(wǎng)關(guān)加強內(nèi)外網(wǎng)以及內(nèi)部不同區(qū)域之間隔離,采用專業(yè)安全廠家的托管安全服務(wù),是性價比不錯的選項。
而當一個企業(yè)規(guī)模龐大,并且安全管理成熟度也較高時,這樣的企業(yè)更需要的是建立一個綜合的安全防御體系。在這個安全防御體系中,終端、網(wǎng)絡(luò)、服務(wù)器端的安全防護能力,可以通過部署大數(shù)據(jù)安全分析運營平臺,將安全事件收集起來做進一步關(guān)聯(lián)分析和響應(yīng),從而對企業(yè)安全態(tài)勢有全局的可視可控,提高安全運營效率。。
所以,對于企業(yè)而言,端點安全是企業(yè)安全防護體系的重要一環(huán),應(yīng)該根據(jù)不同發(fā)展階段,建立不同的安全防護體系,在這個體系下,選擇適合的端點安全產(chǎn)品和方案。