企业网络安全应急响应终极解决方案.pdf

企业网络安全应急响应终极解决方案 作者elixer@ 2015．4．5 本文《企业网络安全应急响应终极解决方案》与《网络安全应 急响应现状问题与思考》(作者，2012.9.30)为上下篇，旨在解决《 网络安全应急响应现状问题与思考》一文所提出的问题，当发生 网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、入侵检 测、入侵防御等）被突破或当机或无异常显示、防毒软件或被病 毒所劫杀或对病毒不作为时，如何阻击入侵、查杀病毒、恢复系 统？事前制定的网络安全应急响应预案总难以有效应对尚且未 知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备 机切换，大多数公司网络安全应急响应现状如此，与黑客病毒实 施的远程入侵控制相比，技 和手段完全处于非对等的劣势地位 ，能否改变现状，有何解决方案？ 网络安全应急响应目前状况和主要问题有以下几点： 1、重防轻治，以防代治。目前网络安全产品以安全防御为主 ，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、流 量监视、流量控制等等，但网络安全应急救治的产品却处于稀缺 或空白的状态。其表现为基于网络安全防御体系的技 水平现状 ，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何级 数增长，黑客及病毒的技 含量不断提高和攻击手段不断翻新， 黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒 软件现象屡有发生，特别是爆发的大规模传染性网络病毒对提供 公共服务的机构造成社会公共安全事件时有发生。 2、网络安全应急响应尚处于简单低级层次。事前制定的应 急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶 赴现场，无奈断网恢复，或简单备机切换，大多数公司网络安全 应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技 和手段完全处于非对等的劣势地位，缺乏一种快速响应、与黑客 病毒决胜于千里之外的能力。 3、安全防御与应急救治能力失衡，单纯防御必造成投入边 际收益率递减，投资者裹足不前。“预防为主，防治结合”，这句话 人人耳濡目染，但前半句的正确性和合理性成立是有条件的。安 全防御与应急救治，两者的关系如同医学上疾病防疫与疾病救治 的关系一样，以此类比联想，是否所有疾病都可防疫的呢？突发 急病是找治病的医生，还是找疫防的医生呢？百把元即可治愈的 流感有人肯不计成本的去预防它呢？答案是肯定的：1.可预防的 ；2.预防成本小于救治成本，这才是“预防为主，防治结合”正确性 和合理性成立的前提条件。 4、进攻与防御，对攻防双方而言，如同矛与盾关系一样，没 有无坚不摧的矛，也没有坚不可摧的盾，两者相生相克，此消彼 长。防御系统和防毒软件处于明处，往往成为攻防实验室网络攻 击秘密武器绝佳的靶子。基于特征码识别和基于行为模式识别的 防毒软件需要从已知病毒提取特征码和从已知病毒学习行为模 式，所以不可能识别具有未知特征码的未来病毒和具有未知行为 模式的未来病毒。由于防御系统和防毒软件在系统防御中所处位 置以及上述原因，决定了率先被突破、被劫杀的正是它们，由此 进入网络安全应急响应的阶段。 网络安全应急响应最本质特征就在于应急救治，应急体现在 实时响应，救治体现在具有决胜于千里之外的能力。实际上，难 不在于实时响应，而在于入侵检测、病毒识别。若不能解决入侵 检测、病毒识别问题，就无法阻击入侵、查杀病毒，现场情况不明 ，纵有详尽完备的应急响应预案，也只能匆忙赶赴现场，无奈断 网恢复，简单备机切换，而事后取证和补救措施便也成为无的之 失，流于形式，这难以满足网络安全应急响应服务社会化、专业 化发展的要求，更不要说应急响应中心或应急呼叫中心了。 怎样识别病毒呢？病毒识别目前主要有病毒特征码识别和 病毒行为模式识别两种方法，历史上先有特征码识别，后有行为 模式识别。问题是，除此两种方法以外，还有其他的方法吗？防 毒软件多年的使用及取得的巨大成就使这个问题似乎无多大意 义。其实不然，“不识庐山真面目，只缘身在此山中”，下面构造算 法阐明此问题。 算法I. 设当前病毒文件有全集U ，经采集病毒样本并提取特征码和行为 模式后构成样本集合S，现有任一文件f,其特征码和行为模式为a, 只有四种可能：1.f∈U, a∈S,识别正确；2.f∉U, a∉S,识别正确；3.f∉U, a∈S,假阳性误报；4.f∈U, a∉S,假阴性漏报。此算法即