信息的安全系统三架马车.doc

信息安全三架马车 An alytics+CyberSecurity+Fore nsics --美亚柏科：谢志坚 关键词：趋势分析、即时响应、调查取证 —、互联网信息安全透视 “斯诺登事件”的出现，弓I发了信息安全行业和国家层面网络安全的全民大 讨论。美国政府的“棱镜”计划令各国政府不寒而栗，美国利用全球互联网中心 的地位和本土 IT巨头的配合，长期监控非友好国家如中国俄罗斯等国，甚至盟 友德国政府也不例外。信息安全就像一根绷紧的发条，悬在每个互联网弄潮儿的 头上，越来越多的信息安全需求已经从纸面上摆到桌面上。 公安部(第82号令：互联网安全保护技术措施规定)早于 2005年就制定了 信息安全等级保护和涉密分级保护等信息安全体系，严令政府单位和各大企业根 据自己单位对国家、社会等重要程度不同，制定对应的等保和分保级别。各中小 企业也对自己的内部网络安全也逐渐重视起来。 传统的安全防护，无非就是从管理和技术层面去构建自己的安全体系。管理 上,制定各种管理性的安全制度，细分每个人员的角色权限，审计所有的访问行 为等。技术层面，从0SI七层模层或TCP四层模式上，网络区域划分越来越细， 硬件装备是越来越齐全，各种 Firewall、IPS、IDS、WAF AntiVirus 等设备， 从物理层已经武装到应用层，犹如一张张天网，于是乎觉得网络就已经很安全了， 百毒不侵。 但是，世界并不太平，天下无贼只是奢想。道高一尺，魔高一丈，所谓的安 全，只能是相对安全。中小学生水平的 Tool-User就可以轻松使用DDOSE具攻 击互联网，令很多企业束手无策，zero-day攻击让很多IT人员都不敢轻松度假。 而APT攻击有很长的一段历史，少见有系统的概述，也往往因为周期长，让很多 信息安全人员放松警惕。 网络安全，尤其是互联网安全正在面临前所未有的挑战，现有的主要威胁来 自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为 APT(Advaneed Persistent Threat )攻击，或者称之为“针对特定目标的攻击”。 这种攻击方式有别于传统的网络攻击和应用入侵行为，突破传统现在的防御体 系，直接把现有防护体系变成“马奇诺防线”。 般认为，APT攻击就是就是一场有组织有计划的犯罪计划，目的就是获取 某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过 程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法， 一步一步的获取进入组织内部的权限。 APT往往利用组织内部的人员作为攻击跳 板。有时候，攻击者会针对被攻击对象编写专门的攻击程序， 而非使用一些通用 的攻击代码。 此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝 试各种攻击手段，以及在渗透到网络内部后长期蛰伏， 不断收集各种信息，直到 收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的 基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是 国家核心利益的网络基础设施。对于这些单位而言，尽管已经部署了相对完备的 纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种 单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和 事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和 攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用zero-day 漏洞的攻击）。 1、大中型企业如何面对高级威胁 APT的挑战? 众所周知，网络攻击者经常使用复杂的恶意软件来危害网络和计算机，以窃 取企业的敏感信息。近期，Gartner的报告称可以用五种基本方式来保护企业免 遭攻击，并且建议结合其中两种及以上的方式， 效果会更好。该报告详述了科学 解决隐形攻击（又称先进的持续威胁）的“五种高级威胁防御模式”，简单的传统 安全防御技术如反病毒或防火墙并不包括在其中。这篇报告通过分析一些已经上 市的安全产品，来帮助识别隐形攻击或收集被入侵的系统的相关信息， 也就是所 谓的计算机取证。报告认为，新型的防护体系应该包含 事前发现，事中防护，事 后取证。合理合规的安全体系部署和计算机犯罪取证相结合，寻找入侵关键电子 证据，能有效定位犯罪嫌疑人，进而起诉攻击者，保护公司利益。 事前防护：趋势分析 众多企业了解网络攻击和其它未知风险对他们的系统和数据造成的不可避 免的威胁，也在启发式的安全检测软件投入了资金， 以期对这些威胁做出警告和 防御。多年来，他们努力将众所周知的安全城墙建得尽可能牢固，但也只有办法 检测已知的安全威胁。结果是，就算是最强大的软件也无法保证能够阻止诸如零 日（ zero-day ）漏洞、木马、变形恶意软件或者内部人员渎职等安全威胁渗入