從技術(shù)炫耀到獲取經(jīng)濟(jì)利益，再到國(guó)與國(guó)之間的政治目的，今天的黑客胃口已經(jīng)越來越大。機(jī)構(gòu)所面臨的威脅和攻擊也變得日益復(fù)雜和持久。新威脅當(dāng)前，傳統(tǒng)安全架構(gòu)正變得力不從心。新的安全架構(gòu)亟待重構(gòu)。

近日，針對(duì)近期安全威脅動(dòng)態(tài)、智能安全等話題，邁克菲副總裁兼亞太區(qū)首席技術(shù)官M(fèi)ichael Sentonas接受了記者專訪。

日益復(fù)雜的亞洲安全威脅

Sentonas說，利用Ransomware攻擊現(xiàn)在已經(jīng)成為亞洲日益典型的一種攻擊方式。這種攻擊，無意運(yùn)行惡意軟件，但一旦PC被這種惡意軟件感染，PC上的個(gè)人信息就會(huì)被非正常地加密。用戶再訪問PC時(shí)，攻擊者就會(huì)發(fā)出信息，向你勒索錢財(cái)。這種勒索型攻擊過去十年在歐洲非常普遍，被攻擊者被勒索的錢財(cái)少到上百美元，多到幾千美元。

現(xiàn)在，惡意URL攻擊數(shù)量達(dá)到了每月400萬個(gè)，攻擊者針對(duì)存儲(chǔ)堆棧、設(shè)備發(fā)起的攻擊會(huì)將機(jī)器內(nèi)所有數(shù)據(jù)毀壞，如，韓國(guó)一些銀行遭攻擊后，設(shè)備變得全部不可用。

移動(dòng)領(lǐng)域惡意軟件的變化是另一個(gè)新趨勢(shì)。去年，新增的移動(dòng)惡意軟件達(dá)到了3.7萬個(gè)。Sentonas認(rèn)為，未來我們還會(huì)持續(xù)看到移動(dòng)惡意的攻擊。而移動(dòng)惡意軟件爆發(fā)的原因是，今天人們所用的移動(dòng)設(shè)備更多，移動(dòng)設(shè)備自身功能也更多了。用戶對(duì)智能手機(jī)等移動(dòng)設(shè)備的安全狀況并不像對(duì)PC那樣了解，他們對(duì)移動(dòng)應(yīng)用的安全防護(hù)也不還不如在PC上所做的，然而，攻擊者卻知道移動(dòng)領(lǐng)域中的安全漏洞，并開始對(duì)其大肆利用。

最近，以韓國(guó)為代表，亞洲出現(xiàn)了越來越多的專業(yè)黑客攻擊，包括中國(guó)在內(nèi)的亞洲地區(qū)針對(duì)性攻擊數(shù)量也在繼續(xù)增加。攻擊者主要針對(duì)政府、銀行、大型企業(yè)進(jìn)行攻擊，目標(biāo)是從數(shù)據(jù)庫中盜取信息。對(duì)于那些補(bǔ)丁未更新，未安裝安全軟件的系統(tǒng)而言，很容易中招。

Sentonas表示，總體來看，在這個(gè)充滿變數(shù)的時(shí)代，亞洲地區(qū)安全威脅正變得日益復(fù)雜，安全問題也更加嚴(yán)重。

傳統(tǒng)安全架構(gòu)力不從心

大約在一個(gè)月之前，韓國(guó)銀行和媒體在同一時(shí)間遭受到多起攻擊，另外還有更多的企業(yè)業(yè)務(wù)運(yùn)行中斷，內(nèi)網(wǎng)計(jì)算機(jī)黑屏、網(wǎng)絡(luò)凍結(jié)，在4~5天后，業(yè)務(wù)才完全恢復(fù)時(shí)。這是一場(chǎng)典型的APT攻擊。對(duì)此類攻擊，該如何防御?傳統(tǒng)安全架構(gòu)是否夠用?

Michael Sentonas稱，邁克菲對(duì)韓國(guó)銀行遭受到的本輪攻擊進(jìn)行深入分析后發(fā)現(xiàn)，如果銀行客戶安裝的軟件和解決方案是正確、可行、有效的，這種攻擊完全可以被攔截。而在目前，很多韓國(guó)及亞太地區(qū)其他國(guó)家銀行都還只是使用一些傳統(tǒng)的殺毒軟件產(chǎn)品。

目前，大多數(shù)企業(yè)安全架構(gòu)都是針對(duì)傳統(tǒng)安全威脅，但今天，威脅正在發(fā)生巨大改變。Michael Sentonas認(rèn)為，企業(yè)需要調(diào)整原有安全架構(gòu)來應(yīng)對(duì)變化，對(duì)于防火墻、殺毒軟件、IDS等傳統(tǒng)安全技術(shù)或產(chǎn)品，也需要重新考慮。如，在終端安全方面，邁克菲推出了采用白名單技術(shù)的產(chǎn)品，在此技術(shù)下，企業(yè)不需要考慮病毒特征，只要允許受信任的應(yīng)用運(yùn)行在系統(tǒng)中。

在Sentonas看來，下一代防護(hù)入侵技術(shù)應(yīng)該是可以感知應(yīng)用的。攻擊一旦來臨，企業(yè)應(yīng)該知情，而現(xiàn)在的問題是：很多企業(yè)已經(jīng)受到攻擊時(shí)還并不知情。我們需要先知道安全問題所在，然后對(duì)其進(jìn)行管理。而在安全可視性的問題上，SIEM(安全信息與事件管理)至關(guān)重要。傳統(tǒng)的SIEM解決方案更多是做合規(guī)和日志管理，但在今天的威脅環(huán)境下，這遠(yuǎn)遠(yuǎn)不夠。我們需要了解整個(gè)網(wǎng)絡(luò)異常情況，在應(yīng)用層了解數(shù)據(jù)偷竊如何發(fā)生，在協(xié)議層和文檔層進(jìn)行更多保護(hù)。在了解攻擊的基礎(chǔ)上選用適當(dāng)?shù)陌踩a(chǎn)品，最后評(píng)估是否實(shí)現(xiàn)了預(yù)期的防護(hù)效果。

智能安全應(yīng)對(duì)新威脅

面對(duì)今天的新威脅，很多安全廠商都開始致力于為客戶提供智能的安全解決方案，幫助用戶改變傳統(tǒng)安全架構(gòu)。但究竟智能安全如何界定?智能安全的架構(gòu)應(yīng)該如何搭建?

Michael Sentonas表示，今天很多安全廠商所說的智能安全仍然是被動(dòng)響應(yīng)式的安全方案，這并不符合智能安全的要求。在母公司英特爾的支持下，邁克菲將安全做到操作系統(tǒng)下層，用戶在啟動(dòng)PC設(shè)備時(shí)，在Windows操作系統(tǒng)正式啟動(dòng)之前，安全就已經(jīng)啟動(dòng)，由此實(shí)現(xiàn)對(duì)整個(gè)設(shè)備的安全保護(hù)，并且無需持續(xù)要求用戶打補(bǔ)丁。

智能安全的目標(biāo)是讓終端用戶面對(duì)新威脅能簡(jiǎn)單方便地實(shí)現(xiàn)安全防護(hù)，而無需不斷的升級(jí)調(diào)整。在Sentonas看來，SIEM是智能安全系統(tǒng)中非常重要的領(lǐng)域，它被要求對(duì)不同攻擊有更高可視度。未來，SIEM產(chǎn)品和解決方案面臨革命性創(chuàng)新。邁克菲的SIEM產(chǎn)品可將其全球威脅智能感知系統(tǒng)與應(yīng)用、終端、網(wǎng)絡(luò)、數(shù)據(jù)庫等其他渠道信息進(jìn)行整合，對(duì)安全數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，由此增強(qiáng)SIEM產(chǎn)品的可視性此外，IPS、防火墻等技術(shù)也被融入SIEM解決方案中。

為應(yīng)對(duì)安全威脅的巨大變化，邁克菲年初宣布，未來將安全互聯(lián)平臺(tái)作為其安全互聯(lián)戰(zhàn)略中具有革命性的步驟，安全互聯(lián)平臺(tái)將不同技術(shù)整合，提供實(shí)時(shí)智能威脅信息的分析，針對(duì)攻擊進(jìn)行快速響應(yīng)。在此戰(zhàn)略下，邁克菲正致力于聯(lián)合產(chǎn)業(yè)鏈的各方力量，在一些項(xiàng)目中創(chuàng)建信息和數(shù)據(jù)的交換層，更多地將邁克菲的技術(shù)和收集到的安全信息跟其他安全廠商技術(shù)和信息實(shí)現(xiàn)共享。在這個(gè)可擴(kuò)展的框架下，邁克菲安全互聯(lián)平臺(tái)目前已擁有超過140家合作伙伴，這一數(shù)量還在以一兩個(gè)月內(nèi)增加10個(gè)左右的速度增加，這些合作伙伴也能在平臺(tái)上整合自己的產(chǎn)品。