伴隨著各種新型網(wǎng)絡(luò)攻擊的出現(xiàn)，企業(yè)信息安全形勢變得不容樂觀，特別是銀行、大型國企等機(jī)構(gòu)，正在成為受攻擊的主要對象。高級持續(xù)性威脅(APT，Advanced Persistent Threat)是眾多攻擊手段中破壞性極強(qiáng)的一種，特點(diǎn)在于其不可預(yù)見性，一切的破壞都是“突襲”，已成為各級各類網(wǎng)絡(luò)所面臨的主要安全威脅，使得各級單位機(jī)構(gòu)對于內(nèi)網(wǎng)安全的投入依舊是“杯水車薪”。也正因如此，企業(yè)級信息安全迎來了新挑戰(zhàn)。

[[159942]]

中睿天下iLab安全實驗室負(fù)責(zé)人白應(yīng)東

傳統(tǒng)安全設(shè)備存短板

防火墻，一種典型的邊界設(shè)備，通過訪問控制來阻斷外部威脅。但隨著Web服務(wù)的不斷發(fā)展，隱藏在HTTP等基礎(chǔ)協(xié)議之上的應(yīng)用層攻擊越來越多。而攻擊手法也相對隱蔽，其行為相當(dāng)于一次正常的Web訪問，此時防火墻是無法識別和阻止的，同時也不能阻止來自內(nèi)部的攻擊。于是入侵檢測(IDS)、入侵防御(IPS)等安全設(shè)備應(yīng)運(yùn)而生，通過模式匹配、協(xié)議分析、異常流量統(tǒng)計等特征匹配方式進(jìn)行檢測攻擊，其特點(diǎn)是主要針對已知的攻擊類型。

但是特征的“偽裝”在今天也變得異常容易，只需修改一個“二進(jìn)制代碼”即可改變木馬的特征。因此依靠匹配模式進(jìn)行“掃蕩”顯得有些力不從心，我們必須轉(zhuǎn)變思路，采取新的形式。

為了在目前快速的攻防對抗中獲得優(yōu)勢，中睿天下以大數(shù)據(jù)為支撐，以溯源技術(shù)為核心，研發(fā)了睿眼系列攻擊溯源設(shè)備。通過深度把握網(wǎng)絡(luò)中攻擊源、攻擊工具、攻擊手法、被攻擊者等要素，來實現(xiàn)已知威脅檢測和未知威脅檢測。首創(chuàng)的攻擊模型檢測方式，與現(xiàn)有的高級攻擊(如APT)針尖對麥芒，即使君有疾在腠理，睿眼也可像“扁鵲”一樣實時將威脅檢出。即使部署睿眼之前資產(chǎn)服務(wù)器已被植入后門，一旦后門被利用，睿眼立即就可將其抓出。

中睿天下iLab安全實驗室負(fù)責(zé)人白應(yīng)東表示：”睿眼的最大優(yōu)勢在于彌補(bǔ)了傳統(tǒng)IDS和IPS防御的不足。基于強(qiáng)大的攻擊溯源技術(shù)能夠有效解決傳統(tǒng)安全設(shè)備無法檢測的未知威脅。“

高調(diào)做事的iLAB實驗室

面對復(fù)雜不可控的APT攻擊，中睿天下的iLAB實驗室不同于其他安全研究機(jī)構(gòu)，立足服務(wù)用戶。研究的都是用戶最為關(guān)心的問題，如攻擊者的背景、目的以及來源、攻擊過程等。白應(yīng)東表示：80%的APT攻擊開始于web攻擊，睿眼能夠在APT攻擊發(fā)起之時及時發(fā)現(xiàn)并采取措施。不僅如此，iLAB實驗室還與其他互聯(lián)網(wǎng)安全廠商建立了PB級的數(shù)據(jù)資源共享的合作，為提供攻擊溯源做了后援保障。

不僅如此，在威脅分析方面iLAB實驗室也有專業(yè)的人才團(tuán)隊。在非人工干預(yù)的情況下,記錄網(wǎng)站訪問者的“指紋”，包括攻擊行為、攻擊手法等能辨析攻擊者身份的數(shù)據(jù)。把這些數(shù)據(jù)與指紋庫的攻擊模型進(jìn)行匹配，確定是否是攻擊行為并加以評級。這不僅需要對各種攻擊行為非常熟悉，必要時還需要進(jìn)行人工分析。

iLAB實驗室依靠睿眼WEB攻擊威脅溯源系統(tǒng)，再加上專家團(tuán)隊、大數(shù)據(jù)溯源中心的支撐，實現(xiàn)了威脅分析、攻擊溯源、策略改進(jìn)三方面的持續(xù)閉環(huán)防護(hù)，能夠在傳統(tǒng)安全設(shè)備的防護(hù)基礎(chǔ)上，明顯改進(jìn)Web防護(hù)的效果。

睿眼WEB攻擊威脅溯源系統(tǒng)的工作原理是對鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問、下載的文件、及時通信信息進(jìn)行還原，協(xié)助確認(rèn)攻擊的完整過程。這種方案具備強(qiáng)大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機(jī)強(qiáng)大的存儲能力和運(yùn)算能力相結(jié)合的完整解決方案。

請讓睿眼為安全買單

在近期出臺的《CTO企業(yè)信息安全調(diào)查報告》中顯示，超4成企業(yè)在過去三年內(nèi)曾發(fā)生過不同級別的信息安全事故，僅有15%的企業(yè)認(rèn)為自己的安全措施完全可以防范風(fēng)險。企業(yè)信息安全得不到保障，嚴(yán)重者會影響企業(yè)自身發(fā)展，同時泄露企業(yè)敏感信息也會給企業(yè)帶來不可估量的負(fù)面社會影響和損失。

不僅如此，企業(yè)信譽(yù)也與信息安全息息相關(guān)，據(jù)統(tǒng)計，世界上每分鐘就有2個企業(yè)因為信息安全問題倒閉。對于企業(yè)而言，如何保護(hù)關(guān)鍵的數(shù)據(jù)保密性、完整性，關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性，關(guān)系到企業(yè)的興衰。企業(yè)安全問題已經(jīng)不再簡單，而是動態(tài)、持續(xù)、隱蔽、高滲透的攻擊行為。要想有效的防范信息安全威脅，就必須確保信息安全防護(hù)手段也隨之“進(jìn)化”，并采用下一代威脅防御技術(shù)。

白應(yīng)東再次提醒用戶，傳統(tǒng)的安全防御理念，都是以控制為核心，通過各種網(wǎng)絡(luò)安全設(shè)備對信息資源進(jìn)行保護(hù)，但從網(wǎng)絡(luò)攻擊行為的發(fā)展趨勢來看，“潛伏性”和“持續(xù)性”是最顯著的特征，這讓攻擊行為的阻斷越來越困難。睿眼WEB攻擊威脅溯源系統(tǒng)的設(shè)計理念跳出了被動防守的傳統(tǒng)做法，通過對數(shù)據(jù)流量的實時分析，真正做到安全防護(hù)的“智能感知”和“可視化”，并給了出準(zhǔn)確有效的防護(hù)建議。