■ 山東 孫勝華 趙長林

編者按： 如今的網絡安全早已不再是簡單幾個安全設備就能解決問題的時代了，為應對新的安全挑戰(zhàn)，網絡安全團隊必須改變其通常的安全方法。本文介紹三大應對策略，以未雨綢繆應對新的安全威脅。

安全專家們預測，2019年將出現(xiàn)大量的新威脅。例如，半自動化的僵尸網絡可以借助專門技術危害海量的設備，并且可以共同增加網絡危害的速度和效率。

另外，還有模糊測試的商品化，這是一個在硬件和軟件的接口及應用程序中發(fā)現(xiàn)漏洞的技術過程，主要通過將非法的、非預期的或半隨機的數(shù)據(jù)注入到一個接口或程序中，然后再監(jiān)視其崩潰、意外跳轉到調試過程、無效的代碼聲明以及潛在的內存數(shù)據(jù)溢出。通過人工智能和機器學習的應用，將導致針對不同項目和平臺的零日攻擊的增加。顯然，這些威脅帶來的危害更大。

防御這種威脅要求兩個方面。首先是理解網絡犯罪的經濟動因，其次是采用一種能夠破壞這些動因的策略和方案。

鑒于此，一種防御性的響應是對影響攻擊者收益模式的人員、過程和技術做出改變。例如，采用諸如機器學習和自動化等新策略和新技術強化防御面，或者可以迫使網絡犯罪轉變攻擊方法并加重其開發(fā)成本，這種轉變可能使網絡犯罪的成本高昂，或者使其轉而去破壞成本更低的其他方面。

為應對新的安全挑戰(zhàn)，網絡安全團隊必須改變其通常的安全方法。最有效的策略可能是針對網絡罪犯的經濟模式，直接影響網絡罪犯的經濟收入。

部署欺騙

安全團隊所面臨的最嚴峻的挑戰(zhàn)之一就是攻擊鏈條的加速化。例如，從發(fā)現(xiàn)漏洞到利用漏洞進行破壞的時間已經從原來的幾天變?yōu)閹仔r，并且正朝著幾分鐘和幾秒鐘的方向發(fā)展。

然而，用于檢測破壞和數(shù)據(jù)泄露的時間往往需要花費很長時間，例如有可能需用幾周時間。解決這種挑戰(zhàn)要求采用雙重策略。首先要提高檢測網絡中異常行為的能力，要達到盡可能實時地進行。其次是要找到一種延緩攻擊的方法。

欺騙是實現(xiàn)此目的的一種安全策略。其要點是創(chuàng)建非常多的選擇，其中的多數(shù)是“死胡同”，從而迫使攻擊者的速度慢下來并可能放棄。安全防御者通過產生一些來自大量數(shù)據(jù)庫的虛假卻有吸引力的通信（其中僅有一種是真實的），攻擊者就必須評估每個數(shù)據(jù)源，并有可能探尋每個選項。通過延長攻擊者需要找到并檢索數(shù)據(jù)的時間，防御者就有更多時間檢測并對攻擊做出響應。

但更為有效的是確保任何“死胡同”選項都不僅包含看似合法的信息，還要有即刻識別非法通信的陷阱，且能夠自動觸發(fā)響應，從而將網絡罪犯從網絡中驅逐出去。防御者需要在幾個有吸引力的所謂“死胡同”的攻擊路徑中加強這種功效，這場“貓與老鼠”的游戲都會突然發(fā)生戲劇性的變化。

利用威脅情報

網絡犯罪實現(xiàn)其現(xiàn)有攻擊方案的投資最大化的最簡單方法之一就是，簡單地對惡意軟件做出少量的更改。即使是諸如改變IP地址等基本操作都有可能使惡意軟件逃避很多傳統(tǒng)的安全工具的檢測。許多已知的漏洞利用的持續(xù)成功就是這種策略有效性的一個證明。

對付這種變化的最常見的方法之一就是通過威脅情報的積極共享。經由威脅情報源提供的新數(shù)據(jù)可以使安全廠商和用戶領先于威脅的發(fā)展。威脅情報變得日益詳細和昂貴，網絡攻擊者也會調整其逃避檢測和攻擊工具和策略。

在威脅研究機構、安全廠商、執(zhí)法部門及其他政府機構之間新的開放式協(xié)作，其目的是提升威脅情報的功效、適時性等。訂閱這些威脅情報源并實施正確的策略有助于企業(yè)找到實現(xiàn)更高效檢測的高級模式和過程。

隨著這種情報日益詳細，企業(yè)通過利用大型高級研究團隊和政府機構的高級策略，就更有可能檢測和防止整個惡意軟件家族。因而，安全團隊就更有可能將行為分析策略應用到動態(tài)的數(shù)據(jù)源中，并預測惡意軟件的未來行為。

前瞻性思考

最后的方法是將企業(yè)的安全模式從被動式改為主動式。安全團隊需要盡可能多地找到當前網絡中的風險。

一個很好的起點是設想企業(yè)已經被攻擊，然后考慮由此需要做什么，網絡中有哪些設備及對這些設備實施了哪些策略，有哪些設備遭到攻擊以及如何獲知。安全團隊從 “想當然”式的信任轉變?yōu)榱阈湃文Ｊ娇赡苁亲罴堰x擇。其中包括實施多重認證、部署網絡訪問、建立分段和微分段等。

下一步就是將企業(yè)傳統(tǒng)上分離的安全設備整合到一個獨立的集成的架構中，其中包括在遠程位置甚至在多種“云環(huán)境”中部署的安全設備。能夠積極共享和關聯(lián)威脅情報的工具與高級行為分析的結合，在確認即使是最高級的威脅時將更為有效。隨著新威脅模式和趨勢的出現(xiàn)，安全團隊可以將其與網絡設備的實時監(jiān)測相結合，從而開始預測并在威脅發(fā)作之前積極阻止。

結論

保持領先于網絡威脅的發(fā)展要求企業(yè)重新思考安全策略。在傳統(tǒng)上，攻擊者只需要防御者犯一個簡單的錯誤就可實施攻擊，同時攻擊者在成功實現(xiàn)其目標之前會反復進行嘗試。如今，企業(yè)不能被動地與攻擊者進行軍備競賽，而需要先于威脅的行動，并針對網絡犯罪的經濟動機采取行動。

但是，要破壞網絡罪犯的經濟模式，只能通過將安全系統(tǒng)集成到一個緊密結合的框架中，能夠自由的共享信息，執(zhí)行邏輯的和行為的分析從而確認攻擊模式，然后將威脅情報融合到一個不僅能洞察網絡犯罪意圖和攻擊手段并且能夠先發(fā)制人的自動化系統(tǒng)中。