光明网记者 张蕾
第二届国家网络安全宣传周公众体验展日前在中华世纪坛举行。其中,网康科技关于“云管端”下一代网络安全架构的理念与实践引起业界高度关注。在网康科技执行副总裁左英男看来,传统安全防护并非毫无价值,但应该用下一代安全方法论重新审视目前所面临的未知威胁,因为“安全问题永远是人与人之间的智力对抗,只是下一代网络安全架构提供了主动对抗的手段”。
记者:网络安全公司卡巴斯基2015年2月的一份分析报告显示,黑客组织Carbanak在两年内连续攻击了俄、乌、白等30多个国家的金融机构,造成损失达10亿美元,引发俄罗斯银行业恐慌。黑客到底采用了何种高超的攻击手法呢?
左英男:黑客采用的是典型的APT攻击手法:一开始向目标机构的普通职员发送电子邮件,并把发件人伪装成俄罗斯联邦中央银行,诱使他们打开一个包含恶意软件的附件;突破职员电脑后,黑客会以此为跳板进行渗透平移,找到并攻陷掌握银行交易权限的高级管理人员;通过在管理人员的电脑植入木马程序,记录键盘敲击信息,并每隔20秒钟进行截屏,源源不断地传送到远端控制服务器,分析得到合法账号、密码以及系统操作流程,最终冒充合法账号成功转移资产。
尽管俄罗斯警方几年前已经逮捕了8名犯罪团伙成员,但攻击并未停止。2015年5月,攻击目标已经指向俄罗斯安全局,意在嘲讽挑衅。
记者:被攻击机构采取了最完整、最先进的网络安全防护措施,为什么还是被轻易突破?
左英男:传统的网络安全理论基于两个核心模型——PPDR防护模型(即Policy安全策略、Protection保护、Detection检测和Response响应)和安全边界模型。前者假设信息资产面临的风险可以充分评估预知,然而这种假设在0-day(即时攻击)攻击和APT(高级持续性威胁)攻击面前完全失效;后者认为网络有固定的边界,只要做好边界防护就高枕无忧,但业务的云化以及移动化使得边界被拉伸甚至模糊。因此,传统安全方法论是静态、被动的,是一种防御性思维,已不适应信息产业架构的变化。
记者:传统的安全模型失效了,目前有没有更好的安全模型来替代呢?
左英男:更好的安全模型应该是PDFP模型(Prediction预测、Detection检测、Forensics取证、Protection防护),即假设IT系统存在无法预估的风险,甚至认为攻击已经发生只是人们尚未感知,此时必须进行动态检测,把异常的人员、行为、应用、内容等日志信息实时汇集到云分析中心,通过跨时空的大数据分析,迅速判定攻击并进行过程溯源,从而实施对抗策略。这个过程是动态的、主动的,是一种对抗型思维。
记者:“云管端”下一代网络安全架构是怎样的?
左英男:云管端联动能够很好地支撑PDFP安全模型,是我们率先践行的下一代网络安全架构。在终端设备(包含桌面和移动)部署杀毒与管控策略,对于不识别的灰度文件,实时通过云检测获得分析结果,第一时间更新本地防护策略。此外,终端无论访问内网资源还是互联网,都需要与边界设备联动,进行严格的准入准出控制;网络边界除了部署对外的防护设备(下一代防火墙、上网行为管理等),还应在内网部署行为审计设备,加强内部违规行为管理。网康云主要是提供云沙箱、云查杀、云信誉评估引擎,除了对恶意文件进行研判,还针对所有终端和边界设备上传的异常日志进行大数据分析,将威胁情报实时下发终端与边界设备,实现云管端智能协同、主动防御。
对于俄罗斯银行大劫案APT攻击,如果采用上述新的防护模型,无论是邮件诱骗阶段、内部渗透平移阶段,还是关键信息外发远程命令与控制服务器阶段,通过云管端的智能协同,都有机会发现并终止攻击行为。