大數(shù)據(jù)時代電信運營商如何守好“邊界”
隨著大數(shù)據(jù)時代的來臨�,針對核心數(shù)據(jù)的網(wǎng)絡(luò)攻擊事件層出不窮����,網(wǎng)絡(luò)安全火熱沸騰。國際方面,美國人事管理局2700萬政府雇員及申請人信息泄密;美國國稅局10萬名納稅人的財務(wù)信息泄露;美股券商Scottrade�����,460萬客戶敏感信息泄露���;意大利間諜軟件公司HackingTeam被黑���,包含多個零日漏洞�����、入侵工具和大量工作郵件及客戶名單的400G數(shù)據(jù)被傳到網(wǎng)上任意下載;國內(nèi)方面�,鐵道部官方網(wǎng)站13萬用戶信息泄露���;大麥網(wǎng)600萬用戶賬號密碼泄露并在黑產(chǎn)論壇公開售賣�;海康威視被黑客植入代碼導(dǎo)致被遠程監(jiān)控�����;網(wǎng)易骨干網(wǎng)遭攻擊�����,百萬游戲用戶中斷���;網(wǎng)絡(luò)攻擊日新月異����,網(wǎng)絡(luò)安全事件層出不窮�,全球網(wǎng)絡(luò)安全形勢十分嚴峻�。
運營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)必爭之地,根據(jù)安全域的劃分��,日常維護區(qū)���、第三方接入?yún)^(qū)����、DMZ區(qū)����、日常辦公區(qū)、開發(fā)測試區(qū)等多種安全區(qū)均會是網(wǎng)絡(luò)攻防的主攻方向。而傳統(tǒng)防火墻應(yīng)對以APT為代表的各類高級威脅難以發(fā)揮作用,對復(fù)雜網(wǎng)絡(luò)攻擊手段的檢測能力�����、感知網(wǎng)絡(luò)異常行為�、發(fā)現(xiàn)未知威脅方面均存在不足,要想取得網(wǎng)絡(luò)邊界攻防戰(zhàn)的勝利需要具有以大數(shù)據(jù)驅(qū)為基礎(chǔ)的安全管控能力��,具有協(xié)同防御����、智能封鎖的安全邊界設(shè)備以應(yīng)對新的威脅新的挑戰(zhàn)。
運營商邊界安全的新一代威脅趨勢
網(wǎng)絡(luò)攻擊技術(shù)歷經(jīng)長達20多年的發(fā)展���,新一代網(wǎng)絡(luò)威脅攻擊者采取了現(xiàn)有檢測體系難以檢測的方式方法���,如未知漏洞利用、已知漏洞變形、特種木馬����,并組合各種技術(shù),包含社會工程學(xué)����、釣魚、供應(yīng)鏈植入等���,各種攻擊模式或組合能有效穿透大多數(shù)邊界防御體系���,最終達到盜取內(nèi)部敏感信息或破壞目標網(wǎng)絡(luò)的目的。新一代網(wǎng)絡(luò)威脅具有隱蔽性強���、自動化高��、速度快�、破壞力大等特點���,現(xiàn)有主要網(wǎng)絡(luò)攻擊技術(shù)類型如下:
高級隱遁技術(shù)(AET):即將已知的逃避技術(shù)進行新的各種組合��,形成高級逃避能力���,從而繞過網(wǎng)關(guān)設(shè)備檢測,形成網(wǎng)絡(luò)攻擊�。
0DAY漏洞威脅:0DAY漏洞由于系統(tǒng)還未修補,而大多數(shù)用戶���、廠商也不知道漏洞的存在��,因此是攻擊者入侵系統(tǒng)的利器����。
多態(tài)病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬�,而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強大的病毒和木馬,他們可以繞過現(xiàn)有基于簽名的檢測體系發(fā)起攻擊���。
混合性威脅:攻擊者混合多種路徑����、手段和目標來發(fā)起攻擊。
定向攻擊威脅:攻擊者發(fā)起針對具體目標的攻擊���。
高級持續(xù)性威脅:APT是以上各種手段(甚至包括傳統(tǒng)間諜等非IT技術(shù)手段)的組合�,是威脅中最可怕的威脅��,是攻擊者精心策劃����,為了達成即定的目標,長期持續(xù)的攻擊行為�����。
運營商邊界安全的新一代防御技術(shù)趨勢
運營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)的第一主戰(zhàn)場��,防火墻則是攻防戰(zhàn)爭中的“先鋒官”���,在整個防御體系中地位舉足輕重��。威脅多變�����,基于簽名的傳統(tǒng)邊界防火墻產(chǎn)品已經(jīng)無法抵御新一代威脅����,因此對新一代智慧防火墻提出全新防御技術(shù)挑戰(zhàn),那么智慧防火墻應(yīng)該具有哪些必要的防御技術(shù)能力呢�?
n對攻擊載體的多緯度檢測能力
智慧防火墻的檢測能力是安全防護能力的核心�,根據(jù)新一代網(wǎng)絡(luò)威脅的特性,對每個攻擊載體點的檢測���,需要采用多維度的深度檢測機制�����,確保攻擊者難以逃過檢測����。智慧防火墻應(yīng)具有傳統(tǒng)的基于簽名的檢測(已知攻擊)��、基于深度內(nèi)容的檢測(抗逃逸的未知威脅)���、基于虛擬行為的檢測(抗逃逸的未知威脅)�、基于事件關(guān)聯(lián)的檢測(抗逃逸的未知威脅)����、基于全局數(shù)據(jù)分析的檢測(抗逃逸的未知威脅)等檢測手段�����,考慮智慧防火墻高性能要求�����,各種檢測技術(shù)必須存在����,但未必均在智慧防火墻上實現(xiàn)��,可以通過云端或本地第三方設(shè)備實現(xiàn)��,并采用智能聯(lián)動實現(xiàn)威脅防御�����。
n互聯(lián)網(wǎng)大數(shù)據(jù)驅(qū)動防火墻安全管控能力及威脅防御能力
云端互聯(lián)網(wǎng)數(shù)據(jù)具有協(xié)議復(fù)雜��、業(yè)務(wù)多樣����、威脅眾多等特點���,是挖掘協(xié)議樣本和威脅樣本最好最實時的數(shù)據(jù)源泉?;谠贫藦姶蟮?a href='/map/fenbushijisuan/' style='color:#000;font-size:inherit;'>分布式計算能力對互聯(lián)網(wǎng)大數(shù)據(jù)獲取、分析���、挖掘并采用人工智能����、機器學(xué)習(xí)的全自動協(xié)議特征提取技術(shù)�,第一時間提取出新應(yīng)用特征并動態(tài)實時同步至防火墻應(yīng)用特征簽名庫中���,做到新應(yīng)用發(fā)布與應(yīng)用特征發(fā)布“無延時”���,實現(xiàn)防火墻產(chǎn)品應(yīng)用緯度的及時精準管控;同時對互聯(lián)網(wǎng)大數(shù)據(jù)采用惡意行為檢測�、虛擬沙箱執(zhí)行等技術(shù)實現(xiàn)對IP、URL�����、文件等深度執(zhí)行、分析及威脅挖掘��,最終獲取IP����、URL、文件信譽度及黑���、白���、灰名單庫等互聯(lián)網(wǎng)情報,并動態(tài)實時同步至防火墻威脅情報簽名庫中��,能及時有效的抵御木馬���、釣魚�、蠕蟲�、病毒、僵尸網(wǎng)絡(luò)等已知及未知威脅���,有效防御逃逸威脅及APT攻擊����;智慧防火墻需要具有互聯(lián)網(wǎng)大數(shù)據(jù)及數(shù)據(jù)挖掘技術(shù)作為管控及威脅防御能力的技術(shù)支撐。
協(xié)同防御��、智能封鎖
防御體系是安全產(chǎn)品綜合解決方案���,更需要安全產(chǎn)品間各種防御技術(shù)的智能聯(lián)動與協(xié)同�����,在此防御體系中�����,防火墻則是處理結(jié)果的動作有效執(zhí)行者���。傳統(tǒng)安全一般只實現(xiàn)了防火墻與IDS的聯(lián)動����,新一代威脅的隱蔽性,決定了威脅的檢測與防御必須在云端�、網(wǎng)絡(luò)、終端的各節(jié)點的安全設(shè)備進行多層檢測及防御��,然而在整個防御體系統(tǒng)中��,防火墻是受保護網(wǎng)絡(luò)的大門,進出的雙向流量必須通過這道門����,因此無論節(jié)點的任何安全設(shè)備發(fā)現(xiàn)威脅,都需要與防火墻形成動態(tài)聯(lián)動策略�,防火墻實現(xiàn)門禁的智能封鎖。例如:云端互聯(lián)網(wǎng)情報系統(tǒng)���、鏡像檢測的內(nèi)網(wǎng)大數(shù)據(jù)分析系統(tǒng)���、終端安全管理系統(tǒng)、終端病毒檢測系統(tǒng)等各節(jié)點安全設(shè)備檢測出威脅或異常�,均可以通知防火墻動態(tài)生成安全規(guī)則,實行威脅管制并告警�。因此智慧防火墻必須具有協(xié)同防御、智能封鎖能力�。
從“看得見”的新視角感知網(wǎng)絡(luò)異常行為,發(fā)現(xiàn)未知威脅
防火墻產(chǎn)品部署的位置及其數(shù)據(jù)處理技術(shù)����,決定了其具有天然的網(wǎng)關(guān)數(shù)據(jù)獲取、分析�����、關(guān)聯(lián)及展示能力,通過對流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)進行分類可視化展示及指標關(guān)聯(lián)分析展示(如終端數(shù)據(jù)展示��、業(yè)務(wù)數(shù)據(jù)展示��、網(wǎng)絡(luò)性能數(shù)據(jù)指標展示等)���,形成各種緯度的數(shù)據(jù)模型��,并與正常網(wǎng)絡(luò)流量下的數(shù)據(jù)模型進行對比分析加之人為判斷��,從而發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為���,實現(xiàn)慢性DDOS攻擊及漏檢測的變種木馬、加殼病毒����、僵尸網(wǎng)絡(luò)等威脅發(fā)現(xiàn)、自動化阻斷或告警�����;
面向內(nèi)容的融合安全
傳統(tǒng)防火墻產(chǎn)品主要圍繞網(wǎng)絡(luò)安全防護��,智慧防火墻在此基礎(chǔ)上更需強調(diào)面向應(yīng)用��、面向內(nèi)容的融合安全���。高性能基礎(chǔ)上��,智慧防火墻必須具有應(yīng)用層協(xié)議識別及解析能力(如Mail��、HTTP�����、IM���、FTP、P2P等等)和應(yīng)用層協(xié)議承載的數(shù)據(jù)文件���、可執(zhí)行文件����、URL���、HTML(含多層壓縮)等進行內(nèi)容還原并深度安全檢查��,實現(xiàn)敏感信息過濾����,在網(wǎng)關(guān)位置防止敏感信息泄露。
系統(tǒng)安全可靠��,無堅不摧
智慧防火墻自身安全至關(guān)重要����,同樣也是攻擊入侵的主要目標,因此自身系統(tǒng)需確保無漏洞�����、安全可靠��。系統(tǒng)管理方面需關(guān)閉一切不必要的服務(wù)(SSH��、HTTPS�、TELNET等)、口令復(fù)雜程度高且定期更新�����、設(shè)備受限管理��、安全策略配置嚴謹精細等等�。
綜上所述,智慧防火墻核心威脅檢測思想是要具有智慧的能力�����,就是由深度檢測平面(多維度檢測能力)�����、云端數(shù)據(jù)平面(大數(shù)據(jù)威脅挖掘)����、協(xié)同防御平面(聯(lián)動方案能力)、異常行為發(fā)現(xiàn)平面(看得見的安全)��、內(nèi)容可視平面(內(nèi)容安全)�、系統(tǒng)自身安全平面(系統(tǒng)健壯性)構(gòu)成一個六維立體的防火墻網(wǎng)關(guān)威脅防御體系,有攻擊者可能會饒過一個點或一個面的檢測�����,想全面地逃避掉檢測�,則非常困難。智慧防火墻只有實現(xiàn)了以上的六面立體的威脅防御能力�,才能夠?qū)崿F(xiàn)對下一代威脅(包括APT)的完美防御。
總結(jié)
面對運營商海量的數(shù)據(jù)及隱藏其中的各種高級威脅����,部署在運營商各安全域邊界的防火墻不能再孤軍作戰(zhàn)����,而是需要建立起協(xié)同防御的安全體系��,并依托于持續(xù)更新的威脅情報和不斷加強的技術(shù)能力�����,持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級威脅的能力����,從而在邊界更好的對抗各種安全威脅。因此智慧防火墻應(yīng)運而生�。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認證考試,點擊>>>
“CDA報名”
了解CDA考試詳情��;
? 想學(xué)習(xí)CDA考試教材��,點擊>>> “CDA教材” 了解CDA考試詳情�;
? 想加入CDA考試題庫,點擊>>> “CDA題庫” 了解CDA考試詳情��;
? 想了解CDA考試含金量,點擊>>> “CDA含金量” 了解CDA考試詳情�;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330