安全技術的回歸——終端安全的復興鵬越·安全
為何終端安全貌似突然火熱起來?在業界看來,這其實是一種必然的趨勢,是一種安全技術的回歸。
終端是安全的主戰場
站在防禦者的角度上來說,安全防護永遠都是投入不足的,因此我們必須識別出安全的主戰場。在安全規劃當中,表面上看我們都在解決設備安全相關的問題,例如伺服器安全、網路設備安全、終端設備安全以及整個網路的安全等等,然而,安全的實質問題並不是設備,而是人的安全問題。儘管很多安全問題表現在設備上,但是人或人為因素才是是信息安全問題的根源所在。
但是人的力量是不能直接作用於信息系統的,人和信息系統的交互必須通過一個載體,這就是人機界面。毫無疑問,這個人機界面就是終端。一個安全事件,無論在網路中經過多少環節,使用了多少高級技術,其最終目的都是為了代替人完成某些未經授權的工作,比如竊取數據、比如破壞系統、比如潛伏下來以備後續使用,而這些動作的完成,必須通過某個終端才能完成。正是終端是大多數安全事件的目標和發生地,終端毋庸置疑成為了安全的主戰場。
但是對於這個主戰場我們一直以來的重視是不足的。長期以來,在關乎國計民生的重要政企專網之中,終端上依然運行著用十幾年前的技術打造的殺毒軟體。這些殺毒軟體使用的技術,仍然是依靠反病毒廠商預先製作的,單嚮導入的特徵碼,很難對日趨複雜和個性化的新興威脅對抗。同時,終端由於數量多、分布廣、系統環境複雜、直接接觸終端用戶,又是最難有效實施的安全管理環節,即使是作為終端安全基礎的反病毒軟體,也經常存在安裝率低下、盲區大的問題。這種矛盾在國內的政企專網當中長期存在,將是影響政企和社會安全的重大隱患。
終端緣何會重新興起?
既然終端是安全當中舉足輕重的戰場,新興終端安全技術的興起也就毫不意外了。
首先是從攻擊者的角度來看,反病毒、防火牆、IPS老三樣的普及,的確提高了攻擊門檻。與此同時,在攻防當中存活下來的攻擊者,也逐步掌握了更高端的繞過老三樣的技術,這包括針對反病毒的免殺技術、針對流量的加密技術、不斷變化的C&C控制端等等。與這些技術的對抗當中,原有的安全分析技術需要越來越複雜的分析邏輯,對設備提出了越來越高的性能需求,典型的就是反病毒的資源佔用越來越高,但又經常滯後,無法防禦新的惡意程序。為了應對這些問題,一些新的終端技術的出現是必然的。
另一方面,網路層面的安全發展了這麼多年,各種創新技術層出不窮,但所有的網路層技術總是會碰到一個瓶頸,即旁路還原的運作模式,必然碰到加密流量、P2P等技術帶來的盲區,而且只能達成定位到特定IP地址的粒度。而終端層面的技術,很好的避免了這些盲區,並且可以看到終端內部的進程、數據的信息。在觸到瓶頸之後,各家安全廠商再次將精力重新放回終端,也就不足為奇了。
另一方面,大數據技術的興起,對於安全技術的發展已經形成了正向促進的作用。過去由於計算能力、大數據基礎框架等能力的限制,安全只能針對有限的數據進行分析,終端上面的數據維度多、關係複雜,在計算和存儲能力緊缺的年代,往往成為最先被犧牲掉的部分。而隨著大數據技術的發展,計算和存儲能力已經不再緊缺,在某些較大的組織內部甚至已經是過剩,這時終端數據的多樣性和複雜性反而成為一種優勢,因為這些數據可以更深入窺探到細節。由於大數據技術越來越多的應用於安全分析、行為分析領域,終端所能夠提供的數據,也越來越成為一個寶貴的資產。
第三代終端安全的四個重要特徵
新時代的終端安全體系,是相對於傳統的終端安全體系來說的,從歷史上看,傳統的終端安全體系經過了三個發展階段。
在最早的時期,由於終端的主要威脅來自於惡意代碼和病毒,因此通過特徵碼的病毒查殺工具,以及圍繞著病毒查殺 建立的周邊基礎設施,例如特徵碼升級、定時掃毒等等,構成了第一代的終端安全體系。隨著時間的發展,業界發展出來一些更強的殺毒技術,比如基於啟發式的查殺技術,但是這些技術的體系,仍然以靜態特徵對抗靜態代碼,依賴人工對樣本進行分析和提取特徵,並基於更新來進行新威脅對抗。這種機制構成了終端防護的第一個發展階段。
後來隨著攻擊方式的變化,樣本變種大量、迅速出現,無差別大規模攻擊流行,攻擊手段簡單粗暴,容易造成大規模 的安全事件。這個時期的最典型的安全事件是衝擊波蠕蟲的大爆發和熊貓燒香的爆發。為了應對大量的自動化變種,第二代的終端安全體系開始出現。第二代技術開 始引入雲查殺或機器學習等技術對抗樣本變種,引入主機入侵防禦系統(HIPS)來進行基礎的行為攔 截,引入漏洞修補或利用緩解技術來避免通過漏洞傳播,甚至在某些受限環境當中使用白名單和「非白即黑」的策略進行防護和查殺。這個階段的技術呈現出引入機器對抗機器,引入機器學習提高對樣本的主動檢測能力,並開始出現主動搜集樣本進行大規模分析的雲查殺系統。由於引入了雲端技術,安全對抗也不再依賴系統升級,而轉變為實時計算、實時生效的模式。這種大機器對抗、主動搜集、主動防禦、實時生效的模式,構成了第二代終端安全體系。
隨著攻擊方式的進一步發展,攻擊者開始逐漸從利用樣本轉為利用漏洞。漏洞可以承載在文檔、PDF或 者網頁當中,通過魚叉、水坑等方式針對性攻擊少數人群,攻擊開始呈現出來針對性和隱蔽性。在攻擊者獲取到了內部的控制權之後,往往通過各種手段實現長期駐留,這些駐留的樣本成為了來自組織內部的威脅,長期揮之不去。從攻擊者角度來說,其集團化運作、組織化運作的趨勢也越來越顯現,開始出現了產業分工,甚至 出現了「攻擊即服務」的模式。這種新的攻擊環境下,我們就需要第三代的,也就是新時代的終端安全體系來保護組織的安全。
新時代的終端安全體系的主要特徵包括:
1.基於「無法將黑客100%攔截在邊界之外」和「組織一定已經被攻陷」的假設,對終端的行為進行持續的監控搜集,並應用大數據的分析方法和模型,主動檢測被攻陷的跡象並做出響應。
2.依賴終端的程序行為,而非樣本進行防禦。
3.立足於威脅本身,了解威脅背後的組織、目的和技術手段,並基於這些信息進行攔截。
4.針對檢測出的威脅,進行快速和自動化的響應。
這樣一套終端安全體系,必須具有四種能力:針對已知威脅的評估能力、攔截能力,以及針對新威脅的檢測能力和響應能力。威脅情報貫穿於這四個能力之中,對這四種能力都進行了加強。威脅情報是新一代終端安全體系的核心能力,新時代的終端安全體系必須能夠獲取和利用威脅情報。
(來源:安全客)
(本文作者:360企業安全集團副總裁 張聰)
