企業潛在威脅防御新招:“known-good”技術
責編:admin |2014-12-10 14:45:58允許無害的流量進入企業環境,阻礙有害的流量進入是確保企業安全的基礎知識。然而,只允許“已知良好(known-good)”的文件和鏈接進入談何容易。
令人尷尬的是,攻擊者的發展速度不可避免地比企業防御的適應和阻礙能力增長得快。過去十年里,以黑名單的方法來反惡意軟件、形成防火墻、反垃圾郵件以及實現其它安全技術已經顯現出明顯的弱點。而且,對于安全團隊來說,隨著黑名單的變多,協調每個黑名單,將它們融入到更多的安全工具中,并全部更新已變得越來越困難。
企業通過使用“已知良好”技術作為信息安全計劃的一部分,可以不用那么辛苦地維護黑名單,而且可以改善環境中的整體安全性。
在這篇文章中,專家Nick Lewis闡述了如何將“已知良好”技術運用于企業以應對當今越發激烈和更具破壞性的威脅。
“已知良好”技術工作原理
使用“已知良好”技術類似于采用白名單的方法,白名單是傳統的方法只允許授權用戶或應用程序在企業網絡中啟用,而“已知良好”技術是采用一個更廣闊更詳細級別的概念。在一個傳統的白名單方法中,電腦上只允許運行具體的可執行文件,但是無法阻止某人在企業網絡內部為攻擊者打開惡意文件讓攻擊者獲得初始訪問。而“已知良好”技術可全面阻擊攻擊者執行任意種類的攻擊。
接下來舉幾個例子來說明。輸入驗證是只接受“已知良好”輸入數據輸入到系統的一個很普遍的方法。一般運用于網頁應用程序或數據庫防火墻,對惡意的SQL語句進行過濾,只允許驗證通過的SQL語句執行。
另一個例子是檢查網頁、PDF等文檔、識別潛在的惡意鏈接,然后剝離出威脅,在下載前重構文檔,只留下“已知良好”那部分。系統可以檢查該文件,確定哪些是用戶輸入的數據并留下來,刪除可能包含惡意代碼的內容。這是由供應商如賽門鐵克(Symantec)、Blue Coat、 Websense提供的一些Web代理或內容網關產品所具備的的性能。此外,還有開源工具、框架,ExeFilter可以給文件和交互內容提供這個性能,并且可以嵌入其它工具或掃描文件共享、電子郵件等功能中使用。
現在,攻擊者完全有可能入侵您所信賴的合作伙伴的系統,然后將惡意代碼嵌入安全的PDF中發送給您。利用像ExeFilter這樣的技術可以刪除文件中的惡意內容,可以保證您和商業伙伴的安全通信不被打擾。
在企業環境中使用“已知良好”技術
使用“已知良好”技術進行威脅防御和檢測需要深入了解和控制環境,大致了解惡意內容的潛在位置,知道在何時何地有必要刪除惡意內容,而不是徹底阻斷附件、流量、用戶以及鏈接。
由于防火墻可以使用“拒絕所有”、并“允許部分”策略,那么就有足夠的理由只允許帶有“已知良好”安全協議,來自“已知良好”的安全網絡進行連接。這可以通過網絡訪問控制系統來實現,只允許“已知良好”并驗證通過的系統使用批準的協議來連接到特定的網站。盡管黑名單和白名單兩種技術都可以用來阻止惡意網絡,但是一旦一個網站被發現是惡意網站,安全團隊還是需要每次將其添加到黑名單。這同樣適用于新的“已知良好”的網絡或協議,隨著它們被發現并驗證通過,它們也需要被添加到白名單。
不幸的是,將這種方法推行到各種類型的文件或應用程序是相當困難的。為了簡化該過程,對于企業來說,集中于最可能被攻擊者利用漏洞也最常見的文件類型或數據是很有利的。此外,在某種程度上限定“已知良好”將不會造成大量的誤報,大量的誤報會對通信產生不利影響,對企業來說也是一個挑戰。與此同時,企業需要進行不斷地微調以保證有效運行。
“已知良好”類似于強制訪問控制和在軟件開發中使用形式化方法。強制訪問控制就是基于數據分類和特定訪問權限來訪問特定的資源;另一方面,在軟件開發中使用形式方法,是以數學方法驗證軟件是否正好實現了設計時所設想的功能。這兩種方法都非常嚴密,且采用資源密集型的方法來使用已知良好的技術提高安全性。
當涉及到特定的“已知良好”技術,有幾個產品可供企業采用。首先是白名單和灰名單產品,這兩種產品會暫時拒絕傳入的流量,幫助組織確認“已知良好”的行為并允許其發生在系統或網絡上。此外,還有像PHP過濾器或安全基線配置這樣的“已知良好”軟件開發方法,只有“已知良好”的軟件和設置才可以啟用。這些方法可以通過減少攻擊面來盡量減少成功攻擊的可能性。
然而,由于很難定義“已知良好”,所以可以幫助企業掃描特定文件或應用程序,挑選“已知良好”組件的可行性程序目前很少。一個公司可能不知道包含高級功能的大量文件格式和應用程序是否被員工,合作伙伴和客戶使用。使用ExeFilter并添加其他文件形式做支持,當新的文件格式或應用引入環境時,可以更快適用。
另外,JavaScirpt通常被視為高風險,對于企業來說,很難知道用戶企圖打開的PDF或其他文件是否被潛在惡意JavaScirpt所感染。在這種情況下,企業可以使用一種將PDF轉換成靜態PDF的技術,該技術可以從文件中完全取出JavaScirpt.或者可以在沙箱中打開PDF,看看哪些潛在的惡意行為被利用并從文件中刪除惡意的JavaScirpt.以上行為都可以用來扼殺部分被釣魚攻擊的惡意PDF,保證用戶打開文件時,他們的電腦不會被感染。
總結
相比起黑名單,白名單和其它技術,“已知良好”的安全方法有一定的改善,可更大程度幫助企業抵御威脅。
然而,即使是白名單也要承受挑戰和變革的需求,跟上不斷變化的威脅環境。白名單相對于20年前商業安全方法有顯著的改善,但是如果沒有為一般企業和消費者開發出來默認安全系統,我們將繼續在白名單、灰名單和黑名單這樣相同的螺旋中前行。
“已知良好”技術將有望給企業以及整個行業帶來新希望,更好地管理其潛在的風險,防御今天黑客和攻擊者所創建的最艱難的威脅,以保證安全性。