應對網絡安全缺口,Arbor Networks張泰興的對策
責編:admin |2014-09-25 20:23:07在2014中國互聯網安全大會中,大家聽了很多關于網絡攻擊和APT的內容。APT到底哪里最厲害,或者說最具威脅性?來自Arbor Networks亞太區技術總監張泰興帶來了題為“網絡安全缺口”的主題演講。
張泰興一開始就以Operation Aurora為例,大概是在2010年1月份谷歌才公開承認內網被入侵它入侵。調查發現早在2009年1月份,黑客已經入侵了谷歌的服務器。他們在里面活動了大概一年的時間,這段時間能找到多少資料、搞多少破壞。另一個是Shady Rat,它是專門攻擊美國政府部門的黑客公司,在2012年才被發現。其實早在5年前,黑客就已經入侵。
APT最可怕,它能夠入侵里的系統內網,在你的內網活動而不被發覺。這是APT最厲害的地方。潛伏在你的內網里面,有些五年,有些一年,有些三年,我們不知道,這就是APT最厲害的地方。
張泰興表示,他們部署了很多防火墻、IPS、沙箱技術等等,但總是會存在一些安全漏洞,黑客還是有機會鎖定目標。我們現在又會使用wifi,它也會給黑客提供后門,鎖定第一個入侵目標。黑客不會只攻擊一個目標就停手,它會做一些掃描、復制,有時候可能會發現自己對黑客自己有利的資料,比如客戶的資料、信用卡資料,他們會偷取這些資料。APT不是偷取一次就完了,他們一點一點的偷,可以偷一個星期,一個月,一年,兩年,四年,五年。他們就是設法潛伏在內網不被發覺,慢慢的把這些資料偷出來。
防火墻已經被用了二十多年,問題是為什么很多企業安放了這些安全產品,他們還是會被成功入侵,最可怕的是那些APT在內網活動,他們都不知道。等到資料被偷走之后,黑客向外公布,他們才知道自己的內網被入侵了。
我們的網絡安全切口到底在哪里呢?我們花了那么多錢安裝防火墻,其實切口就在這邊,市場上根本沒有很好的方案幫助你調查內網的惡意軟件行為。防火墻就像保安,一過了防火墻,就不關它的事情。IPS和沙箱不是不好,它們的功能都是保護邊界。一旦APT突破了邊界,開始在內網活動,它們通常就不能起太大作用。APT就是利用了這個漏洞,才能給我們制造這么多的麻煩。現在很大的問題是沒有一個很好的方案讓我們很清醒地看到內網的惡意行為。
接下來是解決方案,Gartner去年公布了一個白皮書,針對APT,不是一個產品或者是方案就可以解決APT的問題。如果要解決APT事件,要把它分成三個部分,分為Endpoint、Payload、Network。
我們的產品具有兩種功能,可以直接搜集流量。目前所有的交換機和路由器經過它們,它們都會產生Flow。簡單來說,我們有一個產品,它能收集Flow。一旦搜集了這些信息,這個箱子就能很清楚的體現出內網的可視度,可以很清楚的說出誰在做什么、哪個IP地址在跟哪一個IP地址溝通、哪一個IP地址在跟哪一個服務器溝通,它們之間做了什么、什么時候開始、什么時候停止、交換了多少資料,我們可以通過這些信息來分析是不是存在不正當的行為。有一個服務器可能是屬于工程部門的,我突然看到人力部門訪問了這個服務器。我們可以發現問題,并且進行控制。
我們公司在成立的早期都是集中在服務運營商,現在做了十四年,也取得了一些成績。現在做安全產品,不能單靠產品的功能,安全和黑客在賽跑,我們要跑在黑客的前面。很多安全公司都開始進行安全的研究,他們會搜集資料進行分析,可能會做出一些指紋出來。問題是每個安全公司都會說我的研究是全世界最好的。
Arbor Networks也有自己的安全小組,做這些研究的方法是大同小異的,我們每天能分析到的資料是80TB,大概占全球三分之一的網絡流量。我看到的越多,保護的也就越多。過去十四年,我們建立了龐大的運營商客戶群,大概有300個運營商跟我們分享這些資料。
分析了這些樣本,可以將結果下載到機器上,我們知道內部和外部發生了什么事情,我們的產品可以將二者關聯起來,可以關注企業的安全狀態,我可以輕易的說出內網中的哪一個IP地址在進行掃描,哪一個IP地址在跟外面的釣魚網站溝通,哪一個IP地址在做一些違規的行為。如果內網有什么惡意行為,黑客入侵了你的內網,在內網活動,這些都很容易的被發掘出來。發掘出來之后,就可以針對攻擊相關事件進行保護。這個服務器可能是裝的高級客戶檔案,只有經理級別可以訪問這臺服務器,我就設定一個權限,這個服務器只讓經理級別來訪問。
有了Flow可以了解內網的可視度。我們的產品還有一個功能,它也能搜集到應用層的資料。將這三個關聯起來,它能提供的案例有很多。我們可以用它發覺資料外泄的事件,怎么這個IP地址在每個星期五的半夜都會發一百兆的文件給一個釣魚網。還有一些最新的攻擊。如果是用簽名的方法去發覺攻擊,可能還不是很有效。我們是用行為分析,雖然我沒有簽名,我不懂這個惡意軟件是什么,如果這個軟件是惡意的話,一定可以掃描一些壞的行為,掃描一些IP地址,會散播病毒。從行為分析可以判斷IP地址。
Arbor Networks采用了Pravail技術,可以清楚的知道內網發生什么事情,這些惡意行為真的很快被攻破。從整個安全的角度,我們還有一些問題點。我們還有一些云端的方案,也有企業級的方案。我們能提供的方案不僅是在內網,還有ATLAS的方案。
下一篇:低調潛伏鷹,高調保安全