面对如今的新兴威胁,我们需要新的方法来保护网络和应用安全
新兴威胁已经将目标指向了应用、服务器和用户,也由此打开了安全威胁的新纪元,因此网络安全的视角也需要扩展出防火墙自身。搭载诸如反病毒、反垃圾邮件、应用控制和深度包检测等扩展功能的高级下一代防火墙(NGFW)和IPS,已经足以对抗已知威胁。但是他们不能很好的对抗零日攻击、七层DDoS攻击、高级可持续性威胁(APT)和邮件攻击。
新型威胁攻击的不只是防火墙
毋庸置疑,防火墙只是网络安全中最初级的一环。如今最先进的防火墙所拥有的功能已经很强大,能够抵御大多数的攻击,至少在Layer2 和Layer 3层面。这些人尽皆知的事情攻击者自然也知道,因此他们也在不断地提升技术来绕过防火墙的防护。
这并不是说他们不会试图寻找防火墙的漏洞,他们也知道,像金融机构,零售商和政府机构这样的高价值目标正在收紧安全策略,因此轻松做到数据泄露的日子已经过去了。
针对应用、应用层服务以及缺乏安全意识和经验的用户的攻击,是攻击和数据泄露的各个分支中增长最快的三个。这些代表了大多数剩余的薄弱环节,并且存在有无数的可能性,比如利用代码漏洞,应用模块漏洞(包含软件和业务层面),以及被信任用户认为收到的是合法的重设帐户密码的邮件等等。
Web应用攻击
越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业务系统的窗口。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。在2014年3月份Verizon发布的Verizon数据泄露调查报告中显示,有超过35%的数据泄露事件是由应用漏洞带来的。而OWASP也一直在报告应用安全漏洞,并且明确表示几乎所有的Web应用都有一个或多个符合2013 OWASP TOP10应用安全威胁列表。他们还报告说,95%的网站在过去一年中被一个或多个XSS(跨站脚本)或SQL注入攻击。Gartner在其最近发表的2014年Web应用防火墙魔力象限中表示,他们预计超过80%的企业将会在2018年前部署一台WAF设备,以防止Web应用程序攻击(这一比例在2014年是60%)。
应用层DDoS攻击
分布式拒绝服务(DDoS)攻击是最古老的安全威胁之一,然而在近10年中,攻击者已经将目标移向了应用层。不可否认,大流量的DDoS攻击仍然占据着头条的位置,但是应用层DDoS攻击其实是DDoS攻击子类中增长最快的。这是因为数百兆流量的应用层DDoS攻击完全可以达到数百G流量攻击的效果。成本更低、效果更好的应用层DDoS攻击已经成为了攻击者的首选。
高级可持续威胁(APT)
高级可持续威胁是针对性目标定制攻击。通过使用一些未知的恶意软件、0day、或利用未打补丁的漏洞,亦或使用一些看似正常或全新的URL和IP地址来绕过检测。他们使用一些高级代码技术来突破目标系统,并尝试规避安全检测来使自己在目标系统中尽可能长时间的潜伏。且随着网络中可获取的数据与访问的应用的丰富性,可触及的被选定为攻击目标的切入点也很多,APT也逐渐走向常态化。与此相对的是,去年Fortinet针对BYOD调研的数据中涉及APT攻击、DDos等攻击了解的人数不到37%。
安全防御的部署也应随着威胁格局的变化而转变,多维高效是防御的宗旨,也是需要突破的“传统”; 当然,这个前提是网络安全的“基础建设”不可或缺。