网络安全威胁从来没有停歇,并且愈演愈烈。惠普企业安全产品北亚区总经理姚翔近日在接受媒体采访时披露了几个足够引起业界重视的数据,企业投资在网络安全上的成本逐年上升,到最新一年的统计,全球已经投入了460亿美元的资金。即使逐年加大安全投入,可是发生的成功安全入侵的数量反而在过去一年增加了20%。自从2010年起,企业花费在解决入侵的时间上涨了71%。
应用层安全危机
在众多的攻击中,84%的入侵发生在应用层,姚翔称。入侵有很多的方式,以前被人所熟知的是网络层的安全威胁。因为网络无孔不入,通过网络可以访问很多数据内容,但随着用户在网络上的防范意识越来越强,很多攻击开始避开网络层直接到应用层。
姚翔举例到,“一名员工进入公司,由于没有门禁卡,保安会把其他拦住,这是网络层的防护,在计算机上是匹配端口号。但当有一天一个黑客拿着这名员工的门禁卡进公司,那么保安会做两件事情,第一是识别这是不是一个有效的门禁卡,第二要识别门禁卡上的照片以判断是不是本人佩戴。第二件事情就是应用层的安全,而现状是目前很多公司没有充分关注到这一安全威胁。”
拿微软来说,很多人都知道它的“周二补丁日”,微软的软件开发在业界已经是足够成熟的,然而仍周期性打补丁,更不用说一些集成商定制开发、外包或内部开发的应用软件存在的漏洞了。
过去构建应用系统的时候,不管是电信、政府、银行在交付软件的时候都会做测试,测试软件的性能、功能,以及业务逻辑等,却很少有企业做安全测试。
之所以出现这样的状况,姚翔解释称,“一是没有技术手段做安全测试,二是应用安全不被重视,大部分开发的应用都是以业务为导向,做功能测试,测试业务逻辑,殊不知黑客也正在利用这些业务逻辑做他希望做的事情。”
应用安全一直是惠普重点关注的领域,例如代码扫描、渗透测试等,如今为了在应用程序层进一步降低风险,惠普新推出了HP Application Defender,这可以看做成在线监控的应用安全,它比渗透看到的内容更深入。
“HP Application Defender是在应用服务器的内部或者是在应用的本身从内部去观察所有的交易、访问,互相之间的关系是不是会出现一种可疑的、类攻击方式的请求,从这里面进行识别。比较重要的一点是,它可以对某些识别的高可疑的请求进行阻断,在应用层进行阻断。”姚翔说。
Application Defender提供了前瞻的洞察力,它按漏洞查看具体的事件触发器并给出堆栈位置跟踪信息,按照风险分组、事件时间、漏洞分类和严重性来过滤漏洞活动,单独或者按类别防护漏洞事件,为软件工程打包事件属性。
姚翔给应用开发的建议是,在应用验收前加上代码扫描的环节,作为整体验收的最后一步。“我们做过一个统计,在前期做设计和最后上线的时候,发现同样的漏洞花的成本,在上线以后是前期的30倍。”
安全合作联盟破解黑客生态系统
在黑客的世界是有分工的,有人专注于社交工程的研究、有人专注于发现数据,他们互相之间的关系和交易是用金钱衡量的。
姚翔解读了整个黑客生态系统,第一是研究攻击对象,探查企业网络是怎样的,企业人员构成、营业和业务是怎样的,会有专门的黑客专注于做这些事情。
第二部分叫渗入,怎么样从外部进入到企业内部,通过蠕虫的方式操控在企业内部的某一台设备。
第三是发现,渗入以后有一个工程师的设备终端被感染了,怎么样通过他找到公司的CEO、研发主管、财务主管的数据?因为这时候所有的企业都认为这是一个内部结构而不是一个外部结构,这是边界以内的东西。
第四步是捕获,黑客发现CFO每个月的月底30、31日两天有需要发布的财务数据是最敏感的,而那时候就是最有价值的时候,所以黑客就要在那个时候抓到那个数据和文件。
最后是渗出,往往有一些企业特别是成熟企业,他们在整个体系中已经部署了一些解决方案来防范渗出这个问题,所以渗出的技术也是非常重要的一个技术。
黑客完成一次攻击往往是精诚合作,为了达到目的,他们不惜花费巨大的时间成本。姚翔指出,从2013年开始,黑客平均入侵的时间是243天。这样的攻击方式,受害企业不会在第二天就发现,黑客没有采取任何手段,243天才采取手段,前面242天在做什么?做研究、渗入、发现和捕获,他们没有任何的敏感数据出去。当前面四步已经做得很完整的时候,最后一步是没有办法阻止的。
“现在惠普已经跟一些厂家形成联盟,这个联盟里包括了安全智能分析的共享,因为今天惠普发现了一个新的安全威胁,假如这不是惠普的产品能够解决的,我们会把这个数据分享到这个联盟中其他的友商。”姚翔说。
产品层面上,惠普最新发布的TippingPoint Advanced Threat Appliance (ATA)就是和趋势科技合作的成果,它为企业提供了增强的防御措施,帮助其灭活最初的“第一传染源”,并防止随后的横向扩散。新HP TippingPoint ATA系列产品把这些高级威胁功能与HP TippingPoint Digital Vaccine (DV) Labs过滤编写专业知识整合到一起,以便进一步加强保护。
为应对高级持续性威胁增强大数据安全引擎
上面我们提到了黑客为达成攻击目的,制定了流程化的攻击模式,往往在最后一刻企业才发现受到攻击。如何在攻击发生的那一刻起,就发现和消除隐患,哪怕是在攻击发生后,能够快速将损失降到最低,对企业来说也并不容易。
惠普推出了HP ArcSight Logger 6.0,它是HP ArcSight安全信息与事件管理(SIEM)产品组合的核心组件,可以视为大数据安全的引擎。因为新Logger 6.0将性能提高了10倍,数据处理提高了8倍。
6.0版本将数据的索引达到了8TB,如果是压缩了以后可以达到80TB的数据检索。这意味着当企业去关联整个日志分析的数据的时候,可以扩展大量的数据在整个的体系中进行关联。它的高性能意味着超快取证调查,在几秒钟内可搜索1.6 PB数据。
通过分析更多数据,Logger 6.0能够帮助企业做出明智决策,破解黑客“来去无踪”。