抓捕“肇事逃逸”的黑客

  网络与安全总是如影随形。如果说网络为信息的交流和共享铺路搭桥,打造了通路,那么安全防护则以公路卫士的身份出现在人们身边。

  路越来越宽,卫士的角色也越来越重要,多起数据泄露事件为我们敲响了警钟:2014年5月,某手机厂商表示,其部分论坛账号信息被非法获取;同年 3月,某连锁酒店被曝光后台出现漏洞,可导致大量用户银行卡信息泄露。而在此前,多家电商、论坛也都爆发过信息泄漏事件。这些信息包括了用户上网的用户名、密码、真实姓名、身份证以及信用卡卡号,甚至是家庭住址、工作单位以及购买东西的记录。

  在数据泄露事件的背后,暴露的是企业在信息安全方面的防护弱点。这不仅损害了企业的商誉,同时也会对相关的经营活动乃至营利产生影响。

  高速公路上的肇事者

  一些人只有在发生交通事故后,才能够深切体会到遵守交通规则的重要性。与此相类似的,对于某些企业来说,恐怕只有真正出现数据泄露、资料被破坏的情况,才会真正开始注重信息安全建设。但是这样的代价往往非常高昂。根据《解放日报》近期的报道,某网络游戏公司由于遭到黑客攻击,造成1350万注册用户大量流失,损失近千万元。

  近期安全厂商Intel Security 旗下迈克菲委托Vanson Bourne进行的一项调查,同样反映了这样一个事实。这一调查的对象包括美国、英国、德国、法国、澳大利亚、巴西以及南非的800位CIO和安全部门经理。在这其中,有超过五分之一的受访安全专业人士承认其网络曾遭受过攻击。报告指出,在过去 12 个月中,遭受过数据泄露威胁企业的平均损失高达100万美元。

  就连IT巨头,甚至是一些信息安全公司,都曾经发生过信息安全事故。在信息安全这条高速公路上,既拥有安全卫士,同时也不乏妄图逃避检测的交通肇事者。迈克菲的调查显示,近40%遭受过此类攻击的被调查者相信,在这些攻击中AET(Advanced Evasion Technique,高级逃逸技术)起了关键作用。

  顾名思义,逃逸技术是一种通过伪装或修改网络攻击以躲避信息安全系统的监测和组织的手段。利用逃逸技术,高级的、怀有恶意目的的罪犯对具有漏洞的系统进行攻击。通常这些带有恶意内容的攻击会被监测出并被阻止,而高级的逃逸技术则不会被监测到。这也就使得AET成为网络犯罪“保驾护航”的技术。实际上,在AET的“庇护”下,单一的安全产品已经很难防范威胁。改变特征、干扰检测、乱序发送、垃圾填入,多样化且具备针对性的逃逸手段让传统的安全产品经常会对攻击不闻不问。如今AET甚至已经可以通过代理或者过滤手段绕过最新的沙盒检测技术。这也就是为什么,很多拥有强大技术及安全防范实力的公司也会在不知不觉中遭受到黑客攻击的原因。

  断网还是“安全互联”?

  如今,全球的信息安全专家已经找到了堪称完美的防御黑客攻击的手段:断网。不过这种因噎废食的做法显然不能够另我们满意。更为可怕的是,在想方设法破坏互联网隐匿性的同时,黑客自己的攻击手法却越来越隐蔽。

  在迈克菲的调查中,近40%的 IT 决策者认为他们没有办法在其企业内部检测并跟踪 AET,几乎三分之二的人表示,尝试部署防范AET技术时最大的挑战,是使董事会确信AET的的确确存在,并且是非常严重的威胁。

  所有安全产品与方案提供商都在致力于解决想要“逃逸”的黑客,然而相当多的安全事件证明,这些方案总是存在着百密一疏的漏洞。特别是在APT(高级可持续性威胁)泛滥的今天,很多安全方案根本就没办法应对有针对性的攻击手段。

  如今,在巨大的利益驱使下,黑客们愿意花费上数月或者是整年的时间去专门研究某一类或者某一家企业的IT系统,从中寻找漏洞。其中很多漏洞并没有任何公开资料。有时候,一个已经被废弃的旧系统往往就会成为黑客获取整个系统权限的突破口。与此同时,在AET的协助下,黑客们的手段也会更加隐秘。对于公路卫士来说,要在黑夜中追捕一个熟知地形,且拥有大马力车辆和绝佳驾车技术的飙车族,并不是那么容易。同样的,很多安全厂商彼此割裂、独立的安全产品,很难实现信息共享,以获取到黑客的踪迹。即使发现了相关线索,往往也不能够进行有效阻断。

  得益于所有安全解决方案在底层架构上的互联互通,以及全方位的安全产品线,迈克菲正在以一整套战略来应对数据泄露的威胁,特别是在今天这个安全边界被移动网络无限延展的时代之中。“安全互联”(Security Connected) 架构的出现,整合了从攻击发现、警示、协同、处理、报告等在内的一系列端到端防范措施,保证用户的数据安全。

  迈克菲采用了与绝大部分厂商截然不同的做法来抵御APT的威胁,感知到AET的踪迹。在迈克菲的“安全互联”架构中,包括沙盒技术在内,所有的检测技术都仅仅只是一项功能,而不是作为产品存在。依托于整套“安全互联”平台,迈克菲综合了信誉、实时模拟防御与深入的静态代码和动态恶意软件分析(沙盒)等各种信息进行检测,并对包括检测、处理等在内的所有行为实行联动。同时,在企业网络中无所不在的多入口点检测,也保证不会有漏网之鱼侵入网络。这与一些厂商仅仅将沙盒作为入侵检测功能,但却无法进行有效处理的方式截然不同。

  以McAfee Advanced Threat Defense方案为例,其不仅能检测到事故,并且还能真正阻止恶意软件以及任何旨在破坏企业的行为。实际上,这一产品的初衷设计思路就是发现、控制并修复恶意软件,阻止攻击或入侵。

  该解决方案加强了沙盒技术的效果,并全面集成了领先的迈克菲防恶意软件和防病毒技术,从而为企业机构创建了一个集中的“真相平台”,使它们能够实时地全面了解其系统的安全状况。一旦检测到恶意软件,安全管理员就能立即采取行动,隔离受到威胁影响的机器,或者当场杀除恶意软件。

  迈克菲“安全互联”可以为企业提供整套网络信息安全防护,这意味着,无论在“公路网”的哪里发现肇事逃逸者,公路卫士都可以阻断其行为。“漏网之鱼”从此将不复存在。那么,在安全形势愈发严峻的今天,你是要完全切断公司的网络,还是选择“安全互联”?

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:系统漏洞岂能让顾客买单