讓安全系統主動感知威脅的變化
責編:admin |2014-12-23 15:08:03一邊是攻擊者行為、手段的千變萬化,一邊是企業數據應用模式因IT消費化、云和虛擬化技術的廣泛應用所帶來的變化,內外夾擊之下,企業安全防護的傳統法則還有效嗎?讓原有安全防護體系“低效”,甚至“失效”的原因又是什么?
針對2013年—2014年的企業安全威脅問題,趨勢科技進行了一項調查。調查結果顯示,在各種入侵企業內部IT系統的行為中,物理化的攻擊正在減少,取而代之的是利用惡意軟件進行入侵。而且,基于這種“更有效”方法的入侵行為,不僅頻次正在持續飆升,精準度也在提高。根據該項調查,99%的惡意軟件最終只感染了不到10個受害者,而80%的惡意軟件只感染了一個受害者,就達到了入侵的目的。顯然,以企業內部系統為目標的入侵行為,正變得越來越隱秘和智能,制造這類威脅的攻擊者不僅會利用、分析復雜的社交化信息鎖定目標,還會利用來自智能手機、云系統中的安全盲點、漏洞,甚至是一些過去根本不存在的安全隱患,攻入企業內部、盜取關鍵信息。
對于企業的困惑,趨勢科技認為,企業的安全性原則并沒有改變,要改變的是安全的方法。云時代的安全防護需要具備跨平臺、多平臺的智能防護能力,能讓安全系統主動感知威脅的變化。在利用安全終端、安全數據中心、安全網關,形成多層次性的防護架構的同時,必須通過引入高級防護技術,增強平臺的支持與集成,進而達到增強整體企業防護的效果。
傳統意義上,企業內部IT系統的安全防護能力往往優于用戶終端,所以很大一部分通過搜集社交化信息以鎖定目標的APT攻擊都是從用戶終端下手的。特別是在今天個人智能終端開始廣泛成為熱門訪問企業郵箱等的工具后,用戶終端更容易讓企業數據不可控,終端防護今天更是增強企業整體防護效果的關鍵。而在終端引入APT攻擊的發現、預警機制,很可能將成為一種高效的方法。趨勢科技剛剛發布的OfficeScan 11就集成了這類技術,可以幫用戶發現、預警APT等高級威脅。它依靠趨勢科技智能防護云體系,可以借助全球監測、分析異常行為的方式生成黑名單,讓用戶端及時發現威脅。它還可以提供精準的威脅情報,幫助企業利用多平臺、跨平臺防護體系,最終實現集中隔離與統一恢復。對于移動化所帶來的設備、用戶不可控問題,OfficeScan 11也能通過與TMCM的聯動實現對企業員工的策略管理。
此外,當企業用傳統的安全產品來保護“虛擬數據中心”時總顯得非常低效。例如,傳統的硬件安全產品就無法符合虛擬化環境下“軟件定義數據中心”的訴求,和數據中心演化、追求高效的要求相差甚遠。趨勢科技(中國區)業務發展總監童寧認為,“適應化 + 感知化 + 軟件化 + 平臺化”將成為數據中心安全產品發展的方向。在他看來,“數據中心的演化經歷了虛擬化、云化和軟件化這三個階段,這將創造出一個全新的生態系統,不僅要求基礎架構提供所需的整合能力,新興的業務程序也會需要數據中心具有彈性計算和軟件定義安全的支撐。但在以前,安全廠商和用戶的關注點都聚焦在‘核心技術’上,并未考慮演化的數據中心必然解耦硬件的現實條件。所以,在軟件決定一切的未來,核心技術的進步不能代表所有,網絡安全也應具備智能優化的能力、軟件定義的能力。”在這一點上,趨勢科技的Deep Security產品近年來受市場熱捧的事實就是個很好的例子,憑借有別于傳統防毒產品的概念和對虛擬化環境的適應,Deep Security已在虛擬化安全防護市場取得了驕人的市場占有率。據悉,其全新的Deep Security 9.5 就是基于軟件定義的安全架構設計的。現在不僅可以做到虛擬化無代理防護和私有云中的物理主機防護,還能與VMware vSphere、Citrix XenServer、Amazon AWS、Microsoft Hyper-V、華為FusionSphere等云管理平臺無縫集成,讓企業的安全策略在內部私有云和公有云平臺之間自由移動,讓管理員能夠快速、自動追蹤安全狀況。通過架構的改變,趨勢科技已經讓安全的能力完全融入到了數據中心,而不是在數據中心之外進行保障。
有數據表明,90%以上的APT攻擊是由釣魚郵件發起的。從郵件系統入手防范這類高級威脅,最適合的安全產品無疑是郵件安全網關。目前,趨勢科技已經將APT防御能力引入到這類產品中,其新推出的高級威脅郵件安全網關——DDEI,就可以偵測并攔截傳統防護無法發現的APT攻擊,即使是隱藏在電子郵件內部的惡意代碼和“誘餌”也能被DDEI識別、破解。據趨勢科技(中國區)網關產品經理白日介紹,DDEI不僅可以利用“沙箱”技術找出“惡意”附件,還能通過郵件內容分析等方法,更精準地攔截偽裝的郵件,和僅能防垃圾郵件、病毒,進行內容過濾的郵件安全網關不同,這類產品更關注對高級可持續攻擊行為的識別。