國外信息安全發展趨勢掠影
責編:admin |2015-02-03 17:51:55信息安全不僅直接關系到信息系統建設和應用的成敗,如果從國家和社會的層面來講,信息安全怎么說都有理,都不為過。
如今,我們對于信息安全的熱情空氣高漲,大力提倡自主可控。美國是信息技術的發源地,硅谷現在仍然是全球IT的創新中心。看一看他們處在什么位置,看一看他們對于信息安全的理念和策略、技術和方法,我們或許才能夠更好地尋找相應的措施和解決方案。
從下一代防火墻到下一代安全
6月底,Gartner發布了2014年十大信息安全技術,同時指出了這些技術對信息安全部門的意義。這些技術包括云端訪問安全代理服務、全面沙箱分析與入侵指標確認、端點偵測及回應解決方案、 針對物聯網的安全網關與防火墻……
Gartner副總裁Neil MacDonald表示:“企業正投入越來越多的資源以應對信息安全與風險。盡管如此,攻擊的頻率與精密度卻越來越高。高階鎖定目標的攻擊與軟件中的安全漏洞,讓移動化、云端、社交與大數據所產生的‘力量連結(Nexus of Forces)’在創造全新商機的同時也帶來了更多令人頭疼的破壞性問題。伴隨著力量連結商機而來的是風險。負責信息安全與風險的領導者們必須全面掌握最新的科技趨勢,才能規劃、達成和維護有效的信息安全與風險管理項目,同時抓住商機并管理好風險。”
簡單地說,云計算、移動、社交網絡等新興技術和應用,給信息安全帶來前所未有的安全挑戰。名不見經傳的美國網絡安全廠商Palo Alto Networks推出了第一款下一代防火墻,讓自己的名字迅速走紅。下一代防火墻應運而生,正是因為當前新興技術和應用為各類組織和機構帶來的安全威脅,它們呈現出和傳統威脅并不相同的特征,需要用戶不僅要對網絡層以下的數據包和流量進行過濾,更需要對上層的應用進行識別和分析。而下一代防火墻除了要實現傳統防火墻的功能以外,一個重要特征就是要具有業務的識別能力并具有安全的可視化,它能夠識別應用程序并在應用層上執行網絡安全策略。
現在,幾乎各個安全廠商都在推廣自己的下一代防火墻產品,這其中有傳統的網絡安全廠商,也有新興的應用安全廠商,但是毫無例外,他們都將下一代防火墻作為自己的主推產品。這樣一種趨勢,一方面說明了下一代防火墻作為傳統防火墻的替代品或者升級版,具有非常巨大的潛在市場;另一方面,在由下一代防火墻開始的信息安全產業變革中,融合的趨勢越來越顯著。
Palo Alto Networks率先推出下一代防火墻并且成為行業標桿,這一行為不僅捧紅了自己,也捧紅了一個詞——“下一代(Next-Generation)”。比如,與下一代防火墻相配合的,與傳統IPS相對應的下一代IPS(NGIPS)同樣浮出水面。根據Gartner的定義,下一代IPS除了具有傳統IPS的功能以外,還需要具有對應用的可視化和控制功能,情景感知(Context Awareness)、內容感知(Content Awareness)以及敏捷式引擎。
Gartner認為,下一代IPS正是為了解決在新興業務環境下出現的新型高級網絡攻擊而傳統IPS產品無法應對的問題。下一代IPS的與傳統IPS核心的區別為是否具有自適應安全能力的敏捷式安全引擎,下一代IPS借此才能夠實現周而復始不間斷地發現辨識網絡信息、學習并關聯信息、自動調整行動策略的自動防御能力。
已經被思科收購、以入侵檢測和防護見長的網絡安全廠商Sourcefire發布的下一代IPS就聲稱能夠針對高級威脅為用戶提供智能化的實時檢測和上下文感知、完整的可視化,以及自動化的智能安全,它可以通過被動入侵檢測模式將可疑的網絡通信流量和行為及時通知給用戶,并通過內聯 IPS 模式阻止威脅。在年初由NSS實驗室公布的數據中心場景IPS測試結果中,SourceFire產品的滲透攻擊阻擋率達到99.4 %,并100%有效防范了逃逸技術。
事實上,無論是下一代防火墻還是下一代IPS產品的問世,其根源都在于新技術和新應用所帶來的劃時代的巨變,給信息系統的安全帶來了顛覆式的變化。而在下一代防火墻和下一代IPS之后,也有很多信息安全領域人士開始討論更深入的話題——下一代安全。
顯然,下一代安全包含了更多的內涵。放眼望去,處在這個IT時代變革的交叉點上,IT的下一代必然帶來安全的下一代。但是,當下一代IT已經端倪初現,神秘的面紗正在慢慢揭開之時,究竟如何構建與下一代IT相適應的下一代安全,似乎還沒有人能夠具有完整清晰的思路。
云計算就是下一代IT的典型一例。云計算的新特性讓傳統的信息安全防護體系不再能夠提供足夠的防護。當然,云安全也出現在今年Gartner提及的十大信息安全技術中,云端訪問安全代理服務(Cloud Access Security Brokers)即部署在企業內部或云端的安全策略執行點,位于云端服務消費者與云端服務供應商之間,負責在云端資源被訪問時套用企業安全策略。在許多應用實例中,用戶初期所采用的云端服務都處于IT掌控之外,而云端訪問安全代理服務則能讓企業在用戶訪問云端資源時加以掌握和管控。
MTM Technologies公司戰略和創新總監Bill Kleyman則認為,由軟件定義的下一代安全將重新定義云計算。他指出,為解決云計算的安全問題,下一代安全將呈現三個方面的特征:
一是邏輯安全的抽象。下一代安全將具備足夠的技術能力與各個層面進行交互,這意味著可以將安全部署為直接與底層物理組件進行交互的虛擬服務。在任何情況下,數據中心的安全性都將圍繞著虛擬化和云展開。
二是可擴展的安全服務。下一代安全使用各項服務來控制和安全相關的基礎設施數據。應用程序防火墻、網絡流量監控設備將提供新的安全級別。設想一下這樣的場景,在關鍵應用程序的后臺存在一個強大的安全引擎,而這個引擎可以試探性地學會如何運行應用程序并停止任何異常流量。
三是數據安全與控制。它不只保護用戶的信息,在大數據時代,下一代安全解決方案還將幫助用戶控制流量。管理者可以設置控件來管理用戶和用戶組,這將創建一個動態的環境,當用戶使用云計算時他們可以在那里讓數據管理和用戶管理更加智能化。更重要的是,因為數據和虛擬機是流動的,它們能夠快速地遍歷數據中心中的節點,所以下一代安全應該精確地知道如何有效控制這些數據,并且在這些數據穿過各個節點時為其提供足夠的防護。這將更加有效地幫助用戶實現數據的安全性、完整性和可控性。[page]
沙箱不是萬能藥
如果說云計算等下一代IT讓信息安全體系不得不做出改變,必須被動轉向下一代安全的話,那么沙箱(Sandbox)技術則是信息安全技術主動出擊,從而應對更為復雜的、未知的安全威脅,特別是APT攻擊的偉大嘗試。
Gartner認為,全面沙箱分析與入侵指標(IOC)確認將成為今年十大信息安全技術之一。這是因為,某些攻擊將越過傳統的封鎖與安全防護機制,在這種情況下,最重要的就是要盡可能在最短時間內迅速察覺入侵,將黑客可能造成的損害或泄露的敏感信息降至最低。
所謂沙箱,是一種動態模擬分析技術,也就是利用虛擬化環境,來偵測惡意程序的行為。通過沙箱,用戶可發現電子郵件附件、共享文件或網站中的異常,把任何可疑的東西標注出來;在虛擬環境中測試嫌疑程序,看它們是不是真的有害,如果有害,這些威脅就被隔離、禁用。
實際上,沙箱的實現并不困難,但真正的核心是如何對沙箱內的行為進行分析,判斷哪些是惡意程序,并辨識出新的攻擊手法。很多防毒軟件都號稱有沙箱,但多數偏向針對執行層的過濾,但現在很多APT攻擊是通過文件層進行的,這就需要更專業的模擬環境去進行檢測。
許多信息安全平臺都具備在虛擬機(VM)當中運行(即“引爆”)執行文件和內容的沙箱功能,并且可以通過虛擬機觀察這些惡意文件和內容的一些入侵指標。目前,這一功能已迅速融入到一些較強大的平臺當中,不再屬于獨立的產品。一旦偵測到可疑的攻擊,必須再通過其他不同層面的入侵指標進一步確認,比如需要比較網絡威脅偵測系統在沙箱環境中所看到的,以及實際端點裝置所觀察到的狀況(包括活動進程、操作行為以及注冊表項等),再加以判斷和區分。
談到沙箱技術,就不得不提及美國另一個迅速崛起的新興安全廠商——FireEye。FireEye提出的APT攻擊防御解決方案創造性地為自己開辟了一片新的市場,也讓自己推向了信息安全解決方案的最前沿,倍受各界關注。去年9月,FireEye上市首日股價即上漲80%,可見市場對FireEye的前景大為看好。
FireEye備受關注,很大程度上源于其反惡意軟件的沙箱技術。FireEye的沙箱有很多特有機制,比如內建啟發式(Heuristics)、動態分析(Dynamic Analysis)機制,它們可以用來檢測網頁、電子郵件夾帶的各種文件格式,甚至包括Mp3、RealPlayer、圖像等類型的文件。FireEye的沙箱技術被很多知名安全廠商所效仿,這些廠商承認他們有意將自己的一些技術變得“更像FireEye”,這其中就包括邁克菲和Palo Alto Networks。如Palo Alto Networks推出的基于云的反惡意軟件技術就被稱為WildFire。
當然,沙箱技術也并非完美。沙箱分析非常耗費資源,如果用戶都將文件放到云端分析并在沙箱中虛擬執行的話,有可能會在超過1個小時后才能獲得分析結果,這就無法做到及時攔截,更應付不了在幾分鐘內即可快速變形的惡意攻擊。美國圣芭芭拉加州大學計算機科學系副教授兼Lastline公司首席科學家Christopher Kruegel認為,雖然沙箱(尤其在電子郵件領域)已經成為發現組織破壞與數據竊取等零日攻擊的絕佳利器,但是它的卓越表現也引發了攻擊者的注意,并開始想辦法繞過沙箱。
Lastline公司介紹了幾種關于沙箱的逃避技術,值得警惕。一種技術被稱為“停頓代碼”。該技術能夠拖延惡意代碼的發作過程、靜待沙箱檢測流程結束之后再繼續執行。在此期間,惡意軟件并不是簡單的中止運行,而是繼續執行某些并無意義的計算活動,這使其從直觀角度來看與合法進程高度一致。“為了監測惡意軟件,沙箱通常會啟用hook技術。”Christopher Kruegel指出,此類技術能夠直接深入程序代碼內部來獲取函數及庫調用過程中產生的通告信息。更深入的問題在于,程序代碼必須出現變動才能被正確監控,但是惡意軟件也同樣能夠檢測到這種變動。Christopher Kruegel認為,對系統調用指令進行監控的最大局限在于沙箱無法揪出惡意軟件在兩次調用活動之間所執行的指令,這一顯著的盲點很可能被攻擊者所利用。
另外一種逃避技術是通過環境檢查來實現的。Lastline公司指出,攻擊者可以在惡意代碼中添加與操作系統相關的新型零日環境檢查,并通過操縱返回值的方式逃避沙箱檢測,供應商只能通過安裝補丁來堵上這類缺口。
正如Christopher Kruegel所說,有些APT攻擊非常高級和復雜,往往具備環境感知能力,一旦其發現自己處在常見的虛擬主機環境時,便會立即停止活動,從而對沙箱產生“抵抗力”。鑒于此,FireEye的威脅防御平臺(Threat Prevention Platform)是以自主研發的虛擬主機環境來運行沙箱,采取非開放原始碼的特殊虛擬主機技術,不僅讓黑客無法掌握回避的方法,同時搭配專屬硬件設計,可以由微調核心程序來優化執行效能,更可同時運行模擬多種客戶端環境。
此外,FireEye還進一步擴展其偵測方案,推出實時、不間斷的防護平臺Oculus。除了以既有的威脅防御平臺為基礎,該平臺還包含了動態威脅情報(Dynamic Threat Intelligence,DTI)機制,為FireEye在全球部署搜集威脅情報。它運用海量數據分析技術,可以快速匯集并分析大量攻擊資料,以提升最新攻擊模式的辨識能力,協助用戶發現潛在的實際受害者,并提供相關預測信息。
當然,信息安全領域圍繞沙箱技術的努力與創新也再次印證了兩條定律:一是安全只是相對的,永遠沒有絕對的安全;二是只有各種安全技術聯合起來,協同作戰才能獲得更為有效的防御效果。
協同,還是協同
每年的RSA大會是全球信息安全趨勢的風向標之一,相信很多人還對今年RSA大會的主題“運用集體智慧”印象深刻。其實,協同作戰一直是信息安全領域極力倡導的,這是因為面對越來越復雜的環境和強大的敵人時,協同作戰總是比單兵作戰效能大增。
無論是APT攻擊還是移動、云計算中存在的更加泛化的安全威脅,都讓企業的信息安全環境變得日益復雜。另外,物聯網的逐漸崛起,更加速了安全威脅泛化的趨勢。Gartner研究副總裁Earl Perkins就表示,到2020年,物聯網的安全需求將要求全球超過一半的企業 IT 安全計劃重新制定和擴大。
物聯網的安全網關、代理與防火墻成為今年備受關注的信息安全技術,是因為企業都有一些設備制造商所提供的運營技術(OT),尤其是一些資產密集型產業,如制造業、公共事業等,而這些運營技術逐漸從專屬通信與網絡轉移至標準化網際網絡通信協議(IP)技術。越來越多的企業資產都是利用以商用軟件產品為基礎的OT系統進行自動化,其結果是這些嵌入式軟件資產必須受到妥善的管理、保護及配發才能用于企業級用途。OT涵蓋了數十億個彼此相連的感應器、設備與系統,許多無人為介入就能彼此通信,因此必須受到保護與防護。
Earl Perkins認為,面對物聯網所帶來的安全威脅,用戶可以通過自下而上的方式,建立臨時的安全規劃和策略。同時,面對各類不斷涌現的安全規劃和解決方案,企業應該從細微著手,開發基于特定業務用例的物聯網安全項目。
物聯網是對互聯網的延伸,它也將來自互聯網的威脅進行了延伸。面對包括物聯網在內的各類更為復雜的安全挑戰,協同是永恒的話題。通常,為了給客戶帶來更為有效的安全服務,廠商常常通過收購或者戰略合作,來進行優勢互補,交付完整的安全防護解決方案。在協同作戰方面,美國或者說國外信息安全廠商的愿望也似乎更為強烈。通過對安全廠商并購的動作,我們也可以看出當前信息安全發展的一些趨勢。[page]
美國電子政府的信息安全策略
美國的“電子政府戰略”對引領全美電子政府健康、快速發展起到了重要而又積極的作用。至今為止,美國的“電子政府戰略”仍然作為其電子政府發展的基本綱領,繼續驅動著美國電子政府前進的車輪。但作為全球最先進的電子政務國家,其電子政務信息安全問題一直是其電子政務戰略的重點。分析研究美國的電子政府信息安全策略,可以對我國的電子政務信息安全發展有很好的借鑒和啟示。美國電子政府信息安全的防范策略包括:
1. 傾力扶持國有信息安全產業的發展
自主的信息產業或信息產品國產化是保證電子政府信息安全的根本。信息安全技術、產品受制于他國是對國家安全利益的極大威脅。美國對國有信息安全產業的發展予以充分的政策和財政支持。當前,美國正在以下3種技術上求得突破:一是從技術上全面地不間斷地進行升級,逐步改善信息安全狀況、帶有普遍性的關鍵技術。如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等;二是突破技術難關,創新新技術,發揮技術的杠桿作用。如網絡偵察技術、信息監測技術、風險管理技術、測試評估技術和TEMPEST技術等;三是形成“撒手锏”的戰略性技術系統。如操作系統、密碼專用芯片和安全處理器等。還要狠抓技術及系統的綜合集成,以確保電子政府信息系統的安全可靠。
2. 進一步健全法律制度,嚴格執法
法律是保障電子政府信息安全的最有力手段,美國已經在政府信息安全立法方面積累了成功經驗,如美國的《情報自由法》和《陽光下的政府法》等。預防和打擊計算機犯罪法規、數字簽名認證法、電子憑證(票據)法、網上知識產權法等,電子政府信息安全管理走上法制化軌道。
3. 建立嚴格的安全預警機制
OMB A-130附錄3規定每個聯邦機構都應當制定和實施信息安全計劃,以確保所有聯邦機構的信息收集、處理、傳輸、存儲或分發的充分安全。安全計劃應當根據聯邦機構自身的職能及業務需求制定,遵循由聯邦總統管理和預算辦公室( OMB) 、商務部、總務管理局(GSA)和人事管理辦公室(OPM)發行的政府范圍內的政策、標準和規程,將其內容細化,設定安全目標。美國政府要求各聯邦機構對所制定的安全計劃,至少每隔三年要執行一次獨立的安全檢查或審計。對于涉及高風險的系統和主要應用程序,檢查和審計應當縮短周期。對各種應急計劃還要經常進行演練和測試,以保證它的有效性和可行性,使各類人員熟悉程序,以及各自所履行的職責。檢查通常從不同的側面,采取不同的手段進行,如過程檢查和技術測試等。檢查的內容是核實已被分配安全職責履行情況,該機構的安全計劃是否是可行的、適當的,以及管理人員的授權處理情況等。按照2002年通過的“聯邦信息安全管理法案”規定,要求聯邦機構每年對安全計劃和信息系統進行檢查,寫出獨立的綜合檢查員評估報告(IG Report),并報告給OMB,OMB再以年度報告的形式報告給國會,同時要求各聯邦機構信息安全計劃要經過OMB的年度審查。
4. 政府各部門密切協作
美國政府在信息安全計劃中,既有各自明確的分工和職責,又有相互的合作和幫助。如在制定標準和指南方面,NIST(美國國家標準與技術研究院)和OMB與NSA(美國國家安全局)合作協調,并以適當的方式幫助NSA ,NIST制定的標準和指南,以及技術建議,“最大程度地、切實可行地確保非國家安全系統的標準和指南成為制定國家安全系統標準和指南的補充”;在技術風險評估和測試方面,NSA也對NIST 提供技術建議和幫助,包括安全產品,對發現的技術漏洞和補救方法及時通報給NIST 。美國政府在保護關鍵信息基礎設施和資源方面,則是動員全社會的力量,在本土安全部帶領下,聯合私營部門、盟國、州、部落、地方政府、學術團體和一般公眾的力量一起合作,美國計算機應急事件預備隊(The United States Computer Emergency Readi-ness Team,US-CERT)就是這樣的一個產物。US-CERT成立的目的就是為了保護國家網絡基礎設施,US-CERT與主要的軟件制造商、卡內基梅隆(Carnegie Mellon)計算機事故應急響應組以及法律執行和情報團體保持密切的關系,與他們一道工作,分析惡意代碼和各種攻擊特征,并由它負責協調全國的網絡攻擊的防御和響應,從技術上為聯邦機構、企業單位和個人提供援助、咨詢,及時發布各種網絡安全威脅信息和處理方法。另外,我們從NIST出版的SP800系列出版物中,也可以看到NIST信息技術實驗室與產業界、政府部門、學術研究組織的共同合作的各種活動。
下一篇:linux防范DDOS攻擊