知道创宇云图态势感知系统技术白皮书.pdf
《知道创宇云图态势感知系统技术白皮书.pdf》由会员分享,可在线阅读,更多相关《知道创宇云图态势感知系统技术白皮书.pdf(15页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、密级 商密 云图态势感知系统云图态势感知系统 技术白皮书技术白皮书 北京知道创宇信息技术有限公司北京知道创宇信息技术有限公司 2016-5 北京知道创宇信息技术有限公司 2 目录目录 1. 概述概述 . 3 2. 新一代威胁的性质新一代威胁的性质 . 5 3. 新一代威胁攻击的五个阶段新一代威胁攻击的五个阶段 . 7 4. 问题的代价问题的代价 . 9 5. 新一代威胁如何绕过传统安全新一代威胁如何绕过传统安全 . 10 6. 传统单点防御的不足传统单点防御的不足 . 11 7. 新一代安全阻止高级持续性威胁新一代安全阻止高级持续性威胁 . 12 北京知道创宇信息技术有限公司 3 1. 概述概
2、述 国际著名 IT 市场研究机构 Gartner 公司在 2014 年安全趋势报告中指出: 你所知道的关于安全的一切都在变化 常规路线逐渐失控 可信能力取代被误导的概念“所有权=信任” 所有实体都必须考虑潜在的敌对方 所有数据包、URL、设备、应用、用户都是可疑的 大量的资源组合使用 环境成为作实时安全决策的关键 传统安全控制越来越无效 反病毒、边界防火墙越来越无效 需要改变通过堆叠保护信息的方式 超越网络和设备的最终边界 违规/高级威胁极难被检测 你已经被感染,只是你没有意识到 正如 Gartner 报告所说,安全的一切都在变化,威胁环境也已发生变化。黑客攻击正在 从个人向组织化、国家化方向
3、发展,他们目的性强,动机也很明显,往往有明确的商业、经 济利益或政治诉求,攻击手段从传统的随机病毒、木马感染及网络攻击,到近来的利用社交 工程、 各种零日漏洞以及高级逃逸技术 (AET) 发起的有针对性的 APT 攻击, 具有高级化、 组合化、长期化等特点,我们称之为新一代威胁。 新一代威胁最明显的一个特点就是能够绕过传统的安全检测和防御体系。 网络犯罪分子 持有最新的零日漏洞、 商业级的工具包以及社会工程技术进行高级针对性攻击。 这些威胁行 动水平低而缓慢,采用几个阶段和渠道,躲避传统的防御手段,寻找有漏洞的系统和敏感数 据。因此在新一代威胁面前,传统基于特征/签名检测的统一威胁管理(UTM
4、) 、下一代防火 墙(NGFW) 、入侵检测/防御系统(IDS/IPS) 、防病毒(AV)等安全产品并不能使组织得 到充分保护。 当前全球 IT 安全支出显示,几乎所有的费用都花在过时的、基于特征/签名的技术。基 于特征/签名的技术只能检测已知威胁,而不是未知的目前正在使用的新一代威胁。针对威 胁变种,传统的防御如防火墙、IPS、防病毒、反垃圾邮件和安全网关已经塌陷,给网络罪 犯留下一个敞开的漏洞。这就是为什么尽管已经部署了多层传统防御体系,但还是有超过 95%的公司网络中有高级恶意软件。 现今的攻击利用高级手段, 如掺混多态性和个性化, 对于基于签名的工具表现出是未知 的,但却真的足以绕过垃
5、圾邮件过滤器,甚至骗过有针对性的受害者。例如,网络钓鱼攻击 利用社交网站精巧地制作个性化的电子邮件,发送不断变化的恶意网址绕过 URL 过滤器。 传统安全产品正日益成为策略的实施点,而不是更好的抵御网络入侵。例如,URL 过 滤产品对于执行员工上网使用策略仍是有用的, 但对于防范不断变化的网页木马攻击则不再 北京知道创宇信息技术有限公司 4 有效。同样,下一代防火墙(NGFW)只是增加了用户、应用等下一代策略选项,并加强 了传统基于签名的保护。虽然 NGFW 可以加强传统 IPS 和 AV 保护,但这些都是基于签名 的技术, 在保卫网络方面并没有新的提高或创新, 集成这些传统的防御不能阻止新一
6、代的威 胁。 网络攻击已经超过了目前大多数企业使用的防御技术。 因此, 防范这些攻击需要一个超 越静态签名和基本行为启发式的战略。 要重新获得对新一代攻击的优势, 企业必须转向真正 的下一代保护:无需签名,主动,实时。通过对可疑代码贯穿整个攻击生命周期的连续分析 和阻塞恶意软件通过多个威胁传播媒介的通信, 下一代的保护能够阻止威胁敏感数据资产的 高级恶意软件、零日攻击以及高级持续性威胁(APT) 。 “普遍认为是高级攻击正在绕过我们传统基于签名的安全控制, 并持续存在我们的系统中长 时间未被发现。这种威胁是真实的。你已经受到损害,你只是不知道这一点。 ” Gartner公司,2012 北京知道
7、创宇信息技术有限公司 5 2. 新一代威胁的性质新一代威胁的性质 黑客攻击的形式、 功能和复杂程度在几年前已经开始变化。 新一代威胁既利用大众市场 恶意软件来感染许多系统, 又利用复杂的零日恶意软件来感染目标系统。 他们混合多种攻击 方式包括 Web、电子邮件和基于应用的攻击。现今的攻击目标是获取有价值的数据资产 敏感的财务信息,知识产权,认证凭证,内幕信息而每次攻击往往是一个多阶段的努 力渗透网络,传播,最终窃取有价值的数据。 从常见的 Zeus/ Zbot(网银木马)感染到定向的 Stuxnet(震网病毒)恶意软件,网络 攻击已经证明在窃取敏感数据、 造成金融损失和损害企业声誉等方面是有效
8、的。 网络犯罪分 子正在进行数十亿美元的网络交易活动。 一些国家正在利用恶意软件进行网络间谍活动, 以 刺探反对派活动分子,破坏对手的重要基础设施。由于高风险、零日漏洞的发展和其他犯罪 活动被很好的资助, 这个支持导致一个活跃的地下生态系统, 交易和出售驻留在一些世界上 最敏感网络的入口。黑客行动如火焰病毒、极光行动和 Nitro 攻击等使用定向的 APT 攻击 手段、网络钓鱼以及高级恶意软件已经影响了全球的企业和政府。 在信息“供应链”中的每个组织都有被攻击的风险。例如,2011 年 3 月 RSA(EMC 的一个部门)双因素认证算法的被窃显示了这些攻击的战略性质:他们从 RSA 窃取的知识
9、 产权“作为更广泛攻击的一部分,可能被用于降低当前双因素认证实施的有效性” ,使得网 络犯罪分子打破了全球的企业。2012 年 4 月,VMware(EMC 的子公司)证实,黑客已经 公开发布了 VMware 在 2003 年和 2004 年期间的部分源代码。 随着越来越多的数据中心采 用虚拟化, “普林斯顿大学的研究人员在 2013 年的一个研究中发现,流行的开源虚拟化管 理程序 Xen 和 KVM 有近 100 个安全漏洞, 其中超过三分之一的 Xen 漏洞和近一半的 KVM 漏洞可以让攻击者访问主机系统。 ” 这只是两个被用于进一步的 APT 攻击中的高级的有针对 性的攻击并寻找有价值的
10、知识产权的例子。 “企业面临着不断变化的威胁情况下,他们并没有准备好应对措施。 ” Gartner公司“最佳实践缓解高级持续性威胁。 ”2012年1月 “APT攻击者有更高的积极性。他们有更好的技能,更好的资金,更有耐心。他们可能尝 试多种不同的攻击途径。而且他们更容易成功。 ” Bruce Schneier“高级持续性威胁(APT) 。 ”2011年11月 北京知道创宇信息技术有限公司 6 RSA SecurID 攻击事件分析 北京知道创宇信息技术有限公司 7 3. 新一代威胁新一代威胁攻击攻击的的五五个阶段个阶段 新一代威胁是复杂的, 综合多种攻击途径以最大化突破网络防御的机会。 多途径攻
11、击通 常是通过 Web 或电子邮件传递。他们利用应用程序或操作系统的漏洞,利用传统的网络保 护机制无法提供统一的防御。 除了使用多种途径, 高级定向攻击还采用多个阶段穿透一个网络, 然后提取有价值的信 息。这使得它的攻击更不容易被发现。整个攻击生命周期的五个阶段如下: 第一阶段第一阶段:踩点踩点 在 APT 攻击中,攻击者会花几个月甚至更长的时间对目标网络进行踩点,针对性地 进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务 状况,员工信息等等。 第第二二阶段阶段:渗透渗透 在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或单击一 个经过伪造的
12、恶意 URL,希望利用常见软件(如 Java 或微软的办公软件)的零日漏洞,投送 其恶意代码。一旦到位,恶意软件可能会复制自己,用微妙的改变使每个实例都看起来不一 样,并伪装自己,以躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,或潜伏 数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里,或者通过基于云的文件共 享来感染一台主机,并在连接到网络时横向传播。移动系统忘记打补丁是很常见的,所以他 们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术, 即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。 第第三三阶段:阶段:植入植入 随着漏洞利用的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 知道 晓得 云图 态势 感知 系统 技术 白皮书
限制150内