公司地址:厦门市湖里区湖里大道28号联盛大厦东侧411
联系电话:0592-2611675
电子邮箱: hr@xmsanyi.com
厦门三绎信息科技有限公司 版权所有©2011-2023 |
网络安全架构解决方案
1、 APT攻击的特点和途径
与传统的网络威胁对比,APT攻击具有持续、终端性、信息收集性、针对性、未知性、隐蔽合法性、渗透性、长期潜伏与控制性等的特点。APT攻击的以上特性决定了其可能采取一切可能的途径进入到企业内部。容易被APT所利用的因素包括:手机、平板电脑和USB外设等可以接入到企业内部的网络设备;可供外部访问的网页和应用程序;与外界相通的企业内部的邮件系统等。同时APT会不断的试探防火墙和服务器等的系统漏洞,寻找突破口。
因此我们可以通过一些管理或者技术上的措施,来减轻这些外部风险敞口的影响。但是更重要得是。企业必须建立有效得安全防护体系,才能有效得阻断APT得进攻。
2、 传统得三层企业网络安全架构及其弱点
传统得企业网络架构往往采用“网关+服务器+PC终端”通过不同的区域划分不同的vlan的三层得安全防护模式。这种模式下,安全防护模式分散再各个节点,如下图所示:
与传统的网络威胁对比,APT攻击具有持续、终端性、信息收集性、针对性、未知性、隐蔽合法性、渗透性、长期潜伏与控制性等的特点。APT攻击的以上特性决定了其可能采取一切可能的途径进入到企业内部。容易被APT所利用的因素包括:手机、平板电脑和USB外设等可以接入到企业内部的网络设备;可供外部访问的网页和应用程序;与外界相通的企业内部的邮件系统等。同时APT会不断的试探防火墙和服务器等的系统漏洞,寻找突破口。
因此我们可以通过一些管理或者技术上的措施,来减轻这些外部风险敞口的影响。但是更重要得是。企业必须建立有效得安全防护体系,才能有效得阻断APT得进攻。
2、 传统得三层企业网络安全架构及其弱点
传统得企业网络架构往往采用“网关+服务器+PC终端”通过不同的区域划分不同的vlan的三层得安全防护模式。这种模式下,安全防护模式分散再各个节点,如下图所示:
表面上看来,这种三层得结构为企业提供了安全得防护,无论是再网络入口位置、企业的关键服务器还是个人办公PC终端,都有安全的保障,不同的区域不能直接互通。但再实际工作中,发现该方案还存在以下一些不足:
2.1、防护能力不足。这种架构下,对病毒的发现通常是基于特征库匹配的方式,其有效性与病毒库的更新速度及病毒库的样本数准确性又很大的关系。基于病毒的防护实际是一种被动的防护,只有当相应的病毒样本已经被发现,并且经过放病毒公司的处理后才又相应的病毒特征码去匹配。根据现在大多数防病毒公司的能力来看,这至少要15分钟或者更长的实际,如果该病毒具有较大的破坏能力,则15分钟足已产生很大的破坏效应。
2.2、对APT等的攻击模式无效。这种架构对一般的病毒或威胁还可以应对,但是对一些高级持续性威胁APT和针对性的攻击通常都是无能为力的。因为每个企业收到的攻击都是不一样的,因此及时能够很快的发布病毒样本,这些病毒样本对其他企业根本没有用处,只会增加病毒库的负担。
2.3、缺乏整体性。企业安全就像防洪堤,它应该是一个有机整体,任何一个部分的损坏都会导致企业的安全出现问题。而该三层网络安全系统实际上还是3个系统,它们只是分布在不通的网络位置,并没有形成一个有机的整体,并且他们所监控到的信息并不能再整个系统中共享,还是各自为政。例如,我们工作中经常碰到这样的情况,一台PC终端遭遇到高级持续的(APT)攻击或有针对性攻击,可能因为使用者对这些内容不清楚或者不知道,他无法判断或根本不清楚他的计算机遭遇到了攻击,而管理人员基本上要的等到大多数计算机遭遇到了攻击才能得知并采取措施,可很多时候破坏已经造成了损失。
3、防范APT攻击的分层集中式网络安全架构
如上所述,为了给企业提供一个有机统一的安全环境,更加有效的防范APT网络攻击,客户在企业中部署如下图所示的分层中式网络安全架构
2.1、防护能力不足。这种架构下,对病毒的发现通常是基于特征库匹配的方式,其有效性与病毒库的更新速度及病毒库的样本数准确性又很大的关系。基于病毒的防护实际是一种被动的防护,只有当相应的病毒样本已经被发现,并且经过放病毒公司的处理后才又相应的病毒特征码去匹配。根据现在大多数防病毒公司的能力来看,这至少要15分钟或者更长的实际,如果该病毒具有较大的破坏能力,则15分钟足已产生很大的破坏效应。
2.2、对APT等的攻击模式无效。这种架构对一般的病毒或威胁还可以应对,但是对一些高级持续性威胁APT和针对性的攻击通常都是无能为力的。因为每个企业收到的攻击都是不一样的,因此及时能够很快的发布病毒样本,这些病毒样本对其他企业根本没有用处,只会增加病毒库的负担。
2.3、缺乏整体性。企业安全就像防洪堤,它应该是一个有机整体,任何一个部分的损坏都会导致企业的安全出现问题。而该三层网络安全系统实际上还是3个系统,它们只是分布在不通的网络位置,并没有形成一个有机的整体,并且他们所监控到的信息并不能再整个系统中共享,还是各自为政。例如,我们工作中经常碰到这样的情况,一台PC终端遭遇到高级持续的(APT)攻击或有针对性攻击,可能因为使用者对这些内容不清楚或者不知道,他无法判断或根本不清楚他的计算机遭遇到了攻击,而管理人员基本上要的等到大多数计算机遭遇到了攻击才能得知并采取措施,可很多时候破坏已经造成了损失。
3、防范APT攻击的分层集中式网络安全架构
如上所述,为了给企业提供一个有机统一的安全环境,更加有效的防范APT网络攻击,客户在企业中部署如下图所示的分层中式网络安全架构
3.2、基于沙箱的虚拟分析技术。原有在三层安全防护模式对某些附件或可执行文件系统可能造成的影响没有一个准确的分析,传统的方法通常是把这些文件隔离起来或者直接放过。如果该文件是一个正常的文件,隔离后,用户需要额外的操作才能得到该文件;如果该文件是一个恶意文件,放过的话,也会对用户的系统造成影响。因此,无论隔离还是放过,都会对用户造成困扰。并且,用户通常不具备足够的知识来判断文件是否是恶意的。那么引入这个基于沙箱虚拟分析技术,将会大大帮助用户解决这个问题。可以降文件放在沙箱中执行,看看它对系统的所有更改是否有害,无害则发过,如过有害则可以拦截该文件。沙箱是一个相对封闭的环境,并且采用的是虚拟化的技术,对整个网络安全环境没有影响。
3.3、一份统一的威胁名单。根据威胁检测技术和虚拟化分析技术的结果,可以产生一个可疑的威胁名单,及时的反馈给部署的不同网络位置的安全防护模块,由这些网络安全系统来决定如何进行防护。
3.4、生成本地病毒库以防范高级持续性威胁(APT)和针对性攻击。如前文所述,APT和针对性攻击是传统的全局病毒库无能为力的,因为这些攻击在其他地方根本没有发生过,无法得到相应的病毒样本。该子系统根据威胁分析和虚拟分析的结果提供一个在本地生成病毒库样本的功能,从而不让安全威胁的网络中进一步扩散。
3.5、清晰统一的报表系统。该集中分析管控系统会根据不同的目的,提供不同的报表供IT安全管理人员查看。例如,拦截病毒数量、本地病毒库更新状态、已发现的潜在威胁、病毒来源等。它是一个统一的报表系统,省去了以前IT安全管理人员需要的每一个系统上查看报表,然后进行人工整合的工作,大大减少了日常的管理开销。
4、综上所述,这种分层集中式的网络安全架构已经在一些企业级安全防护产品中体现,并已经应用到了政府、银行、中大型企业等容易受APT攻击威胁的组织和部门。通过采用文中所介绍的安全防护架构,能够降低APT攻击的有效性,从而增加企事业单位信息安全防护能力,减少信息暴露和被窃取的风险。
3.3、一份统一的威胁名单。根据威胁检测技术和虚拟化分析技术的结果,可以产生一个可疑的威胁名单,及时的反馈给部署的不同网络位置的安全防护模块,由这些网络安全系统来决定如何进行防护。
3.4、生成本地病毒库以防范高级持续性威胁(APT)和针对性攻击。如前文所述,APT和针对性攻击是传统的全局病毒库无能为力的,因为这些攻击在其他地方根本没有发生过,无法得到相应的病毒样本。该子系统根据威胁分析和虚拟分析的结果提供一个在本地生成病毒库样本的功能,从而不让安全威胁的网络中进一步扩散。
3.5、清晰统一的报表系统。该集中分析管控系统会根据不同的目的,提供不同的报表供IT安全管理人员查看。例如,拦截病毒数量、本地病毒库更新状态、已发现的潜在威胁、病毒来源等。它是一个统一的报表系统,省去了以前IT安全管理人员需要的每一个系统上查看报表,然后进行人工整合的工作,大大减少了日常的管理开销。
4、综上所述,这种分层集中式的网络安全架构已经在一些企业级安全防护产品中体现,并已经应用到了政府、银行、中大型企业等容易受APT攻击威胁的组织和部门。通过采用文中所介绍的安全防护架构,能够降低APT攻击的有效性,从而增加企事业单位信息安全防护能力,减少信息暴露和被窃取的风险。
