譚云,Check Point 北區(qū)技術(shù)經(jīng)理
網(wǎng)絡(luò)安全問題須警鐘長鳴
近年來各種網(wǎng)絡(luò)安全事件依舊層出不窮,且愈演愈烈,嚴重影響到我們生活和工作的方方面面。新型網(wǎng)絡(luò)犯罪正在升級迭代,日益呈現(xiàn)出產(chǎn)業(yè)化、智能化、國際化等新特點,互聯(lián)網(wǎng)用戶的信息安全,不斷受到來自黑產(chǎn)惡意攻擊等新挑戰(zhàn)。譚云詳細地舉例介紹了近兩年來臭名昭著的網(wǎng)絡(luò)攻擊事件,一樁樁一件件情節(jié)跌宕起伏,驚險程度堪比歐美大片,這些網(wǎng)絡(luò)事件給我們敲響了警鐘。
Fireball火球病毒:來自中國的Fireball病毒,這個病毒為了逃避國內(nèi)網(wǎng)絡(luò)警察的打擊,基本上都是面向國外的一些用戶。它在國外感染的時間是從2017年6月1號開始。Check Point研究員發(fā)現(xiàn),F(xiàn)ireball這個病毒在全球感染了5000萬到2.5億的PC,其中有20%的PC是處于企業(yè)網(wǎng)絡(luò)內(nèi)部的。它到了PC上后,會控制受害者電腦的web瀏覽器,在web瀏覽器里安裝一些插件,目的就是強制的修改web瀏覽器的主頁和搜索引擎。在短短一年的時間里,這家公司通過Fireball病毒獲利了8000萬人民幣。
WannaCry勒索病毒:WannaCry是去年5月份在全球爆發(fā)的一種比特幣勒索病毒,主要通過Windows的嚴重漏洞進行傳播,以向鎖定的目標索要贖金。WannaCry所利用的"永恒之藍"病毒,就是NSA之前官方的一個叫方程式組織這樣的一個黑客組織幫它們開發(fā)的一個武器。黑客拿到"永恒之藍"后,可能它本身的技術(shù)能力并沒有那么高,但是它得到了武器庫,個人黑客就擁有了等同于國家頂尖情報機構(gòu)黑客的能力。在整個的攻擊期間,全球至少有150個國家遭受了攻擊,受害的電腦超過了23萬。其實,在這個事件爆發(fā)之前,即4月27號,針對WannaCry病毒,Check Point已經(jīng)發(fā)布了IPS更新,即如果你部署了Check Point IPS安全設(shè)備,是完全可以阻止這樣的攻擊到達企業(yè)網(wǎng)絡(luò)內(nèi)部的。
RottenSys (墮落的系統(tǒng))惡意軟件:Check Point安全研究員賀飛翔跟安全團隊的其它兩位同事一起,在3月14號發(fā)布了一個重磅消息,就是找到了RottenSys移動端的病毒。截止今年 3 月 12 日累計受感染安卓手機總量高達 496 萬 4 千余部;受感染的手機中,每天約有 35 萬部輪番受到惡意廣告推送的侵害。受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。僅 3 月 3 日到 12 日 10 天期間,RottenSys 團伙向受害手機用戶強行推送了 1325 萬余次廣告展示,誘導獲得了 54 萬余次廣告點擊。保守估計不正當廣告收入約為 72 萬人民幣。
攻擊類型的演變和防護
網(wǎng)絡(luò)安全領(lǐng)域正在發(fā)生什么?魔高一尺、道高一丈,Check Point仔細地研究每一代的攻擊類型和它的防護方案,讓我們先來看看這幾代的攻擊的演變和防護。
首先,第一代的攻擊。我們的個人電腦是在80年代初到80年代末才慢慢流行起來的,隨著PC的越來越推廣,大家都有了PC,最早就出現(xiàn)了針對獨立電腦病毒的攻擊。以前的病毒是通過軟盤傳播的。Check Point在1993年推出第一代防火墻的時候,也是在一個軟盤上的,當時有五張軟盤,才可以安裝一個Check Point完整的軟件。我們通過軟盤的方式分發(fā)軟件,在這個過程中黑客也會把病毒放到軟盤里進行傳播,但是這種傳播效率比較低。所以,在那個時代的這種反病毒是安全防御里最重要的環(huán)節(jié)。
到了第二代,即90年代中期。自從因特網(wǎng)推廣后,針對網(wǎng)絡(luò)的攻擊越來越多,它可以通過網(wǎng)絡(luò)遠程的攻擊電腦、傳播病毒。而Check Point也是在這個年代成立的,即1993年Check Point在全球第一個發(fā)明了狀態(tài)化檢測的防火墻。第二代的防御方式,就是防火墻。
到了第三代,就是在2000年的時候,在這個網(wǎng)絡(luò)泡沫的時代,有很多很多的網(wǎng)站推出了不同的應用。這些應用,比如程序員學應用的時候,有的程序員寫程序是非常規(guī)范的,寫的代碼非常精煉,非常安全。但是程序放大的時候,你不能保證程序沒有任何的漏洞。而黑客就會利用這種程序的漏洞,通過網(wǎng)絡(luò)對這些應用進行攻擊。這個時候出現(xiàn)了IPS,就是入侵防護系統(tǒng)。通過入侵防護系統(tǒng)保護我們的應用,不被這些黑客所入侵。
到了第四代,從2010年開始的,當時在安全圈里有個非常流行的詞,叫APT攻擊。所謂的APT攻擊,就是黑客會利用0-day的漏洞攻擊你的系統(tǒng)。針對這種新的攻擊,我們也有一些新的防護手段,就是我們所說的這種沙箱,或者沙盒,還有防僵尸。
以上四種防護Check Point都是實現(xiàn)的,并且是業(yè)界最早實現(xiàn)的。
經(jīng)過Check Point的統(tǒng)計,百分之百的企業(yè)基本上都有防病毒的防護手段,百分之百的企業(yè)基本上也有了防火墻這樣的防護手段。但是只有50%的企業(yè)使用了入侵防護,就是對應用的防護的手段。只有7%的企業(yè)使用了沙箱和防僵尸的防護。
經(jīng)過Check Point的調(diào)查,發(fā)現(xiàn)現(xiàn)在絕大部分的企業(yè)都還處于第二代和第三代之間的防護狀態(tài)。也就是說,它現(xiàn)在的防護體系只能抵御第二代的網(wǎng)絡(luò)攻擊,或者第三代漏洞利用的情況。為什么叫2.8代呢?就是有些企業(yè)第三代的IPS并沒有啟用這種防護的狀態(tài),而是啟用了IBS,就是入侵檢測,即只檢測不防御,所以我們這兒把它列為2.8代。其實,對于這個結(jié)果,也是非常令人震驚的,如果是這樣,說明企業(yè)的防護安全已經(jīng)落后了安全的威脅整整10年時間。當然,這里也有很多企業(yè)的一些苦衷。
2018-第五代網(wǎng)絡(luò)攻擊
在今年1月召開的世界經(jīng)濟論壇上發(fā)布了一個全球的風險報告,排名第一的是極端天氣;排名第二的是自然災害;而排名第三、第四的,全部都是跟網(wǎng)絡(luò)安全和信息安全相關(guān);排名第三的是網(wǎng)絡(luò)攻擊的風險;排名第四的是數(shù)據(jù)詐騙,或者數(shù)據(jù)泄露的風險。這就說明,在現(xiàn)在數(shù)字時代,網(wǎng)絡(luò)安全已經(jīng)成為除了自然災害以外,最大的風險所在。
2018年,我們正處在一個非常重要的轉(zhuǎn)折點,因為現(xiàn)在所有的業(yè)務都在快速的進行數(shù)字化轉(zhuǎn)型,在數(shù)字化轉(zhuǎn)型的過程中,對這些安全性,特別是信息安全、數(shù)據(jù)安全,提出了越來越高的要求。今天我們看到的這些網(wǎng)絡(luò)攻擊,都是史無前例的、大規(guī)模、多項量、高強度的攻擊。我們總結(jié)出一個詞,我們叫第五代多維攻擊。這種攻擊,會對我們的企業(yè)和企業(yè)的聲譽造成非常重大的損害。
什么是第五代攻擊?其實,WannaCry勒索病毒就非常好的展示了什么叫第五代攻擊,首先是大規(guī)模的,它可以跨國家、跨行業(yè),一般都是全球性的爆發(fā)。
第二,它是多項量、多維度的攻擊。因為現(xiàn)在企業(yè)的網(wǎng)絡(luò)邊界越來越模糊,以前企業(yè)的網(wǎng)絡(luò)邊界就是連著Internet的那條鏈路,那就是它的邊界。但是現(xiàn)在很多企業(yè)慢慢地把一些業(yè)務、一些應用都在往云上遷移,不管是私有云,還是公有云,這就造成企業(yè)的網(wǎng)絡(luò)邊界越來越大,不那么好控制了。
第三,是我們現(xiàn)在的很多企業(yè),允許員工拿BYOD這些移動端設(shè)備連入企業(yè)辦公,而這些移動設(shè)備都是員工自己的,那么企業(yè)怎么保護設(shè)備上的信息,怎么防止黑客利用這些員工的手持設(shè)備攻擊內(nèi)部的網(wǎng)絡(luò)?
最后一個,它是高強度的攻擊手段,什么叫高強度?比如一些國家的間諜組織,它的情報部門所開發(fā)的黑客工具,現(xiàn)在已經(jīng)在互聯(lián)網(wǎng)的暗網(wǎng)上流傳開了,因為它本身也是不安全的。一旦國家資助的這些技術(shù)被流傳開了,其它的一些黑客雖然本身沒有這么高的技術(shù),但是他完全可以利用已經(jīng)開發(fā)出來的這些攻擊的框架、工具,放到它的自己的病毒里。這就造成我們現(xiàn)在的企業(yè)面對的黑客,不僅僅是一個簡單的犯罪組織,或者一個犯罪的個人,你面對的可能是代表國家最先進的網(wǎng)絡(luò)黑客團隊所開發(fā)出來的一些攻擊工具。當然,我們必須要采取行動。
Check Point 在2018年,推出了最新的針對這種多維度攻擊的第五代防護體系,叫Gen V防護體系。Infinity Total Protection是一款突破性安全模型,助力企業(yè)有效防御第五代 (Gen V) 網(wǎng)絡(luò)攻擊。該創(chuàng)新性模式利用 Check Point Infinity 架構(gòu)組件,在提供最高級別安全的同時,還通過整合安全組件以降低成本。Infinity Total Protection 是突破性的全新消費模型,提供簡單全包、基于用戶、按年訂閱的服務。該服務助力企業(yè)在整個網(wǎng)絡(luò)中全面實現(xiàn)第五代安全級別。Infinity Total Protection 是當今唯一包含網(wǎng)絡(luò)安全硬件和軟件的訂閱解決方案,具有完全集成式終端、云端和移動設(shè)備保護以及零日威脅防護特點,并且可以統(tǒng)一管理,提供全天候優(yōu)質(zhì)支持服務。有了 Infinity Total Protection,用戶可立即體驗到 Check Point Infinity 的統(tǒng)一安全架構(gòu)帶來的益處,同時還能讓整個企業(yè)環(huán)境無論是本地、移動設(shè)備或云端,都實現(xiàn)全面的威脅防護。
擁抱云時代 -CloudGuard
對于云端環(huán)境下的高級威脅防御Check Point現(xiàn)在主要有兩個產(chǎn)品,Check Point CloudGuard IaaS或者Check Point CloudGuard SaaS,二者都是統(tǒng)一在Check Point Infinity的第五代防護體系底下。通過Infinity一個統(tǒng)一的平臺去管理我們所有每一個點的安全策略,包括實現(xiàn)安全事件的可視化,幫助管理員用最少的時間,用最少的精力,實現(xiàn)企業(yè)的安全。
CloudGuard IaaS,對基礎(chǔ)架構(gòu)即服務的云進行防護。比如,像AWS,Azure,像國內(nèi)的阿里。我們在云上的安全體系的安全性,跟在傳統(tǒng)數(shù)據(jù)中心上其實是一致的,就是所有的技術(shù)在云端中都能用。但它最大的一個不同,就在于它能夠?qū)崿F(xiàn)云端的自動化和敏捷性。一個是它可以支持所有的平臺,就是你的企業(yè)不管是用了什么云,我都可以統(tǒng)一的幫你管理起來。第二個,是我們在這上面可以實現(xiàn)高級的威脅防護和安全的可視化,最重要的是我們支持DevOps和自動化編排。
針對SaaS,Check Point的API跟全球最大的SaaS 提供商進行整合,即Check Poin的研發(fā)跟它進行對接,它上面所有的數(shù)據(jù)都可以通過API傳到我們后臺的檢測引擎里,也就是我們的數(shù)據(jù)中心里做檢查,檢查完畢會把結(jié)果傳回SaaS,告訴它這是安全的還是不安全的。對于國內(nèi)日益崛起的SaaS供應商,因為涉及到API的開發(fā),Check Point的研發(fā)需要跟每個廠商做深入的對接。
