譚云,Check Point 北區(qū)技術(shù)經(jīng)理
網(wǎng)絡(luò)安全問題須警鐘長(zhǎng)鳴
近年來各種網(wǎng)絡(luò)安全事件依舊層出不窮,且愈演愈烈,嚴(yán)重影響到我們生活和工作的方方面面。新型網(wǎng)絡(luò)犯罪正在升級(jí)迭代,日益呈現(xiàn)出產(chǎn)業(yè)化、智能化、國(guó)際化等新特點(diǎn),互聯(lián)網(wǎng)用戶的信息安全,不斷受到來自黑產(chǎn)惡意攻擊等新挑戰(zhàn)。譚云詳細(xì)地舉例介紹了近兩年來臭名昭著的網(wǎng)絡(luò)攻擊事件,一樁樁一件件情節(jié)跌宕起伏,驚險(xiǎn)程度堪比歐美大片,這些網(wǎng)絡(luò)事件給我們敲響了警鐘。
Fireball火球病毒:來自中國(guó)的Fireball病毒,這個(gè)病毒為了逃避國(guó)內(nèi)網(wǎng)絡(luò)警察的打擊,基本上都是面向國(guó)外的一些用戶。它在國(guó)外感染的時(shí)間是從2017年6月1號(hào)開始。Check Point研究員發(fā)現(xiàn),F(xiàn)ireball這個(gè)病毒在全球感染了5000萬到2.5億的PC,其中有20%的PC是處于企業(yè)網(wǎng)絡(luò)內(nèi)部的。它到了PC上后,會(huì)控制受害者電腦的web瀏覽器,在web瀏覽器里安裝一些插件,目的就是強(qiáng)制的修改web瀏覽器的主頁和搜索引擎。在短短一年的時(shí)間里,這家公司通過Fireball病毒獲利了8000萬人民幣。
WannaCry勒索病毒:WannaCry是去年5月份在全球爆發(fā)的一種比特幣勒索病毒,主要通過Windows的嚴(yán)重漏洞進(jìn)行傳播,以向鎖定的目標(biāo)索要贖金。WannaCry所利用的"永恒之藍(lán)"病毒,就是NSA之前官方的一個(gè)叫方程式組織這樣的一個(gè)黑客組織幫它們開發(fā)的一個(gè)武器。黑客拿到"永恒之藍(lán)"后,可能它本身的技術(shù)能力并沒有那么高,但是它得到了武器庫(kù),個(gè)人黑客就擁有了等同于國(guó)家頂尖情報(bào)機(jī)構(gòu)黑客的能力。在整個(gè)的攻擊期間,全球至少有150個(gè)國(guó)家遭受了攻擊,受害的電腦超過了23萬。其實(shí),在這個(gè)事件爆發(fā)之前,即4月27號(hào),針對(duì)WannaCry病毒,Check Point已經(jīng)發(fā)布了IPS更新,即如果你部署了Check Point IPS安全設(shè)備,是完全可以阻止這樣的攻擊到達(dá)企業(yè)網(wǎng)絡(luò)內(nèi)部的。
RottenSys (墮落的系統(tǒng))惡意軟件:Check Point安全研究員賀飛翔跟安全團(tuán)隊(duì)的其它兩位同事一起,在3月14號(hào)發(fā)布了一個(gè)重磅消息,就是找到了RottenSys移動(dòng)端的病毒。截止今年 3 月 12 日累計(jì)受感染安卓手機(jī)總量高達(dá) 496 萬 4 千余部;受感染的手機(jī)中,每天約有 35 萬部輪番受到惡意廣告推送的侵害。受感染手機(jī)品牌分布(前五):榮耀、華為、小米、OPPO, vivo。僅 3 月 3 日到 12 日 10 天期間,RottenSys 團(tuán)伙向受害手機(jī)用戶強(qiáng)行推送了 1325 萬余次廣告展示,誘導(dǎo)獲得了 54 萬余次廣告點(diǎn)擊。保守估計(jì)不正當(dāng)廣告收入約為 72 萬人民幣。
攻擊類型的演變和防護(hù)
網(wǎng)絡(luò)安全領(lǐng)域正在發(fā)生什么?魔高一尺、道高一丈,Check Point仔細(xì)地研究每一代的攻擊類型和它的防護(hù)方案,讓我們先來看看這幾代的攻擊的演變和防護(hù)。
首先,第一代的攻擊。我們的個(gè)人電腦是在80年代初到80年代末才慢慢流行起來的,隨著PC的越來越推廣,大家都有了PC,最早就出現(xiàn)了針對(duì)獨(dú)立電腦病毒的攻擊。以前的病毒是通過軟盤傳播的。Check Point在1993年推出第一代防火墻的時(shí)候,也是在一個(gè)軟盤上的,當(dāng)時(shí)有五張軟盤,才可以安裝一個(gè)Check Point完整的軟件。我們通過軟盤的方式分發(fā)軟件,在這個(gè)過程中黑客也會(huì)把病毒放到軟盤里進(jìn)行傳播,但是這種傳播效率比較低。所以,在那個(gè)時(shí)代的這種反病毒是安全防御里最重要的環(huán)節(jié)。
到了第二代,即90年代中期。自從因特網(wǎng)推廣后,針對(duì)網(wǎng)絡(luò)的攻擊越來越多,它可以通過網(wǎng)絡(luò)遠(yuǎn)程的攻擊電腦、傳播病毒。而Check Point也是在這個(gè)年代成立的,即1993年Check Point在全球第一個(gè)發(fā)明了狀態(tài)化檢測(cè)的防火墻。第二代的防御方式,就是防火墻。
到了第三代,就是在2000年的時(shí)候,在這個(gè)網(wǎng)絡(luò)泡沫的時(shí)代,有很多很多的網(wǎng)站推出了不同的應(yīng)用。這些應(yīng)用,比如程序員學(xué)應(yīng)用的時(shí)候,有的程序員寫程序是非常規(guī)范的,寫的代碼非常精煉,非常安全。但是程序放大的時(shí)候,你不能保證程序沒有任何的漏洞。而黑客就會(huì)利用這種程序的漏洞,通過網(wǎng)絡(luò)對(duì)這些應(yīng)用進(jìn)行攻擊。這個(gè)時(shí)候出現(xiàn)了IPS,就是入侵防護(hù)系統(tǒng)。通過入侵防護(hù)系統(tǒng)保護(hù)我們的應(yīng)用,不被這些黑客所入侵。
到了第四代,從2010年開始的,當(dāng)時(shí)在安全圈里有個(gè)非常流行的詞,叫APT攻擊。所謂的APT攻擊,就是黑客會(huì)利用0-day的漏洞攻擊你的系統(tǒng)。針對(duì)這種新的攻擊,我們也有一些新的防護(hù)手段,就是我們所說的這種沙箱,或者沙盒,還有防僵尸。
以上四種防護(hù)Check Point都是實(shí)現(xiàn)的,并且是業(yè)界最早實(shí)現(xiàn)的。
經(jīng)過Check Point的統(tǒng)計(jì),百分之百的企業(yè)基本上都有防病毒的防護(hù)手段,百分之百的企業(yè)基本上也有了防火墻這樣的防護(hù)手段。但是只有50%的企業(yè)使用了入侵防護(hù),就是對(duì)應(yīng)用的防護(hù)的手段。只有7%的企業(yè)使用了沙箱和防僵尸的防護(hù)。
經(jīng)過Check Point的調(diào)查,發(fā)現(xiàn)現(xiàn)在絕大部分的企業(yè)都還處于第二代和第三代之間的防護(hù)狀態(tài)。也就是說,它現(xiàn)在的防護(hù)體系只能抵御第二代的網(wǎng)絡(luò)攻擊,或者第三代漏洞利用的情況。為什么叫2.8代呢?就是有些企業(yè)第三代的IPS并沒有啟用這種防護(hù)的狀態(tài),而是啟用了IBS,就是入侵檢測(cè),即只檢測(cè)不防御,所以我們這兒把它列為2.8代。其實(shí),對(duì)于這個(gè)結(jié)果,也是非常令人震驚的,如果是這樣,說明企業(yè)的防護(hù)安全已經(jīng)落后了安全的威脅整整10年時(shí)間。當(dāng)然,這里也有很多企業(yè)的一些苦衷。
2018-第五代網(wǎng)絡(luò)攻擊
在今年1月召開的世界經(jīng)濟(jì)論壇上發(fā)布了一個(gè)全球的風(fēng)險(xiǎn)報(bào)告,排名第一的是極端天氣;排名第二的是自然災(zāi)害;而排名第三、第四的,全部都是跟網(wǎng)絡(luò)安全和信息安全相關(guān);排名第三的是網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn);排名第四的是數(shù)據(jù)詐騙,或者數(shù)據(jù)泄露的風(fēng)險(xiǎn)。這就說明,在現(xiàn)在數(shù)字時(shí)代,網(wǎng)絡(luò)安全已經(jīng)成為除了自然災(zāi)害以外,最大的風(fēng)險(xiǎn)所在。
2018年,我們正處在一個(gè)非常重要的轉(zhuǎn)折點(diǎn),因?yàn)楝F(xiàn)在所有的業(yè)務(wù)都在快速的進(jìn)行數(shù)字化轉(zhuǎn)型,在數(shù)字化轉(zhuǎn)型的過程中,對(duì)這些安全性,特別是信息安全、數(shù)據(jù)安全,提出了越來越高的要求。今天我們看到的這些網(wǎng)絡(luò)攻擊,都是史無前例的、大規(guī)模、多項(xiàng)量、高強(qiáng)度的攻擊。我們總結(jié)出一個(gè)詞,我們叫第五代多維攻擊。這種攻擊,會(huì)對(duì)我們的企業(yè)和企業(yè)的聲譽(yù)造成非常重大的損害。
什么是第五代攻擊?其實(shí),WannaCry勒索病毒就非常好的展示了什么叫第五代攻擊,首先是大規(guī)模的,它可以跨國(guó)家、跨行業(yè),一般都是全球性的爆發(fā)。
第二,它是多項(xiàng)量、多維度的攻擊。因?yàn)楝F(xiàn)在企業(yè)的網(wǎng)絡(luò)邊界越來越模糊,以前企業(yè)的網(wǎng)絡(luò)邊界就是連著Internet的那條鏈路,那就是它的邊界。但是現(xiàn)在很多企業(yè)慢慢地把一些業(yè)務(wù)、一些應(yīng)用都在往云上遷移,不管是私有云,還是公有云,這就造成企業(yè)的網(wǎng)絡(luò)邊界越來越大,不那么好控制了。
第三,是我們現(xiàn)在的很多企業(yè),允許員工拿BYOD這些移動(dòng)端設(shè)備連入企業(yè)辦公,而這些移動(dòng)設(shè)備都是員工自己的,那么企業(yè)怎么保護(hù)設(shè)備上的信息,怎么防止黑客利用這些員工的手持設(shè)備攻擊內(nèi)部的網(wǎng)絡(luò)?
最后一個(gè),它是高強(qiáng)度的攻擊手段,什么叫高強(qiáng)度?比如一些國(guó)家的間諜組織,它的情報(bào)部門所開發(fā)的黑客工具,現(xiàn)在已經(jīng)在互聯(lián)網(wǎng)的暗網(wǎng)上流傳開了,因?yàn)樗旧硪彩遣话踩。一旦?guó)家資助的這些技術(shù)被流傳開了,其它的一些黑客雖然本身沒有這么高的技術(shù),但是他完全可以利用已經(jīng)開發(fā)出來的這些攻擊的框架、工具,放到它的自己的病毒里。這就造成我們現(xiàn)在的企業(yè)面對(duì)的黑客,不僅僅是一個(gè)簡(jiǎn)單的犯罪組織,或者一個(gè)犯罪的個(gè)人,你面對(duì)的可能是代表國(guó)家最先進(jìn)的網(wǎng)絡(luò)黑客團(tuán)隊(duì)所開發(fā)出來的一些攻擊工具。當(dāng)然,我們必須要采取行動(dòng)。
Check Point 在2018年,推出了最新的針對(duì)這種多維度攻擊的第五代防護(hù)體系,叫Gen V防護(hù)體系。Infinity Total Protection是一款突破性安全模型,助力企業(yè)有效防御第五代 (Gen V) 網(wǎng)絡(luò)攻擊。該創(chuàng)新性模式利用 Check Point Infinity 架構(gòu)組件,在提供最高級(jí)別安全的同時(shí),還通過整合安全組件以降低成本。Infinity Total Protection 是突破性的全新消費(fèi)模型,提供簡(jiǎn)單全包、基于用戶、按年訂閱的服務(wù)。該服務(wù)助力企業(yè)在整個(gè)網(wǎng)絡(luò)中全面實(shí)現(xiàn)第五代安全級(jí)別。Infinity Total Protection 是當(dāng)今唯一包含網(wǎng)絡(luò)安全硬件和軟件的訂閱解決方案,具有完全集成式終端、云端和移動(dòng)設(shè)備保護(hù)以及零日威脅防護(hù)特點(diǎn),并且可以統(tǒng)一管理,提供全天候優(yōu)質(zhì)支持服務(wù)。有了 Infinity Total Protection,用戶可立即體驗(yàn)到 Check Point Infinity 的統(tǒng)一安全架構(gòu)帶來的益處,同時(shí)還能讓整個(gè)企業(yè)環(huán)境無論是本地、移動(dòng)設(shè)備或云端,都實(shí)現(xiàn)全面的威脅防護(hù)。
擁抱云時(shí)代 -CloudGuard
對(duì)于云端環(huán)境下的高級(jí)威脅防御Check Point現(xiàn)在主要有兩個(gè)產(chǎn)品,Check Point CloudGuard IaaS或者Check Point CloudGuard SaaS,二者都是統(tǒng)一在Check Point Infinity的第五代防護(hù)體系底下。通過Infinity一個(gè)統(tǒng)一的平臺(tái)去管理我們所有每一個(gè)點(diǎn)的安全策略,包括實(shí)現(xiàn)安全事件的可視化,幫助管理員用最少的時(shí)間,用最少的精力,實(shí)現(xiàn)企業(yè)的安全。
CloudGuard IaaS,對(duì)基礎(chǔ)架構(gòu)即服務(wù)的云進(jìn)行防護(hù)。比如,像AWS,Azure,像國(guó)內(nèi)的阿里。我們?cè)谠粕系陌踩w系的安全性,跟在傳統(tǒng)數(shù)據(jù)中心上其實(shí)是一致的,就是所有的技術(shù)在云端中都能用。但它最大的一個(gè)不同,就在于它能夠?qū)崿F(xiàn)云端的自動(dòng)化和敏捷性。一個(gè)是它可以支持所有的平臺(tái),就是你的企業(yè)不管是用了什么云,我都可以統(tǒng)一的幫你管理起來。第二個(gè),是我們?cè)谶@上面可以實(shí)現(xiàn)高級(jí)的威脅防護(hù)和安全的可視化,最重要的是我們支持DevOps和自動(dòng)化編排。
針對(duì)SaaS,Check Point的API跟全球最大的SaaS 提供商進(jìn)行整合,即Check Poin的研發(fā)跟它進(jìn)行對(duì)接,它上面所有的數(shù)據(jù)都可以通過API傳到我們后臺(tái)的檢測(cè)引擎里,也就是我們的數(shù)據(jù)中心里做檢查,檢查完畢會(huì)把結(jié)果傳回SaaS,告訴它這是安全的還是不安全的。對(duì)于國(guó)內(nèi)日益崛起的SaaS供應(yīng)商,因?yàn)樯婕暗紸PI的開發(fā),Check Point的研發(fā)需要跟每個(gè)廠商做深入的對(duì)接。
