2017年5月12日,一個(gè)名為「WannaCry」電腦病毒開(kāi)始席卷全球����,通過(guò)惡意加密電腦信息來(lái)向機(jī)主索要解密贖金�,這就是后來(lái)名噪一時(shí)的勒索病毒���。
勒索病毒攻擊的不僅僅是個(gè)人用戶����,還包括眾多企業(yè)用戶��。有統(tǒng)計(jì)數(shù)據(jù)顯示����,勒索病毒出現(xiàn)當(dāng)天,全球就有近百個(gè)國(guó)家超10萬(wàn)家組織機(jī)構(gòu)被勒索病毒攻擊���,僅僅美國(guó)就有1600多家機(jī)構(gòu)遭受攻擊�。
隨后幾年里���,勒索病毒又多次卷土重來(lái)���,網(wǎng)絡(luò)安全的重要性由此也被提升到了空前高度。
實(shí)際上��,隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)、應(yīng)用態(tài)勢(shì)的巨變���,端點(diǎn)的安全體系也在悄然改變�����。
網(wǎng)絡(luò)攻擊:從炫技到獲利
什么是端點(diǎn)安全���?
山石網(wǎng)科規(guī)劃總工孫默告訴至頂網(wǎng),由于端點(diǎn)(包括終端和服務(wù)端)是應(yīng)用程序運(yùn)行的載體�,除了極少數(shù)的網(wǎng)絡(luò)攻擊以破壞網(wǎng)絡(luò)為目的,大部分網(wǎng)絡(luò)攻擊是針對(duì)端點(diǎn)進(jìn)行的攻擊�。端點(diǎn)數(shù)量巨大,很多用戶也缺乏安全意識(shí)���,所以控制了端點(diǎn)�,既可以破壞或竊取數(shù)據(jù)����,也可以長(zhǎng)期利用算力獲益,比如早期的DDoS��,近年來(lái)的挖礦���。正因如此���,ATT&CK里的攻擊技術(shù)約80%都需要在端點(diǎn)進(jìn)行檢測(cè)。
而從過(guò)去幾十年“黑客帝國(guó)”的崛起來(lái)看�����,對(duì)于端點(diǎn)的網(wǎng)絡(luò)攻擊一共經(jīng)歷了三次演變��。
最早的網(wǎng)絡(luò)攻擊源自于網(wǎng)絡(luò)黑客的炫技�,諸如早年間出現(xiàn)的冰河木馬。
冰河木馬�,又稱木馬冰河,這款軟件出自國(guó)內(nèi)著名黑客黃鑫(glacier)之手��,1999年���,還是西安電子科技大學(xué)大四學(xué)生的黃鑫出于個(gè)人愛(ài)好開(kāi)發(fā)了一款可以遠(yuǎn)程控制別人電腦的軟件���,取名冰河,這款軟件當(dāng)時(shí)被上傳到網(wǎng)上后迅速在圈內(nèi)傳播開(kāi)來(lái)��。
也正是這樣一款軟件����,后來(lái)成了中國(guó)木馬軟件的鼻祖�。
類似冰河木馬這樣的軟件在早期互聯(lián)網(wǎng)發(fā)展歷史中不勝枚舉�,被稱為“世界頭號(hào)黑客”的米特尼克早年間甚至入侵過(guò)大名鼎鼎的美國(guó)聯(lián)邦調(diào)查局(FBI),將FBI正在調(diào)查自己的幾位特工資料改成了罪犯資料��。
這個(gè)階段的網(wǎng)絡(luò)攻擊比較“純粹”��,幾乎都是黑客編寫出一個(gè)“病毒”放到網(wǎng)上�,黑客并不會(huì)因此得到什么好處。
2000年后�,隨著一些重要行業(yè)的信息化建設(shè)逐漸成熟,網(wǎng)絡(luò)攻擊開(kāi)始進(jìn)入到定向攻擊階段��。
這個(gè)階段的網(wǎng)絡(luò)攻擊已經(jīng)不再是簡(jiǎn)單的木馬植入����,而是形成了「植入電腦病毒-探測(cè)收集電腦信息-與外部建立連接-向外傳送資料-銷毀入侵證據(jù)-進(jìn)行定向攻擊」一整套復(fù)雜流程。
這類專業(yè)的網(wǎng)絡(luò)攻擊的目標(biāo)一般都是一些重要組織���,甚至是國(guó)與國(guó)之間的對(duì)抗��,例如2009年伊朗遭受的“震網(wǎng)”攻擊�����、2015年烏克蘭的電網(wǎng)入侵事件����。
2017年勒索病毒的出現(xiàn)�����,標(biāo)志著網(wǎng)絡(luò)攻擊進(jìn)入到了泛網(wǎng)絡(luò)攻擊時(shí)代���。
與定向攻擊不同的是�����,勒索病毒針對(duì)的不是特定的某個(gè)組織或個(gè)人�,而是整個(gè)互聯(lián)網(wǎng)�����,只要你的電腦有安全漏洞����,或者點(diǎn)開(kāi)了病毒鏈接或郵件,就有可能遭受攻擊��,實(shí)際上,這已經(jīng)發(fā)展成了一種全網(wǎng)“薅羊毛”���。
時(shí)至今日����,網(wǎng)絡(luò)攻擊早已不再是幾個(gè)聰明人的一時(shí)炫技���,大多開(kāi)始形成了有規(guī)模����、有組織����、以獲利為目的利益團(tuán)體,逐漸形成了一個(gè)龐大的灰色產(chǎn)業(yè)����。
殺毒軟件的難題
有「矛」就必然有「盾」,這是社會(huì)發(fā)展的客觀規(guī)律��。
于是����,隨著網(wǎng)絡(luò)攻擊的逐漸興起����,也開(kāi)始有一批又一批有志之士投身于網(wǎng)絡(luò)世界的安全構(gòu)建中�����,與網(wǎng)絡(luò)上的黑客勢(shì)力展開(kāi)生死角逐���。
其中影響最為深遠(yuǎn)的,要數(shù)殺毒軟件的誕生�。
世界上第一款殺毒軟件誕生于1989年,距今已有26年的發(fā)展歷史�����,在這二十多年里�����,殺毒軟件也從最初的數(shù)據(jù)匹配到如今逐漸引入人工智能技術(shù)�。
從技術(shù)上來(lái)看,傳統(tǒng)的殺毒軟件一般來(lái)說(shuō)是廠家針對(duì)新發(fā)現(xiàn)的病毒進(jìn)行特征提取���,或直接拿文件的MD5作為庫(kù)��,當(dāng)電腦上有新文件出現(xiàn)或者運(yùn)行殺毒軟件時(shí)��,就會(huì)將相應(yīng)位置的文件與殺毒軟件的庫(kù)作比對(duì)��,比對(duì)結(jié)果相符的話����,就會(huì)發(fā)出警告并清除文件。
所以傳統(tǒng)的殺毒軟件實(shí)際上是一種針對(duì)計(jì)算機(jī)上文件的防護(hù)技術(shù)�,這種方式也確實(shí)能比較好地應(yīng)對(duì)很大一部分網(wǎng)絡(luò)攻擊。
不過(guò)���,從很多年前���,殺毒軟件就已經(jīng)開(kāi)始面臨嚴(yán)峻的挑戰(zhàn)。
據(jù)瑞星的統(tǒng)計(jì)數(shù)據(jù)顯示����,2021年 瑞星“云安全”系統(tǒng)共截獲病毒樣本總量有1.19億個(gè)。孫默告訴至頂網(wǎng)��,實(shí)際上��,全球網(wǎng)絡(luò)病毒樣本每年新增數(shù)量早在很多年前就已經(jīng)達(dá)到了億級(jí)�����,像勒索病毒這類泛網(wǎng)絡(luò)攻擊,黑客可以不斷的產(chǎn)生變種讓傳統(tǒng)殺毒軟件防不勝防����。殺毒軟件由于是一種被動(dòng)防御,所需要的庫(kù)會(huì)越來(lái)越大����,實(shí)時(shí)性也會(huì)變得相對(duì)較差。
殺毒軟件的優(yōu)勢(shì)在于相對(duì)易于部署使用����,結(jié)果簡(jiǎn)單明了����,也能夠起到明顯作用,因而早年間比較流行����。隨著網(wǎng)絡(luò)攻擊的種類越來(lái)越多樣,針對(duì)現(xiàn)在高價(jià)值數(shù)字資產(chǎn)的攻擊手段越來(lái)越高明�����,僅僅依靠殺毒軟件查殺病毒就開(kāi)始顯得比較被動(dòng)。
孫默介紹��,面對(duì)當(dāng)前的攻擊態(tài)勢(shì)�����,端點(diǎn)安全防護(hù)需要綜合運(yùn)用多種技術(shù)���。
比如基于行為的檢測(cè)與響應(yīng)����,可以彌補(bǔ)殺軟基于特征匹配對(duì)未知威脅的不足�。但每種技術(shù),有優(yōu)勢(shì)也會(huì)有局限性����。基于行為的檢測(cè)��,可以發(fā)現(xiàn)未知威脅�,然而誤報(bào)率會(huì)相對(duì)較高,而且針對(duì)發(fā)現(xiàn)的未知威脅�,如何排查和清除,也需要IT人員具備更高的專業(yè)水平。
對(duì)企業(yè)來(lái)說(shuō)�,加強(qiáng)端點(diǎn)操作系統(tǒng)和軟件的補(bǔ)丁管理,也是非常有效的預(yù)防攻擊手段�����,近年來(lái)造成嚴(yán)重危害的幾次勒索病毒��,都屬于利用系統(tǒng)漏洞的蠕蟲病毒�����,打補(bǔ)丁�����,就相當(dāng)于提高機(jī)體的健康水平��。
近年來(lái)�,企業(yè)員工自帶設(shè)備和遠(yuǎn)程辦公也越來(lái)越普遍����,針對(duì)這種場(chǎng)景的終端,除了要加強(qiáng)安全防護(hù)�,還需要基于終端的屬性、狀態(tài)和環(huán)境等因素,合理的限制其對(duì)企業(yè)內(nèi)網(wǎng)資源的訪問(wèn)���,防止出現(xiàn)問(wèn)題時(shí)的蔓延擴(kuò)散�����。
因此��,端點(diǎn)安全防護(hù)產(chǎn)品���,正在向綜合多種安全技術(shù)的統(tǒng)一端點(diǎn)安全產(chǎn)品演進(jìn)。
企業(yè)的“云”上安全
對(duì)于普通用戶��,提到端點(diǎn)安全��,更多的是想到PC����、移動(dòng)端等終端,而對(duì)于企業(yè)安全管理者來(lái)說(shuō)�,服務(wù)器的安全防護(hù)會(huì)更加被關(guān)注。
早期服務(wù)器端是以物理機(jī)形式呈現(xiàn)���,彼時(shí)的安全防護(hù)與終端安全防護(hù)相似����,主要是基于操作系統(tǒng)的惡意文件和行為檢測(cè)與防護(hù)。
然而���,隨著服務(wù)器端逐漸走向云化���,各種開(kāi)源組件被廣泛使用,企業(yè)數(shù)字化業(yè)務(wù)也越來(lái)越豐富�。尤其在當(dāng)下企業(yè)數(shù)字化進(jìn)程中,一些大的企業(yè)既有跑在物理機(jī)上的業(yè)務(wù)應(yīng)用�����,也有跑在虛擬機(jī)的業(yè)務(wù)應(yīng)用�,甚至還有一部分新業(yè)務(wù)用到了容器化部署,服務(wù)器端的安全管理就成了一大難題�����。
孫默提到����,服務(wù)器端一方面是云化后的資產(chǎn)梳理�、風(fēng)險(xiǎn)管理、訪問(wèn)控制變的復(fù)雜,另一方面����,企業(yè)對(duì)業(yè)務(wù)應(yīng)用運(yùn)行的穩(wěn)定性要求很高,這給服務(wù)器威脅防護(hù)都帶來(lái)的更高的要求��。
全球知名咨詢機(jī)構(gòu)Gartner也正是意識(shí)到了云端安全防護(hù)的重要性�,繼2013年在EPP基礎(chǔ)上提出了EDR(終端檢測(cè)威脅與響應(yīng))后,又在2016年提出了CWPP(云工作負(fù)載安全防護(hù)平臺(tái))����,與此同時(shí),國(guó)內(nèi)針對(duì)云端安全防護(hù)的產(chǎn)品也逐漸發(fā)展起來(lái)��,山石網(wǎng)科在2020年就入選了Gartner CWPP全球市場(chǎng)指南�,在云端防護(hù)可以提供覆蓋不同細(xì)分場(chǎng)景的多種產(chǎn)品組合選擇。
針對(duì)云端的安全��,孫默也特別指出�����,數(shù)字化簡(jiǎn)單說(shuō)是把企業(yè)的業(yè)務(wù)和流程搬到線上并且打通�����,隨著企業(yè)數(shù)字化程度越來(lái)越高,有越來(lái)越多業(yè)務(wù)應(yīng)用部署在云端�,CWPP的發(fā)展空間會(huì)越來(lái)越大。
企業(yè)如何選擇端點(diǎn)安全
面對(duì)如此多樣化的端點(diǎn)安全技術(shù)�,企業(yè)用戶又該如何選擇?
孫默指出�����,企業(yè)的發(fā)展階段不同����,規(guī)模不同,組網(wǎng)不同����,業(yè)務(wù)應(yīng)用的重要性不同,在安全防護(hù)上����,沒(méi)有標(biāo)準(zhǔn)答案。
比如����,當(dāng)一個(gè)企業(yè)業(yè)務(wù)規(guī)模相對(duì)較小時(shí),部署通用的端點(diǎn)安全����,同時(shí)通過(guò)網(wǎng)關(guān)加強(qiáng)內(nèi)外網(wǎng)以及內(nèi)部不同區(qū)域之間隔離,采用專業(yè)安全廠家的托管安全服務(wù)�,是性價(jià)比不錯(cuò)的選項(xiàng)。
而當(dāng)一個(gè)企業(yè)規(guī)模龐大���,并且安全管理成熟度也較高時(shí)�,這樣的企業(yè)更需要的是建立一個(gè)綜合的安全防御體系���。在這個(gè)安全防御體系中��,終端���、網(wǎng)絡(luò)、服務(wù)器端的安全防護(hù)能力���,可以通過(guò)部署大數(shù)據(jù)安全分析運(yùn)營(yíng)平臺(tái)���,將安全事件收集起來(lái)做進(jìn)一步關(guān)聯(lián)分析和響應(yīng),從而對(duì)企業(yè)安全態(tài)勢(shì)有全局的可視可控��,提高安全運(yùn)營(yíng)效率��。。
所以���,對(duì)于企業(yè)而言���,端點(diǎn)安全是企業(yè)安全防護(hù)體系的重要一環(huán),應(yīng)該根據(jù)不同發(fā)展階段���,建立不同的安全防護(hù)體系����,在這個(gè)體系下���,選擇適合的端點(diǎn)安全產(chǎn)品和方案�。
