【IT168专稿】“主动防御”这个概念在几年前就被提出来了,发展到目前,主动防御已经不能被简单的认为是一种超前的网络安全防范技术,我们更应该从整体安全系统建设的角度出发,在网络安全防范的方方面面都把“主动”这个理念考虑进去。
可是,主动防御技术的概念在大多数人心目中仍然是一个模糊的概念,时至今日,在主动防御提出来的几年间,安全事件反而增加了,难道是“主动防御”效果不理想所致?
其实,在安全领域,主动防御技术的应用还是非常少的,诸如防火墙、IDS和IPS的应用,也仅仅是一些大型企业才能用得起的,而江民、瑞星和卡巴斯基所推出的最新版杀毒软件,只能是主动防御技术的最初级应用,只不过是对网页、注册表、恶意脚本增加了监测功能而已,也只能说是最初级的主动防御技术应用,距真正的主动防御还有一定的距离。
所谓“主动防御”,从概念上来讲是指对未知病毒的防范,在没有获得病毒样本之前阻止病毒的运作。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术。 “主动防御”最初的萌芽,是安全工程师们试图弥补传统“特征码查杀”技术的致命弱点——过分依赖对新病毒的截获能力和速度。目前反病毒主流技术依然是沿袭多年的“特征码查杀”技术,其工作流程是“截获-处理-升级”。
虽然这种技术已经非常成熟可靠,但是它总是滞后于病毒的传播。也就是有些人所说的:通过病毒的行为特征来判别其是否为病毒并进行处理。病毒行为阻断技术通过提取计算机病毒的共性特征,如:修改注册表、自我复制、不断连接网络等,综合这些病毒行为特征来判断其是否为病毒。
主动防御无标准
可见,主动防御作为一种概念被提出来以后,在技术实现上没有固定的标准,产品间缺乏相互开放的端口,阻碍主动防御这个理念的发展,而最终归于仅加强个体安全产品性能这个狭隘的范畴。面对当前日益严重的未知威胁,主动防御技术引导大多数杀毒厂商在两个方向发展并实施:
一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日,这仍然是最主要的,效率最高的应对方法。但是,不可避免,会有电脑中招倒下,成为新病毒的牺牲品。
另一方面是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。最早应该来自网关或防火墙等网络硬件系统。入侵检测系统和入侵防护系统都是在防火墙的基础上开发的攻击识别和拦截技术。入侵检测系统是为监测内网的非法访问而开发的设备,根据入侵检测识别库的规则,判断网络中是否存在非法的访问。管理员通过分析这些事件,来对网络的安全状况进行评估,再采取对应的防护策略。
入侵检测系统一个很重要的问题,就是这类警告太多了,以致于管理员要从浩如烟海的日志中来发掘安全事件,不仅仅容易出错,也增加了管理成本。而入侵防护系统相当于防火墙+入侵检测,提高了网络性能,也减少了误报。这些都是网关设备,这些设计理念,应用到桌面计算机系统,就被引伸为HIPS,即基于主机的入侵防护系统,可以大大提升网络安全质量。
主动防御应由产品到体系
以前防病毒软件通过加入行为分析变得主动了;IDS通过和防火墙联动变成IPS而变得主动了。但这些都是产品层面的变化,而主动防御是否更应该是一种体系架构?这个架构应该由谁来实施?是安全设备提供商还是安全服务商或者系统集成商?用户眼中的主动防御,应该是可以自动实现对未知威胁的拦截和清除,用户不需要关注防御的具体细节。目的很简单,就是我安装了你,你为我负责,老老实实干你的活,别再烦我了。安全软件厂商也一直向这个方向努力,比如,杀毒软件的主动更新,主动漏洞扫描和修复,以及对病毒的自动处理等。某种程度上说,符合主动防御的部分特征。可以从以下三层面来防护:
一、应用程序层的防护,根据一定的规则,执行相应的应用程序。比如,某个应用程序执行时,可能会启动其它程序,或插入其它程序中运行,就会触发应用程序保护的规则。
二、注册表的防护,根据规则,响应对注册表的读写操作。这个比较好理解了,某程序执行后,会创建或访问某些注册表键,同样,这些注册表键是被HIPS软件监视或保护的。
三、文件防护,对应用程序创建或访问磁盘文件的防护,就是某程序运行后,会创建新的磁盘文件,或者需要访问硬盘上某程序文件,从而触发HIPS软件的监视或保护功能。
HIPS软件的监视和保护功能,向主动防御目标更进了一步,但还不没有实现“主动防御”。因为,在使用这类软件时,会大量频繁触发HIPS软件的监视功能,这些功能,尚不能自动进行正确的处理,对这些警报的处理,需要这台电脑的最终用户作出正确的选择,这就是困惑所在。目前来说,HIPS软件,尽管可以一定程度上起到提升安全性的作用,但用起来,太麻烦了。它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时,它还有另一个困惑:如果我能够顺利而熟练的使用HIPS的软件,我可能只需要在其它方面注意,就可以更容易的避免受到病毒或木马的入侵。
在应用了主动防御技术之后,用户在运行一个程序时,都会弹出一个安全提示,尤其是运行网络应用程序时,将会弹出若干个安全提示,这也正是主动防御技术的魅力所在!显然,主动防御技术将是未来安全市场的发展趋势,也是抵制病毒、木马传播的利器。
主动防御体系标准从三个层面考虑
那么作为一家企业的技术人员,你该如何保护企业的网络呢?首先需要开发一套安全策略,并强迫所有企业人员遵守这一规则。同时,你需要屏蔽所有的移 动设备,并开启无线网络的加密功能以增强网络的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取公司的资料,或者令你的网络瘫痪。主动防御体系标准从理念到实际执行,需要从三个层面来考虑:标准制定、架构搭建、运行维护。
在实现一个具有主动性的网络安全架构前,你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件,以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
安全问题无处不在,单一的防病毒软件、区域防御系统已经不能满足企业网的需要,为了应对网络中存在的多元、多层次的安全威胁,必须首先构建一个完备的安全分析模型,在模型架构下层层设防、步步为营,才能够将安全问题各个击破,实现全网安全。
安全体系架构:由以太网交换机、路由器、UTM、流量整形与行为审计系统、接入认证与强制管理(DCSM)平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面,构成完善的防护体系,从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、UTM、流量整形与行为审计系统作为部署在网络各个层面的组件,DCSM作为全网调度和策略分发的决策核心,通过安全联动,从内外两个安全域,三个维度构建自适应安全网络。
从救火队到主动出击
安全网络运行维护环境下,用户接入网络需要通过四个方面:
1、身份可信: 终端用户如果要接入网络,首先需要安装安全客户端程序。DCSM会检测客户端中用户的信息,判断用户身份是否可信,合法的用户才拥有访问网络的权限。
2、安全可信: 终端的身份认证通过以后,DCSM还会检测终端的主机完整性和安全状态,判断终端是否“安全可信”。当达到安全可信标准之后,才会根据用户身份下发管理策略和访问权限,使该用户能正常使用网络。
3、行为可控: 在用户接入端点,安全客户端整合了主机IDS和主机防火墙模块,将根据管理员定义的策略,实时监控用户的上网行为,如果不符合企业的网络管理制度,DCSM可以通过发送告警消息给用户,或者通过主机防火墙阻断用户访问,甚至可以通过接入交换机将终端强制下线。 在网络各安全域内部,网络IDS也会实时监测通信状态,一旦发现来自内网/外网的攻击,就会通知DCSM,联动相关的网络设备,阻断攻击源。 除了实现传统的防火墙功能,UTM还将自动过滤已知的病毒代码、垃圾邮件等内容。通过使用UTM的高层协议识别或DCFS的流量整形功能,还可实现对P2P等应用的识别和阻断,保障带宽资源合理使用。
4、行为可取证: DCSM能够自动生成大量图文并茂的日志文件,便于管理员查询各种安全事件,对违反安全制度的网络行为,做到有据可循,并且进一步调整相应的安全措施和策略。
在主动防御体系下,安全设备运行维护的理念也发生了改变,运行机制由原来的救火队转变为主动出击。如果我们使用完全的主动防御技术,我们将远离网络安全风险。
