未雨绸缪应对新威胁

■ 山东 孙胜华 赵长林

编者按： 如今的网络安全早已不再是简单几个安全设备就能解决问题的时代了，为应对新的安全挑战，网络安全团队必须改变其通常的安全方法。本文介绍三大应对策略，以未雨绸缪应对新的安全威胁。

安全专家们预测，2019年将出现大量的新威胁。例如，半自动化的僵尸网络可以借助专门技术危害海量的设备，并且可以共同增加网络危害的速度和效率。

另外，还有模糊测试的商品化，这是一个在硬件和软件的接口及应用程序中发现漏洞的技术过程，主要通过将非法的、非预期的或半随机的数据注入到一个接口或程序中，然后再监视其崩溃、意外跳转到调试过程、无效的代码声明以及潜在的内存数据溢出。通过人工智能和机器学习的应用，将导致针对不同项目和平台的零日攻击的增加。显然，这些威胁带来的危害更大。

防御这种威胁要求两个方面。首先是理解网络犯罪的经济动因，其次是采用一种能够破坏这些动因的策略和方案。

鉴于此，一种防御性的响应是对影响攻击者收益模式的人员、过程和技术做出改变。例如，采用诸如机器学习和自动化等新策略和新技术强化防御面，或者可以迫使网络犯罪转变攻击方法并加重其开发成本，这种转变可能使网络犯罪的成本高昂，或者使其转而去破坏成本更低的其他方面。

为应对新的安全挑战，网络安全团队必须改变其通常的安全方法。最有效的策略可能是针对网络罪犯的经济模式，直接影响网络罪犯的经济收入。

部署欺骗

安全团队所面临的最严峻的挑战之一就是攻击链条的加速化。例如，从发现漏洞到利用漏洞进行破坏的时间已经从原来的几天变为几小时，并且正朝着几分钟和几秒钟的方向发展。

然而，用于检测破坏和数据泄露的时间往往需要花费很长时间，例如有可能需用几周时间。解决这种挑战要求采用双重策略。首先要提高检测网络中异常行为的能力，要达到尽可能实时地进行。其次是要找到一种延缓攻击的方法。

欺骗是实现此目的的一种安全策略。其要点是创建非常多的选择，其中的多数是“死胡同”，从而迫使攻击者的速度慢下来并可能放弃。安全防御者通过产生一些来自大量数据库的虚假却有吸引力的通信（其中仅有一种是真实的），攻击者就必须评估每个数据源，并有可能探寻每个选项。通过延长攻击者需要找到并检索数据的时间，防御者就有更多时间检测并对攻击做出响应。

但更为有效的是确保任何“死胡同”选项都不仅包含看似合法的信息，还要有即刻识别非法通信的陷阱，且能够自动触发响应，从而将网络罪犯从网络中驱逐出去。防御者需要在几个有吸引力的所谓“死胡同”的攻击路径中加强这种功效，这场“猫与老鼠”的游戏都会突然发生戏剧性的变化。

利用威胁情报

网络犯罪实现其现有攻击方案的投资最大化的最简单方法之一就是，简单地对恶意软件做出少量的更改。即使是诸如改变IP地址等基本操作都有可能使恶意软件逃避很多传统的安全工具的检测。许多已知的漏洞利用的持续成功就是这种策略有效性的一个证明。

对付这种变化的最常见的方法之一就是通过威胁情报的积极共享。经由威胁情报源提供的新数据可以使安全厂商和用户领先于威胁的发展。威胁情报变得日益详细和昂贵，网络攻击者也会调整其逃避检测和攻击工具和策略。

在威胁研究机构、安全厂商、执法部门及其他政府机构之间新的开放式协作，其目的是提升威胁情报的功效、适时性等。订阅这些威胁情报源并实施正确的策略有助于企业找到实现更高效检测的高级模式和过程。

随着这种情报日益详细，企业通过利用大型高级研究团队和政府机构的高级策略，就更有可能检测和防止整个恶意软件家族。因而，安全团队就更有可能将行为分析策略应用到动态的数据源中，并预测恶意软件的未来行为。

前瞻性思考

最后的方法是将企业的安全模式从被动式改为主动式。安全团队需要尽可能多地找到当前网络中的风险。

一个很好的起点是设想企业已经被攻击，然后考虑由此需要做什么，网络中有哪些设备及对这些设备实施了哪些策略，有哪些设备遭到攻击以及如何获知。安全团队从 “想当然”式的信任转变为零信任模式可能是最佳选择。其中包括实施多重认证、部署网络访问、建立分段和微分段等。

下一步就是将企业传统上分离的安全设备整合到一个独立的集成的架构中，其中包括在远程位置甚至在多种“云环境”中部署的安全设备。能够积极共享和关联威胁情报的工具与高级行为分析的结合，在确认即使是最高级的威胁时将更为有效。随着新威胁模式和趋势的出现，安全团队可以将其与网络设备的实时监测相结合，从而开始预测并在威胁发作之前积极阻止。

结论

保持领先于网络威胁的发展要求企业重新思考安全策略。在传统上，攻击者只需要防御者犯一个简单的错误就可实施攻击，同时攻击者在成功实现其目标之前会反复进行尝试。如今，企业不能被动地与攻击者进行军备竞赛，而需要先于威胁的行动，并针对网络犯罪的经济动机采取行动。

但是，要破坏网络罪犯的经济模式，只能通过将安全系统集成到一个紧密结合的框架中，能够自由的共享信息，执行逻辑的和行为的分析从而确认攻击模式，然后将威胁情报融合到一个不仅能洞察网络犯罪意图和攻击手段并且能够先发制人的自动化系统中。