2017年5月12日�����,一個名為「WannaCry」電腦病毒開始席卷全球����,通過惡意加密電腦信息來向機主索要解密贖金�����,這就是后來名噪一時的勒索病毒����。
勒索病毒攻擊的不僅僅是個人用戶,還包括眾多企業(yè)用戶�。有統(tǒng)計數(shù)據(jù)顯示���,勒索病毒出現(xiàn)當天,全球就有近百個國家超10萬家組織機構(gòu)被勒索病毒攻擊��,僅僅美國就有1600多家機構(gòu)遭受攻擊���。
隨后幾年里����,勒索病毒又多次卷土重來,網(wǎng)絡(luò)安全的重要性由此也被提升到了空前高度���。
實際上�,隨著萬物互聯(lián)時代的到來、應(yīng)用態(tài)勢的巨變�����,端點的安全體系也在悄然改變��。
網(wǎng)絡(luò)攻擊:從炫技到獲利
什么是端點安全�?
山石網(wǎng)科規(guī)劃總工孫默告訴至頂網(wǎng),由于端點(包括終端和服務(wù)端)是應(yīng)用程序運行的載體���,除了極少數(shù)的網(wǎng)絡(luò)攻擊以破壞網(wǎng)絡(luò)為目的,大部分網(wǎng)絡(luò)攻擊是針對端點進行的攻擊��。端點數(shù)量巨大,很多用戶也缺乏安全意識�,所以控制了端點,既可以破壞或竊取數(shù)據(jù)����,也可以長期利用算力獲益,比如早期的DDoS�����,近年來的挖礦�����。正因如此��,ATT&CK里的攻擊技術(shù)約80%都需要在端點進行檢測�。
而從過去幾十年“黑客帝國”的崛起來看,對于端點的網(wǎng)絡(luò)攻擊一共經(jīng)歷了三次演變�����。
最早的網(wǎng)絡(luò)攻擊源自于網(wǎng)絡(luò)黑客的炫技�����,諸如早年間出現(xiàn)的冰河木馬����。
冰河木馬,又稱木馬冰河�,這款軟件出自國內(nèi)著名黑客黃鑫(glacier)之手,1999年,還是西安電子科技大學大四學生的黃鑫出于個人愛好開發(fā)了一款可以遠程控制別人電腦的軟件�,取名冰河,這款軟件當時被上傳到網(wǎng)上后迅速在圈內(nèi)傳播開來��。
也正是這樣一款軟件���,后來成了中國木馬軟件的鼻祖��。
類似冰河木馬這樣的軟件在早期互聯(lián)網(wǎng)發(fā)展歷史中不勝枚舉���,被稱為“世界頭號黑客”的米特尼克早年間甚至入侵過大名鼎鼎的美國聯(lián)邦調(diào)查局(FBI)�����,將FBI正在調(diào)查自己的幾位特工資料改成了罪犯資料。
這個階段的網(wǎng)絡(luò)攻擊比較“純粹”��,幾乎都是黑客編寫出一個“病毒”放到網(wǎng)上���,黑客并不會因此得到什么好處��。
2000年后,隨著一些重要行業(yè)的信息化建設(shè)逐漸成熟��,網(wǎng)絡(luò)攻擊開始進入到定向攻擊階段。
這個階段的網(wǎng)絡(luò)攻擊已經(jīng)不再是簡單的木馬植入,而是形成了「植入電腦病毒-探測收集電腦信息-與外部建立連接-向外傳送資料-銷毀入侵證據(jù)-進行定向攻擊」一整套復(fù)雜流程����。
這類專業(yè)的網(wǎng)絡(luò)攻擊的目標一般都是一些重要組織,甚至是國與國之間的對抗�,例如2009年伊朗遭受的“震網(wǎng)”攻擊、2015年烏克蘭的電網(wǎng)入侵事件�����。
2017年勒索病毒的出現(xiàn)�����,標志著網(wǎng)絡(luò)攻擊進入到了泛網(wǎng)絡(luò)攻擊時代�����。
與定向攻擊不同的是���,勒索病毒針對的不是特定的某個組織或個人�,而是整個互聯(lián)網(wǎng)�����,只要你的電腦有安全漏洞��,或者點開了病毒鏈接或郵件,就有可能遭受攻擊����,實際上,這已經(jīng)發(fā)展成了一種全網(wǎng)“薅羊毛”�����。
時至今日,網(wǎng)絡(luò)攻擊早已不再是幾個聰明人的一時炫技�,大多開始形成了有規(guī)模����、有組織���、以獲利為目的利益團體����,逐漸形成了一個龐大的灰色產(chǎn)業(yè)。
殺毒軟件的難題
有「矛」就必然有「盾」���,這是社會發(fā)展的客觀規(guī)律����。
于是���,隨著網(wǎng)絡(luò)攻擊的逐漸興起���,也開始有一批又一批有志之士投身于網(wǎng)絡(luò)世界的安全構(gòu)建中����,與網(wǎng)絡(luò)上的黑客勢力展開生死角逐���。
其中影響最為深遠的,要數(shù)殺毒軟件的誕生�。
世界上第一款殺毒軟件誕生于1989年�,距今已有26年的發(fā)展歷史,在這二十多年里���,殺毒軟件也從最初的數(shù)據(jù)匹配到如今逐漸引入人工智能技術(shù)��。
從技術(shù)上來看�,傳統(tǒng)的殺毒軟件一般來說是廠家針對新發(fā)現(xiàn)的病毒進行特征提取�,或直接拿文件的MD5作為庫�,當電腦上有新文件出現(xiàn)或者運行殺毒軟件時�,就會將相應(yīng)位置的文件與殺毒軟件的庫作比對�����,比對結(jié)果相符的話�,就會發(fā)出警告并清除文件。
所以傳統(tǒng)的殺毒軟件實際上是一種針對計算機上文件的防護技術(shù)�,這種方式也確實能比較好地應(yīng)對很大一部分網(wǎng)絡(luò)攻擊����。
不過�,從很多年前���,殺毒軟件就已經(jīng)開始面臨嚴峻的挑戰(zhàn)。
據(jù)瑞星的統(tǒng)計數(shù)據(jù)顯示����,2021年 瑞星“云安全”系統(tǒng)共截獲病毒樣本總量有1.19億個。孫默告訴至頂網(wǎng)�,實際上��,全球網(wǎng)絡(luò)病毒樣本每年新增數(shù)量早在很多年前就已經(jīng)達到了億級�����,像勒索病毒這類泛網(wǎng)絡(luò)攻擊,黑客可以不斷的產(chǎn)生變種讓傳統(tǒng)殺毒軟件防不勝防。殺毒軟件由于是一種被動防御�,所需要的庫會越來越大,實時性也會變得相對較差���。
殺毒軟件的優(yōu)勢在于相對易于部署使用����,結(jié)果簡單明了����,也能夠起到明顯作用�����,因而早年間比較流行。隨著網(wǎng)絡(luò)攻擊的種類越來越多樣�����,針對現(xiàn)在高價值數(shù)字資產(chǎn)的攻擊手段越來越高明�����,僅僅依靠殺毒軟件查殺病毒就開始顯得比較被動���。
孫默介紹,面對當前的攻擊態(tài)勢�����,端點安全防護需要綜合運用多種技術(shù)。
比如基于行為的檢測與響應(yīng)���,可以彌補殺軟基于特征匹配對未知威脅的不足���。但每種技術(shù)�����,有優(yōu)勢也會有局限性�����?���;谛袨榈臋z測,可以發(fā)現(xiàn)未知威脅�,然而誤報率會相對較高����,而且針對發(fā)現(xiàn)的未知威脅��,如何排查和清除���,也需要IT人員具備更高的專業(yè)水平�。
對企業(yè)來說�����,加強端點操作系統(tǒng)和軟件的補丁管理���,也是非常有效的預(yù)防攻擊手段����,近年來造成嚴重危害的幾次勒索病毒,都屬于利用系統(tǒng)漏洞的蠕蟲病毒���,打補丁���,就相當于提高機體的健康水平����。
近年來�,企業(yè)員工自帶設(shè)備和遠程辦公也越來越普遍,針對這種場景的終端����,除了要加強安全防護�����,還需要基于終端的屬性、狀態(tài)和環(huán)境等因素��,合理的限制其對企業(yè)內(nèi)網(wǎng)資源的訪問�����,防止出現(xiàn)問題時的蔓延擴散。
因此�,端點安全防護產(chǎn)品,正在向綜合多種安全技術(shù)的統(tǒng)一端點安全產(chǎn)品演進��。
企業(yè)的“云”上安全
對于普通用戶����,提到端點安全,更多的是想到PC�、移動端等終端,而對于企業(yè)安全管理者來說,服務(wù)器的安全防護會更加被關(guān)注�����。
早期服務(wù)器端是以物理機形式呈現(xiàn)����,彼時的安全防護與終端安全防護相似,主要是基于操作系統(tǒng)的惡意文件和行為檢測與防護���。
然而,隨著服務(wù)器端逐漸走向云化�,各種開源組件被廣泛使用,企業(yè)數(shù)字化業(yè)務(wù)也越來越豐富�����。尤其在當下企業(yè)數(shù)字化進程中,一些大的企業(yè)既有跑在物理機上的業(yè)務(wù)應(yīng)用���,也有跑在虛擬機的業(yè)務(wù)應(yīng)用�����,甚至還有一部分新業(yè)務(wù)用到了容器化部署�,服務(wù)器端的安全管理就成了一大難題。
孫默提到��,服務(wù)器端一方面是云化后的資產(chǎn)梳理�����、風險管理��、訪問控制變的復(fù)雜�,另一方面,企業(yè)對業(yè)務(wù)應(yīng)用運行的穩(wěn)定性要求很高�����,這給服務(wù)器威脅防護都帶來的更高的要求����。
全球知名咨詢機構(gòu)Gartner也正是意識到了云端安全防護的重要性����,繼2013年在EPP基礎(chǔ)上提出了EDR(終端檢測威脅與響應(yīng))后�,又在2016年提出了CWPP(云工作負載安全防護平臺),與此同時���,國內(nèi)針對云端安全防護的產(chǎn)品也逐漸發(fā)展起來�����,山石網(wǎng)科在2020年就入選了Gartner CWPP全球市場指南��,在云端防護可以提供覆蓋不同細分場景的多種產(chǎn)品組合選擇�。
針對云端的安全��,孫默也特別指出����,數(shù)字化簡單說是把企業(yè)的業(yè)務(wù)和流程搬到線上并且打通���,隨著企業(yè)數(shù)字化程度越來越高,有越來越多業(yè)務(wù)應(yīng)用部署在云端�����,CWPP的發(fā)展空間會越來越大���。
企業(yè)如何選擇端點安全
面對如此多樣化的端點安全技術(shù),企業(yè)用戶又該如何選擇�?
孫默指出,企業(yè)的發(fā)展階段不同,規(guī)模不同����,組網(wǎng)不同����,業(yè)務(wù)應(yīng)用的重要性不同���,在安全防護上,沒有標準答案�����。
比如�,當一個企業(yè)業(yè)務(wù)規(guī)模相對較小時,部署通用的端點安全�,同時通過網(wǎng)關(guān)加強內(nèi)外網(wǎng)以及內(nèi)部不同區(qū)域之間隔離,采用專業(yè)安全廠家的托管安全服務(wù)�����,是性價比不錯的選項�����。
而當一個企業(yè)規(guī)模龐大,并且安全管理成熟度也較高時���,這樣的企業(yè)更需要的是建立一個綜合的安全防御體系�。在這個安全防御體系中����,終端、網(wǎng)絡(luò)�����、服務(wù)器端的安全防護能力��,可以通過部署大數(shù)據(jù)安全分析運營平臺�����,將安全事件收集起來做進一步關(guān)聯(lián)分析和響應(yīng),從而對企業(yè)安全態(tài)勢有全局的可視可控�����,提高安全運營效率�。。
所以����,對于企業(yè)而言��,端點安全是企業(yè)安全防護體系的重要一環(huán)�,應(yīng)該根據(jù)不同發(fā)展階段��,建立不同的安全防護體系���,在這個體系下���,選擇適合的端點安全產(chǎn)品和方案�����。
