1、云技術(shù)的背景以及現(xiàn)狀
我國的反病毒技術(shù)起源自20 世紀(jì)90 年代,以各種基于特征碼的惡意代碼檢測方法和基于文件數(shù)據(jù)、程序行為的啟發(fā)式檢測為主。隨著云計(jì)算技術(shù)的發(fā)展,各個廠商陸續(xù)提出了自己的云安全技術(shù)理念及相應(yīng)的產(chǎn)品。但這些產(chǎn)品多數(shù)的本質(zhì)并沒有脫離特征檢測這一方法,只是特征的提取與匹配計(jì)算方式有所變化。
首先是病毒特征碼從客戶端采集向云端采集的遷移。為了解決文件數(shù)據(jù)不斷膨脹,惡意代碼不斷增加給用戶帶來的內(nèi)存、硬盤、IO 等負(fù)擔(dān),云安全技術(shù)首先利用云計(jì)算實(shí)現(xiàn)了特征存儲在云端,用戶需要檢測的時候在本地提取特征送往云端檢測,進(jìn)一步在云端取得相關(guān)的處置方法。應(yīng)用此類技術(shù)的軟件可以被稱作云安全軟件。
其次云安全引入了更加豐富的樣本采集手段。從傳統(tǒng)的用戶上報(bào)、廠商主動獲取(下載站點(diǎn)、爬蟲、光盤采購等),轉(zhuǎn)向了由所有用戶共同組成的一個網(wǎng)絡(luò)在這個網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行采集,而采集的樣本變得異常豐富:
1)可以通過數(shù)字簽名進(jìn)行可信文件和非可信文件采集。對于授信證書簽署的文件可以對其進(jìn)行采集,配合后端分析減少惡意代碼特征的誤報(bào)。
2)可以通過文件的分布信息進(jìn)行基于分布的流行文件采集,對發(fā)現(xiàn)流行惡意代碼、傳播迅速的惡意代碼可以更快地發(fā)現(xiàn)。
3)可以通過文件的來源可信程度進(jìn)行采集,對于易被感染的計(jì)算機(jī)終端(或傳播惡意代碼的站點(diǎn)),新發(fā)現(xiàn)的文件可疑程度也就更高,及時的采集則可以更快地發(fā)現(xiàn)惡意程序。
4)通過API監(jiān)控技術(shù)和沙箱技術(shù)進(jìn)行特定行為觸發(fā)的采集。此方式對于賬號信息盜取,敏感信息竊取的木馬類采集異常有效。而云技術(shù)則可以對敏感位置和敏感數(shù)據(jù)提供時時更新。
再者云安全技術(shù)引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度、文件的數(shù)字簽名、文件在計(jì)算機(jī)終端的實(shí)際行為進(jìn)行分析檢測。云將這種檢測由原來的后置分析變成了在用戶現(xiàn)場進(jìn)行的實(shí)際環(huán)境的采集和記錄,對于云端來說需要的是對這些采集獲取的數(shù)據(jù)進(jìn)行更多的計(jì)算和分析,來判別文件的黑白。而無論是采取虛擬機(jī)、沙箱、API監(jiān)控還是網(wǎng)絡(luò)數(shù)據(jù)抓取等任意技術(shù)為云安全提供數(shù)據(jù)的終端設(shè)備,都可以被稱作是云安全設(shè)備。
最后云安全設(shè)備提供了按需采集數(shù)據(jù)的能力,這些數(shù)據(jù)構(gòu)成了分析提取惡意代碼特征的基礎(chǔ)。云安全軟件提供了按特征進(jìn)行惡意代碼檢測和處置的能力。云安全設(shè)備和云安全軟件為廠商提供了用戶需求,廠商可以為用戶提供定制的安全服務(wù),而廠商需要采集哪些惡意程序樣本并安裝客戶端需經(jīng)用戶允許才可進(jìn)行。這兩種按需提供的安全服務(wù)構(gòu)成了現(xiàn)有的云安全技術(shù)體系。但這個圍繞著發(fā)現(xiàn)惡意代碼建立的安全體系在面對新安全威脅時存在著明顯的弱點(diǎn)。
2、私有云安全平臺建立的意義
隨著企業(yè)管理信息化、政府政務(wù)信息化等各行業(yè)信息化全面的發(fā)展,對于企業(yè)、政府機(jī)關(guān)、組織機(jī)構(gòu)和特定的封閉環(huán)境對安全都有新的要求。要滿足在封閉環(huán)境可用又有廣泛的適用性,就必須改變基于惡意代碼特征檢測的安全防御方式,改變安全廠商完全封閉且用戶幾乎不可定義的安全防御模型。
隨著“等級保護(hù) ”、“分級保護(hù) ”、“企業(yè)內(nèi)控 ”等相關(guān)法規(guī)與政策的相繼頒布, 特別是與國計(jì)民生息息相關(guān)的大型國有企業(yè)與各級政府機(jī)關(guān), 對于實(shí)施知識產(chǎn)權(quán)和涉密信息保護(hù)的需求十分迫切。打破傳統(tǒng)網(wǎng)絡(luò)運(yùn)維和安全防護(hù)的界限, 構(gòu)建自主可控的智能信息終端安全運(yùn)維體系, 實(shí)施業(yè)務(wù)網(wǎng)絡(luò)完整的“發(fā)現(xiàn)、評估、處置、審計(jì)”威脅監(jiān)控流程, 是新形勢下確保關(guān)鍵信息系統(tǒng)安全穩(wěn)定運(yùn)營的重要前提。以完整的“監(jiān)測、發(fā)現(xiàn)、清除、恢復(fù)、審計(jì)”威脅監(jiān)控流程為基礎(chǔ),綜合利用云安全設(shè)備與云安全軟件的高度開放平臺即私有云安全平臺來應(yīng)對未來安全的威脅是必要的。
3、私有云安全的定義
私有云安全平臺是為應(yīng)對以APT 為代表的下一代安全威脅而研發(fā)的,綜合利用云安全軟件與云安全設(shè)備,結(jié)合完整的威脅“發(fā)現(xiàn)、評估、處置、審計(jì)”流程,同時提供用戶對流程按需參與的下一代安全服務(wù)技術(shù)。該技術(shù)通過云安全軟件的監(jiān)控能力來發(fā)現(xiàn)潛在安全威脅、依靠定制用戶可參與的多級分析鑒定系統(tǒng)對威脅進(jìn)行評估、提供用戶完全可控的安全策略處置方案、并且保證上述的所有操作都可以通過審計(jì)來事后追查。
4、私有云安全的特點(diǎn)
私有云安全平臺具有以下特點(diǎn):
1)能提供不依賴黑名單的威脅防御能力,以企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)為基礎(chǔ)形成可分級的自定義的安全基線。利用安全基線,可以將原來單一依靠黑名單防護(hù)的“泛安全邏輯”轉(zhuǎn)換為“精確安全邏輯”。
2)改進(jìn)的云安全軟件監(jiān)控,實(shí)時發(fā)現(xiàn)網(wǎng)內(nèi)新產(chǎn)生的程序、軟件或數(shù)據(jù)。
3)多級多維文件分析鑒定系統(tǒng),綜合多種靜態(tài)、動態(tài)文件鑒定系統(tǒng)提供對文件辨別是否安全可信的綜合依據(jù)。
4)實(shí)時的威脅風(fēng)險評估,通過各種云安全設(shè)備(客戶端終端軟件、基于云安全技術(shù)的網(wǎng)絡(luò)檢測設(shè)備、移動檢測設(shè)備等),對網(wǎng)內(nèi)威脅風(fēng)險進(jìn)行實(shí)時的變化反饋。
5)多級安全防御、威脅處置策略,根據(jù)威脅評估的結(jié)果和用戶對資產(chǎn)價值的評估結(jié)果,將安全防御與威脅處置策略的制定權(quán)力與建議方案提供給用戶。減少用戶對非核心價值資產(chǎn)的關(guān)注所導(dǎo)致人力物力投入的分散與浪費(fèi)。處理流程如圖1 所示。
6)多層次無庫惡意代碼檢測,從本地特征庫到內(nèi)網(wǎng)云特征庫,再到上級特征庫和公網(wǎng)特征庫,多個層次特征庫可以實(shí)現(xiàn)對難以處置的惡意程序和新發(fā)現(xiàn)惡意程序的第一時間感知,進(jìn)一步降低威脅發(fā)現(xiàn)的延遲。
7)威脅來源、分布的追溯能力,依靠對全網(wǎng)文件的追溯能力,在發(fā)現(xiàn)(潛在)威脅的第一時間對其來源進(jìn)行追溯,對其分布影響以及可能引發(fā)的后果進(jìn)行評估。為管理員進(jìn)行安全應(yīng)急響應(yīng)決策制定提供有力的支持。
8)綜合審計(jì)能力,對所有的操作提供全面的審計(jì)支持,為由于人為導(dǎo)致的安全事故提供后續(xù)封堵和追責(zé)的參考。
9)高度開放的用戶自定義接口,所有潛在威脅發(fā)現(xiàn)、文件與數(shù)據(jù)的鑒定、安全策略的制定與實(shí)施、審計(jì)內(nèi)容的定義都是用戶可通過開放接口進(jìn)行參與的,以適應(yīng)不同場景用戶個性化的需求。
5、私有云安全平臺的組成
與所有云安全技術(shù)類似,私有云安全平臺也由終端和云端兩部分構(gòu)成。
5.1終端可以分為兩種角色
1)負(fù)責(zé)數(shù)據(jù)采集的云安全設(shè)備。
主要采用API 監(jiān)控結(jié)合沙箱技術(shù)提供多文件、程序行為、關(guān)聯(lián)數(shù)據(jù)的采集能力。例如:Windows 終端上通過API Hook技術(shù)對瀏覽器進(jìn)行監(jiān)控可以采集用戶下載的新可執(zhí)行文件、以及利用漏洞運(yùn)行的惡意代碼、用戶訪問過的URL 等信息,通過關(guān)聯(lián)分析就可以發(fā)現(xiàn)利用未知漏洞運(yùn)行程序,為后續(xù)制定防御策略和追溯威脅來源提供數(shù)據(jù)支持。
又如:云防火墻設(shè)備可以從根據(jù)非法IP 對指定設(shè)備的特定端口進(jìn)行訪問到被潛在威脅攻陷的計(jì)算機(jī)的IP、MAC 等信息的采集,這些信息與之前在該計(jì)算機(jī)上采集到的程序網(wǎng)絡(luò)訪問行為結(jié)合則可以直接定位到潛在威脅程序,為進(jìn)行應(yīng)急響應(yīng)、安全處置提供精準(zhǔn)的參考。
2)負(fù)責(zé)安全防御與威脅處置的云安全軟件。
主要利用云查殺技術(shù)和API 監(jiān)控等傳統(tǒng)監(jiān)控能力與云結(jié)合實(shí)現(xiàn)多層級多緯度的安全策略。例如,在云安全設(shè)備中的防火墻可,在管理員發(fā)現(xiàn)威脅后,通過私有云安全平臺將該潛在威脅直接標(biāo)為不可信,并進(jìn)行阻斷處置,同時禁止該程序在任何計(jì)算機(jī)上運(yùn)行來達(dá)到防御的目的。這些防御和處置手段都是通過云安全軟件來實(shí)現(xiàn)的。
在實(shí)際使用的過程中,經(jīng)常會有同一個終端充當(dāng)多個角色的情況。例如:部署在用戶計(jì)算機(jī)的客戶端軟件可以提供云安全軟件的安全防御能力、威脅處置能力同時又可以充當(dāng)云安全設(shè)備對用戶機(jī)器上新發(fā)現(xiàn)的程序進(jìn)行采集、上報(bào);部署在網(wǎng)關(guān)處的防火墻設(shè)備則可以采集網(wǎng)絡(luò)流量信息(充當(dāng)云安全設(shè)備)、根據(jù)私有云安全平臺的策略對潛在威脅的數(shù)據(jù)連接和數(shù)據(jù)包進(jìn)行阻斷(充當(dāng)云安全軟件)。
5.2 云端分類
1)惡意代碼查殺云(也可稱為可信軟件查詢云、文件信譽(yù)云),負(fù)責(zé)為云安全軟件和下級惡意代碼查殺云提供惡意代碼和可信軟件程序的按需查詢服務(wù)。
2)安全基線云,負(fù)責(zé)為不同計(jì)算機(jī)提供不同的安全基線,位于基線內(nèi)的文件對于指定的計(jì)算機(jī)來說是可信的,不在基線內(nèi)則可以視為威脅。
3)程序、數(shù)據(jù)鑒定云,負(fù)責(zé)對云安全設(shè)備采集到的文件實(shí)體、數(shù)據(jù)進(jìn)行分析鑒定并給出分析報(bào)告或鑒定結(jié)果。
4)文件追溯云。提供對全網(wǎng)可執(zhí)行文件和關(guān)鍵文件的追溯能力,利用云安全設(shè)備充當(dāng)探頭,完成對全網(wǎng)文件狀態(tài)的全面追溯。
5)安全管理云,負(fù)責(zé)接收、管理用戶處采集到的文件、數(shù)據(jù);負(fù)責(zé)管理惡意代碼查殺云的特征數(shù)據(jù);負(fù)責(zé)管理安全基線;負(fù)責(zé)管理終端云安全設(shè)備的采集策略;負(fù)責(zé)管理云安全軟件的防御和處置策略;負(fù)責(zé)提供安全管理、應(yīng)急響應(yīng)建議。
6)安全審計(jì)云,負(fù)責(zé)對上述各種云在運(yùn)行中產(chǎn)生的關(guān)鍵行為和結(jié)果的記錄和審計(jì),并提供審計(jì)報(bào)表。
除上述的云安全服務(wù)以外,還可以提供“URL 可信查詢云”、“系統(tǒng)文件修復(fù)云”等其他云安全服務(wù)。只要某種云安全服務(wù)符合安全管理云的API 接口,就可以被安全管理云管理。同時用戶也可以通過安全審計(jì)云提供的API 接口對審計(jì)數(shù)據(jù)進(jìn)行獲取。通常上述的多種云服務(wù)都通過云計(jì)算服務(wù)來實(shí)現(xiàn)。
6、私有云安全平臺的部署實(shí)施
由于私有云安全平臺自身的高度可定制性,其部署方案也是多種多樣的,下面列舉三種典型的部署方案。也通過這三種方案來看一下私有云安全平臺是否可行。
1)惡意代碼查殺方案。對于此類方案其主要目標(biāo)是用下一代威脅防御產(chǎn)品對既有產(chǎn)品進(jìn)行替代。如果對新的安全防御能力沒有要求則可以通過簡單的部署私有云安全平臺客戶端軟件、惡意代碼查殺云、安全管理云的方式實(shí)現(xiàn)與傳統(tǒng)云安全反病毒軟件相同的防御能力。甚至在非封閉的網(wǎng)絡(luò)環(huán)境,就可以直接使用公有云的云查殺能力例如最簡單的針對小型企業(yè)的安全解決方案是直接使用公有安全管理云和公有惡意代碼查殺云,這樣可以將部署的成本降到最低。
2)封閉環(huán)境鎖定方案。對于封閉網(wǎng)絡(luò)環(huán)境來說,由于隔絕于外部,所以在一定時間內(nèi)其內(nèi)部的文件數(shù)量級別保持恒定,通常采取建立安全基線的部署方式,部署的功能組件也會比較完整。同時除了上述的常規(guī)部署方案外,針對一些全封閉的特殊環(huán)境,可以采取嚴(yán)格的基線策略,除基線外的所有程序都禁止執(zhí)行,也就是說將終端設(shè)置為鎖定狀態(tài),僅允許運(yùn)行安全基線內(nèi)的程序。當(dāng)發(fā)生違規(guī)操作時(即有一個未知或不允許運(yùn)行的程序運(yùn)行),則可能發(fā)生入侵或攻擊行為,管理人員則可以根據(jù)情況依據(jù)安全管理云提供的建議進(jìn)行應(yīng)急響應(yīng)。
3)未知威脅防御方案。一種典型的未知威脅防御方案是針對APT的防御方案。APT的持續(xù)性決定了,必然存在持續(xù)的未知威脅才能保障達(dá)到攻擊目的。首先攻擊者通過種種手段突破防御的邊界進(jìn)從入系統(tǒng)內(nèi)部,然后在系統(tǒng)內(nèi)部低資產(chǎn)價值機(jī)器之間駐留、傳播以尋找到達(dá)高資產(chǎn)價值的攻擊目標(biāo)的機(jī)會,最終到達(dá)目標(biāo)后實(shí)施攻擊。而整個過程必須由一個或多個程序來完成,其特點(diǎn)是在特定的時間內(nèi)無法被傳統(tǒng)的反病毒軟件檢測到(要達(dá)成這個目的必須做到“免殺”或者偽裝成可信程序)。概括為三個階段:1)邊界突破;2)介質(zhì)潛伏;3)目標(biāo)破壞。
針對APT防御在完整部署私有云安全平臺后,可以依據(jù)以下的多級防御模型進(jìn)行實(shí)施。該模型將終端劃分為多個安全級別,每個安全級別的風(fēng)險根據(jù)不同的數(shù)據(jù)進(jìn)行評估,下面以私有云安全平臺某版本內(nèi)置的四級安全模型為例。該模型將終端分為:開放終端、審計(jì)終端、重要終端、核心終端。開放終端僅處理惡意軟件;威脅評估依據(jù)是惡意軟件的存在數(shù)量和系統(tǒng)、軟件漏洞數(shù)量;審計(jì)終端則有相關(guān)的安全基線策略(但不嚴(yán)格,僅記錄不在基線的程序不阻止),除開放終端的評估依據(jù)外增加違反安全策略的違規(guī)操作;重要終端則對不在基線內(nèi)的程序運(yùn)行時給予提示,詢問用戶是否允許,如果允許則記錄違規(guī)操作,增加風(fēng)險值;最后是核心終端,是不允許運(yùn)行和存在基線外的任何文件,如果存在則也會增加風(fēng)險,如圖3 所示。將四類終端各一個的風(fēng)險值記為R0、R1、R2、R3。一個APT 由兩個未知程序程序構(gòu)成,記為A 和B。A 和B 均有傳播和駐留的功能,任何一個駐留成功后均會將另一個寫入被攻陷的終端。
1)APT 攻擊模擬
(1)B 突破開放終端邊界,通過漏洞將A上傳到審計(jì)終端,并添加A 為啟動項(xiàng),風(fēng)險值不變。重啟后A 執(zhí)行,A 生成B,由B 負(fù)責(zé)繼續(xù)傳播。
(2)B 突破審計(jì)終端邊界,通過漏洞將A上傳到審計(jì)終端,并添加A 為啟動項(xiàng)(違規(guī)操作, 風(fēng)險值上升)。重啟后A 執(zhí)行,A 生成B,由B 負(fù)責(zé)繼續(xù)傳播。
(3)B 突破重要終端邊界,通過漏洞將A上傳到重要終端,并添加A 為啟動項(xiàng)(違規(guī)操作, 風(fēng)險值上升)。重啟后系統(tǒng)詢問是否允許執(zhí)行A :
(4) 若允許A 執(zhí)行,則未知程序執(zhí)行,風(fēng)險值上升。A生成B,由B 負(fù)責(zé)繼續(xù)傳播。
(5)若不允許A 執(zhí)行,則攻擊成功被阻攔,不會影響到核心終端。
(6)B 突破核心終端邊界,通過漏洞將A上傳到重要終端,并添加A為啟動項(xiàng)( 違規(guī)操作, 風(fēng)險值上升)?焖賿呙璋l(fā)現(xiàn)A,即存在灰文件,風(fēng)險值上升。由于核心終端不允許灰文件執(zhí)行,所以重啟后A 無法執(zhí)行被阻止。
(7)管理員發(fā)現(xiàn)未知文件A 試圖在核心終端執(zhí)行后,臨時將A 設(shè)置為黑文件。
2)此時外部攻擊仍在持續(xù)。
(1)B 突破開放終端邊界,通過漏洞將A上傳到審計(jì)終端,并添加A為啟動項(xiàng),風(fēng)險值不變。重啟后A被監(jiān)控發(fā)現(xiàn)并阻止執(zhí)行。
(2)同時在重要終端上發(fā)現(xiàn)存在黑文件A 和未知文件B,終端風(fēng)險上升。管理由發(fā)現(xiàn)除A 外仍然存在B 導(dǎo)致重要終端處于高風(fēng)險狀態(tài),將B 設(shè)置為黑文件。至此此次APT 被成功阻斷。
7、結(jié)束語
本文詳細(xì)敘述了云技術(shù)的背景以及現(xiàn)狀,闡明了私有云安全平臺建立的意義及必要性,給出了私有云安全的完整定義,分析了私有云安全的特點(diǎn),私有云安全平臺由終端和云端組成,在此基礎(chǔ)上列舉了三種典型的私有云安全平臺的部署方案。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:基于私有云安全平臺的網(wǎng)絡(luò)安全部署與實(shí)施
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839513070.html