Palo Alto：網絡攻防進化間的生死之争

進化，一直都是我們所處這個世界的主題，無論生物、事物，各類進化一直都未曾停止，網絡安全同樣如此。“攻”與“防”相伴而生，并将糾纏一生。“攻”為能夠突破防線在不斷武裝自己，采取新的戰術、運用新的武器；“防”為了確定身後世界的安甯也在不斷強壯自己，采用新的政策、布設新的防線。攻者在為了生存而不斷進化，防者同樣在為了生存而進化。這場攻防之間的戰争于進化的道路上将不死不休！

國際知名網絡安全公司paloalto副總裁兼亞太區首席安全官sean duca先生就為我們深入剖析了正在進化的網絡攻擊。

　　駭客們說：俺們也在正規化、産業化

如今網絡犯罪的産業規模已經達到4450億美元，網絡戰争的戰火已經波及超過100個國家。與往年前相比，惡意攻擊發生着顯著的進化，它們建立起了指揮控制管道，更為主動的逃避各種安全檢測，掌握着更多的零日漏洞，愈加難以被發現。

傳統安全架構缺乏自動性和關聯性，當有安全事件發生時還需要人工響應、手動處理，這不僅耗費了巨大的人力資源，而且很可能處理結果還未出來但黑客的攻擊卻已得手——高價值資訊早被竊取出去。

如今駭客所實施的更多是鍊式攻擊：外圍突破、傳遞惡意軟體、内網橫向移動、滲透主機、竊取并傳輸資料，那麼就需要針對攻擊鍊的各個階段進行有針對性的安全防護。要知己知彼，透徹了解駭客的攻擊手段、攻擊行為，這樣所采取的安全防禦措施才能做到一針見血。

精準而脆弱的惡意攻擊鍊

如今，經典的apt類攻擊往往要耗費數年時間，其攻擊動作環環相扣精準異常。但與魔術套環一樣，精準攻擊的背後也潛藏着一個脆弱的“缺口”，防禦者們一旦發現這個“缺口”，就能夠摧枯拉朽般的破解整條惡意攻擊鍊。

sean

duca認為對惡意攻擊進行偵測的階段最難進行防禦，如何從海量事件中提取威脅情報、于海量資料裡挖掘出異常攻擊行為特征十分困難。反之一旦能夠捕獲特征就能夠很容易的按圖索骥，通過深度溯源滲透整體攻擊鍊中被黑掉的其他主機，最終消弭全部惡意威脅。精準攻擊鍊的任何一個環節一旦被阻斷，那麼駭客的攻擊都将無法完成。

另外，使用者的安全環境狀态則決定了哪個環節才是最佳的安全防護時機。“每個公司的使用者中招的情況和被黑的狀态不一樣，有些主機是剛剛點了垃圾郵件，有些主機是已經中招了，有些主機是當殭屍電腦很久了”，是以安全體系的建立不能頭疼醫頭腳疼醫腳，要從根源着手進行防禦部署，才能實作有效的阻截。

不斷進化中的下一代安全

duca提出，應對新型惡意攻擊需要搭建下一代的安全平台，而不僅僅是依賴于某款新型安全産品。将端點安全、網絡安全、智能威脅雲端安全平台相融合，三位一體互相協同工作，對惡意威脅實施整體防禦。“單一的産品和方案已經無法滿足當下的安全防護需求，要提供整體的安全平台，要能夠靈活的調整安全防護資源、安全防護能力。”

現今的安全防護在與使用者業務系統愈加緊密融合，這雖然給使用者帶來了更為貼身、嚴密的保護，但也可能會對使用者業務系統造成額外的負擔。不過，安全公司明顯早已意識到了這個問題，并紛紛采取不同的解決方法。

palo alto的防禦方法更為專注于威脅檢測和攻擊防護，由于采用了“管控分離”的架構方式，通過獨立的應用檢測晶片對應用流量進行安全檢測，使其在真實網絡環境裡對于使用者業務系統性能上的影響很小。

威脅情報(paloalto的unit 42威脅情報團隊就在專門負責相關資訊資料的搜集)、大資料、安全雲平台，這些不僅加強了使用者系統的安全防禦體系強度，也避免給使用者系統增加過多負擔。

沒有終點的馬拉松？……

曾經松散的惡意攻擊者開始拉幫結派了，好在防禦者們也沒有閑着，一方面見招拆招，一方面積極利用先進的it技術，努力的比惡意攻擊者多邁出一步。這是一場沒有終點的馬拉松，攻防之間的戰争将于進化中持續不停。

本文轉自d1net（轉載）