论文部分内容阅读
【摘 要】近些年高级持续性威胁已经成为威胁企业数据信息安全的主要网络攻击形式之一,这种类型的网络攻击具有针对性、隐藏性、持续性与易变性等特点,其能够直达企业内部的核心数据信息。传统模式的“网关+服务器+PC终端”的三层安全防范体系比较分散,不能有效地防止这种类型的攻击。本文提出了一种改进型的分层集中式网络安全体系,通过集中分析与掌握控制的方法,促使企业内部的安全防护部件形成一个有机的整体,可以有效地防范APT的网络攻击。
【关键词】高级持续性威胁 网络安全 体系
一、引言
随着互联网技术的发展,网络威胁每天层出不穷,各种攻击随时都有可能发生。APT是近年来威胁企业数据安全的主要威胁之一。与分散、单个的网络攻击不同,这是一种针对特定组织所做的复杂且多方位的攻击。这种行为通常需要经过长期的策划,具有高度的隐蔽性与持续性,目的直达企业核心数据。那些拥有大量机密或金融资产的单位特别容易成为攻击对象,这对企业信息安全构成了极大的威胁。在传统的三层网络防护体系下,IT安全管理人员只是把其当作简单的网络攻击或者病毒攻击进行处理,使得大部分时间耗费在终端查毒与杀毒的环节中,当一批病毒处理完成后,IT安全管理人员无法准确定位病毒的来源,并且下一次出现的地方也无法预测,不能通过系统的监控作用避免APT攻击。针对传统企业级网络安全体系的弱点,提出了一种有效防范APT攻击的分层集中式网络安全体系,通过集中分析与管控的方法来有效防范APT攻击[1]。
二、APT攻击的特点
APT攻击的特点主要表现在针对性、隐藏性、持续性与易变性四个方面[2]。首先,APT是在某个系统下具有计划性的攻击类型,这是需要经过细心的策划过程才能完成,体现出较强的目的性,所以攻击的方式、种类、内容会发生变化。一个企业在其它地方所获取到的病毒库或者所谓的经验可能对本地情况是无效的。其次,由于APT攻击具有较强的针对性,为了不轻易被对方发现,需要保持较高的隐蔽性。一方面,其可以通过多形、加密等形式使自己较难被侦查;另一方面,对于企业的IT人员来说这只是将其视为简单的病毒入侵或者单个的网络威胁进行处理,不能通过系统的方法达到防范目的。再次,APT攻击体现出持续性的特点,攻击时间可以持续几个月甚至高达一年以上。在这阶段攻击者可以不断收集各方面信息,为发起攻击做好充足的准备,或者采用持续攻击的方式,发现企业内部安全的漏洞,从而获得可靠的情报。最后,因为APT攻击具有针对性与持续性的特点,其攻击者根据收集到的数据信息随时会改变攻击方式,如果一条路径被切断了,应当充分考虑选择其它方式的路径,具有多变性的特点。
三、防范APT攻击的网络安全体系
(一)快速有效的威胁检测技术。这个模块提供一个统一形式的接口,在原本的三层防护体系下各个位置的安全防护模块可以将有关的日志信息进行上传处理,对设定在各个不同网络位置的安全防护模块所产生日志分析的实际基础上,根据系统经验或者自定义形式规则,能够主动地发现有可能出现的安全威胁。
(二)基于沙盒的虚拟分析技术。原本的三层安全防护体系对于部分附件/可执行文件容易产生影响,然而缺乏一个准确有效的可行性分析过程,传统方法一般是将这类型文件进行隔离或者直接忽略处理。假如某个文件属于正常形式的文件,对其进行隔离处理后,用户需要进行操作才可以获取这项文件;假如某个文件属于恶性文件,忽略处理的话,则会对用户的系统产生较大影响。所以尽管是隔离或者忽略的方式,都容易会对用户产生一定的困扰。同时用户一般不具备足够的理论知识分析文件是否属于恶性类型。使用基于沙盒的虚拟分析技术能够为用户解决这种问题,将这种文件放置在沙盒中操作处理,观察对系统的各种更改是否属于有害的方式,假如是无害的则忽略处理,假如是有害的则应当拦截这类型文件。沙盒是一个封闭模式的模拟环境,同时使用虚拟化的技术,对网络的总体安全环境不会产生太大的影响[3]。
(三)统一可靠的威胁名单。依据威胁检测技术与虚拟分析技术的作用效果,能够生成一个存在可疑性威胁的名单,以便于能够及时反馈到在各个不同网络位置的安全防护部分,通过这些网络安全系统可以更好地进行安全防护。
(四)生成有效的本地病毒库有利于防范高级持续性威胁与针对性攻击,一般情况下APT与Targeted Attacks是传统模式的全局病毒库所无法处理的,由于这种类型攻击在其它方面是不会发生的,不能形成有效的病毒库。子系统根据相关的威胁分析与虚拟分析的实际结果能够提供一个本地生成病毒库的具体功能,从而使得安全威胁在网络体系中能够进一步得到扩散。
(五)清晰完整的报表系统。这个集中分析与控制系统根据各种不同的目的,提供相应的报表给有关IT信息安全管理人员进行查询操作,比如拦截计算机病毒数量、本地病毒库的更新状态、发现潜在威胁、病毒来源等方面。一个清晰完整的报表系统,可以省去过去阶段IT信息安全管理人员在各个系统上进行报表查询功能,然后可以支持人工整合的处理功能,在很大程度降低日常的管理开销状况[4]。
四、结束语
现阶段这种分层集中式的网络安全体系已经开始在部分企业级别的防病毒产品中发挥作用,同时逐渐应用在政府、银行、大型国企等容易受到APT攻击威胁的各种机关部门。通过应用防APT攻击的网络安全体系,可以削弱APT攻击的有效性,有利于提升企业信息安全的防护能力,从而降低信息暴露与被盗取的风险因素。
参考文献:
[1]江原.APT攻击的那些事[J].信息安全与通信保密,2011(11):22-23.
[2]杜跃进.APT应对面临的挑战——关于APT的一些问题[J].信息安全与通信保密,2012(7):13-14.
[3]刘婷婷.APT攻击悄然来袭 企业信息面临“精准打击”[J].信息安全与通信保密,2012(3):39-40.
[4]张帅.对APT攻击的检测与防御[J].信息安全与技术,2011(9):125-127.
作者简介:
沈念洁,女,1983.10——,籍贯:湖南省湘西永顺县,学历: 本科,研究方向:计算机网络安全。
【关键词】高级持续性威胁 网络安全 体系
一、引言
随着互联网技术的发展,网络威胁每天层出不穷,各种攻击随时都有可能发生。APT是近年来威胁企业数据安全的主要威胁之一。与分散、单个的网络攻击不同,这是一种针对特定组织所做的复杂且多方位的攻击。这种行为通常需要经过长期的策划,具有高度的隐蔽性与持续性,目的直达企业核心数据。那些拥有大量机密或金融资产的单位特别容易成为攻击对象,这对企业信息安全构成了极大的威胁。在传统的三层网络防护体系下,IT安全管理人员只是把其当作简单的网络攻击或者病毒攻击进行处理,使得大部分时间耗费在终端查毒与杀毒的环节中,当一批病毒处理完成后,IT安全管理人员无法准确定位病毒的来源,并且下一次出现的地方也无法预测,不能通过系统的监控作用避免APT攻击。针对传统企业级网络安全体系的弱点,提出了一种有效防范APT攻击的分层集中式网络安全体系,通过集中分析与管控的方法来有效防范APT攻击[1]。
二、APT攻击的特点
APT攻击的特点主要表现在针对性、隐藏性、持续性与易变性四个方面[2]。首先,APT是在某个系统下具有计划性的攻击类型,这是需要经过细心的策划过程才能完成,体现出较强的目的性,所以攻击的方式、种类、内容会发生变化。一个企业在其它地方所获取到的病毒库或者所谓的经验可能对本地情况是无效的。其次,由于APT攻击具有较强的针对性,为了不轻易被对方发现,需要保持较高的隐蔽性。一方面,其可以通过多形、加密等形式使自己较难被侦查;另一方面,对于企业的IT人员来说这只是将其视为简单的病毒入侵或者单个的网络威胁进行处理,不能通过系统的方法达到防范目的。再次,APT攻击体现出持续性的特点,攻击时间可以持续几个月甚至高达一年以上。在这阶段攻击者可以不断收集各方面信息,为发起攻击做好充足的准备,或者采用持续攻击的方式,发现企业内部安全的漏洞,从而获得可靠的情报。最后,因为APT攻击具有针对性与持续性的特点,其攻击者根据收集到的数据信息随时会改变攻击方式,如果一条路径被切断了,应当充分考虑选择其它方式的路径,具有多变性的特点。
三、防范APT攻击的网络安全体系
(一)快速有效的威胁检测技术。这个模块提供一个统一形式的接口,在原本的三层防护体系下各个位置的安全防护模块可以将有关的日志信息进行上传处理,对设定在各个不同网络位置的安全防护模块所产生日志分析的实际基础上,根据系统经验或者自定义形式规则,能够主动地发现有可能出现的安全威胁。
(二)基于沙盒的虚拟分析技术。原本的三层安全防护体系对于部分附件/可执行文件容易产生影响,然而缺乏一个准确有效的可行性分析过程,传统方法一般是将这类型文件进行隔离或者直接忽略处理。假如某个文件属于正常形式的文件,对其进行隔离处理后,用户需要进行操作才可以获取这项文件;假如某个文件属于恶性文件,忽略处理的话,则会对用户的系统产生较大影响。所以尽管是隔离或者忽略的方式,都容易会对用户产生一定的困扰。同时用户一般不具备足够的理论知识分析文件是否属于恶性类型。使用基于沙盒的虚拟分析技术能够为用户解决这种问题,将这种文件放置在沙盒中操作处理,观察对系统的各种更改是否属于有害的方式,假如是无害的则忽略处理,假如是有害的则应当拦截这类型文件。沙盒是一个封闭模式的模拟环境,同时使用虚拟化的技术,对网络的总体安全环境不会产生太大的影响[3]。
(三)统一可靠的威胁名单。依据威胁检测技术与虚拟分析技术的作用效果,能够生成一个存在可疑性威胁的名单,以便于能够及时反馈到在各个不同网络位置的安全防护部分,通过这些网络安全系统可以更好地进行安全防护。
(四)生成有效的本地病毒库有利于防范高级持续性威胁与针对性攻击,一般情况下APT与Targeted Attacks是传统模式的全局病毒库所无法处理的,由于这种类型攻击在其它方面是不会发生的,不能形成有效的病毒库。子系统根据相关的威胁分析与虚拟分析的实际结果能够提供一个本地生成病毒库的具体功能,从而使得安全威胁在网络体系中能够进一步得到扩散。
(五)清晰完整的报表系统。这个集中分析与控制系统根据各种不同的目的,提供相应的报表给有关IT信息安全管理人员进行查询操作,比如拦截计算机病毒数量、本地病毒库的更新状态、发现潜在威胁、病毒来源等方面。一个清晰完整的报表系统,可以省去过去阶段IT信息安全管理人员在各个系统上进行报表查询功能,然后可以支持人工整合的处理功能,在很大程度降低日常的管理开销状况[4]。
四、结束语
现阶段这种分层集中式的网络安全体系已经开始在部分企业级别的防病毒产品中发挥作用,同时逐渐应用在政府、银行、大型国企等容易受到APT攻击威胁的各种机关部门。通过应用防APT攻击的网络安全体系,可以削弱APT攻击的有效性,有利于提升企业信息安全的防护能力,从而降低信息暴露与被盗取的风险因素。
参考文献:
[1]江原.APT攻击的那些事[J].信息安全与通信保密,2011(11):22-23.
[2]杜跃进.APT应对面临的挑战——关于APT的一些问题[J].信息安全与通信保密,2012(7):13-14.
[3]刘婷婷.APT攻击悄然来袭 企业信息面临“精准打击”[J].信息安全与通信保密,2012(3):39-40.
[4]张帅.对APT攻击的检测与防御[J].信息安全与技术,2011(9):125-127.
作者简介:
沈念洁,女,1983.10——,籍贯:湖南省湘西永顺县,学历: 本科,研究方向:计算机网络安全。