【注】下面内容是在一个研讨会上的发言,务虚的,报告了自己在检测APT、防护下一代威胁等方面的思考。对于报告相关的PPT感兴趣的同学可以和我联系。
最近一段时间以来,网络上出现了各种各样的攻击,有一些给了大家非常大的震动,觉得它已经超出了我们以前企业安全防护的范畴,大家都把它归结到APT这个词上来,或者叫定向攻击,在一些媒体的报道中或者一些技术报告里面,通常会把这种攻击分成几个步骤,几个环节,能够突破边界渗透进去,然后逐步扩大权限,收集数据,拿到“情报”,最后达成目的,这就是我们今天所探讨的APT。
在这种以APT为代表的“下一代”威胁面前,我们目前这些安全设备在防护方面,或者说安全防护体系实际的实践中非常吃力。包括传统的防火墙、IPS,以及反病毒体系都难以应对。
- 对于传统的防火墙:业务越来越复杂,新应用太多,用户位置多变,终端BYOD多样化并且很难规范化,表现在:1,端口失效 – > Applications ,2,IP地址失效 -> Users ,3,数据包层面的检查失效 -> Content。
- 对于IPS:攻击变化太快,现有的黑名单机制总是更新不及时,更加先进的恶意软件、0day漏洞和目标性极强的APT攻击等。
- 而对于反病毒体系来说,病毒样本不胜其多,反病毒程序消耗计算机资源不胜其负,病毒样本库更新太慢“特征”匹配很容易被“躲避”。
Read more…
【内容摘要】此文写于2012.03.26,2012年的RSA大会之后,从安全事件和APT攻击、智能驱动的下一代安全、大数据等三个视角回顾了会议传递的信息,对会议中的热点话题和相关技术进行了讨论,并列举了若干支持性的数据和资料。
关键词:RSA会议,APT攻击,安全智能,大数据, BDA
0 前言
2012年2月25日,一年一度的 RSA大会在旧金山Moscone会议中心如期举行。从影响力和规模等意义上说,为期一周的RSA大会都是安全业界首屈一指的活动。一般由三部分组成:其一是产品和技术展览会,每年都有数百家安全业界的公司、社区组织、教育和政府机构等参加,在经济复苏的大背景下,今年的会议参展单位又有大量增加;其二是各种各样的主旨演讲和技术报告会,从周二持续到周五,通常报告会分为多个主题(Track),例如今年的大会主题包括云安全、加密、数据安全、治理风险合规性、黑客和威胁等等;第三个部分是周一下午的创新沙盒活动,这个活动虽然历史较新,但非常引人注目,微型小型的创新公司带着自己的创意和新作通过会议前的海选进入大会,在这个舞台上有很大的机会得到投资人和用户的青睐,从而一跃龙门。
之所以今年的RSA大会特别引人瞩目,其中很重要的原因是过去的一年中发生的一系列的重大安全事件,包括RSA自己也没能幸免,而被愈演愈烈的安全攻击攻陷。何去何从?很多人都将目光聚焦在作为业界重要风向标的RSA 2012 . 本文选择了安全事件和APT攻击、智能驱动的下一代安全、大数据等三个视角来回顾RSA 2012大会传递的信息。值得注意的是,本文没有展开讨论移动互联网安全和自带设备(BYOD)、云计算和虚拟化的安全等,它们同样是RSA 2012的热点话题,笔者期待业界同仁的更多分析回顾和分享。
1 安全事件和APT攻击
在某种程度上可以说,2012年的RSA大会发生在一个“动荡”的2011年之后。这个“动荡”是指网络安全事件频发,很多事件对业界产生了深远影响,参见下图[1],
2011安全事件图解
图1:2011安全事件图解
图中横轴表示攻击目标的影响力大小;纵轴表示攻击者组织协作的程度。安全事件用圆形区域表示,其中大小表示事件实际影响的范围,颜色的种类表示事件的类型,深浅表示事件的单位损失(损失和范围的比值)
从Aurora和Stuxnet开始,APT成了业界炙手可热的一个焦点,也谋杀了这次RSA大会的很多笔墨和目光。
按照公开的报道,RSA公司在2011年遭到了APT攻击,攻击者综合利用了钓鱼邮件、远程控制工具、内网渗透和提权、数据外泄等多种手段。虽然从范围上看,RSA安全事件没有大型互联网拒绝服务攻击那么大,但是影响却很大,很深,由于此事件的证书泄漏而导致的RSA用户的被渗透攻击可能永远也无法得到一个公开的评估。
这个安全事件给会议的主办方RSA公司带来了很大的压力,其CEO在会议开幕的第一个主旨演讲中使用“If you are going through the hell, keep going”来形容RSA自身和业界的处境 – 痛苦但需要快速前行。 Read more…
这篇文章发在绿盟科技技术内刊的2011年9月,总第14期上。主要总结了对安全业界当前实践的三个观察,提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到,这些思考还是粗糙的,不成系统的,在逻辑上也不完整,仅供大家讨论参考。这一期技术的下载地址是: http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf
1前言
坦白说,写本文的主要目的是反思,反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程,但是,应该看到网络安全产业界还处于一个相当不成熟的初步阶段,作为行业里的一个老兵,这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举,举例说:
• 网络安全相当程度上依赖于基于IP五元组之上的边界防护模型,明显落后于互联网和IT应用技术的发展
• 产业界尚未形成相对成规模的产业内分工,大多数用户和提供者处于低于规模水平的运作状态。
• 产业界的大部分维护建设工作由人工完成,自动化程度很低。
• 网络安全设备种类繁杂,之间缺少有效的集成和互动,智能化水平很低。
• 保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
• 等等
所谓“下一代”是一个很模糊的词,本身并没有确切的时间段来区分,有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征,也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上,尝试将“下一代”更加具体化,与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型,第3节将分析以硬件盒子为主的安全产品形态方面的问题,第4节将分析安全产业在分工和互信、互动方面的问题。同时,在每个小节也提出了相应的下一代安全体系的可能特征。 Read more…
【注】好长时间没有更新了,在新浪微博上活动了一阵子,熟悉了一下新媒体 
. 想更新一下博客,又没有新的话题,只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后,主要是为了完成绿盟技术内刊的任务。请各位朋友指正。
2010年安全回顾
摘要:Stuxnet、WikiLeaks、3Q大战影响深远,本文从这三件安全事件延伸开来,综合云计算和云安全、安全海量数据挖掘,以及虚拟世界安全等方面,对安全行业的前沿技术进行简述和讨论,这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年!
关键词:2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…
最近一段时间以来,网络上出现了各种各样的攻击,有一些给了大家非常大的震动,觉得它已经超出了我们以前企业安全防护的范畴,大家都把它归结到APT这个词上来,或者叫定向攻击,在一些媒体的报道中或者一些技术报告里面,通常会把这种攻击分成几个步骤,几个环节,能够突破边界渗透进去,然后逐步扩大权限,收集数据,拿到“情报”,最后达成目的,这就是我们今天所探讨的APT。
Recent Comments