企业内网安全防护迎来高对抗攻防时代

发布时间:2016-08-24 08:58 作者:杜美洁来源:51CTO.com 点击:加载中...次

　　深夜，安全管理员王福星还坐在公司电脑前忙碌着，只因公司数据中心的设计图数据被盗了……

　　王福星在一家大型汽车企业上班，主要在技术部负责公司安全运维工作。就在一个星期前，公司最新的汽车设计图数据被盗了!数据显示，是公司自己人盗走。可是，有人证明这位嫌疑人在事件发生当日正参加同事的生日趴!那问题究竟出在哪里了呢?出于安全运维人员的对威胁的认知，包括王福星在内的安全运维人员开始对公司内网进行了全面排查，最终锁定真凶——木马!只因员工的电脑中了木马，导致了设计图被盗。

　　类似王福星公司这种数据泄露的事件并非个例，回顾近年的安全事件，我们会发现因内网安全问题而导致的企业安全事件时有发生，企业内网安全堪忧。

　　因此，信息化时代，在企业安全的防护上，对于安全运维管理人来说，除了要防范来自外部的威胁外，也必须要小心来自内部的威胁。因为哪里都有可能存在风险，即使是内部的网络也算不上可信网络。比如：员工的U盘、智能手机、Ipad等设备均有可能将病毒带进企业内网，特别是在高级恶意软件横行的今天。

　　一旦黑客利用恶意软件突破了边界防御和主机反病毒软件，或是利用其他手段绕开边界(U盘带入或私接 WiFi 带入)，并利用其变种性躲避了反病毒软件的查杀以后，就会在失陷主机上执行恶意代码，与外部的黑客服务器建立C&C通道，执行黑客的近一步指令，进行病毒在内网中的传播和扩散，寻找内网中的IT核心资产并获取最高的访问权限，最终达到拖库获取可利用的信息数据。

　　请看下面两张图，你将更加清楚的了解当企业内网失陷之后，将会发生什么?

　　由此可见，企业内网沦陷之后，后果非常严重。据有关数据显示，全球95%的企业内网均存在不同程度的安全威胁。有些大企业因数据泄露造成的损失不可估量，企业内网安全防护决不可忽视。

　　内网安全防护迎来高对抗攻防时代

　　近日，针对内网安全威胁防御问题，记者采访了山石网科资深产品专家吕颖轩。谈到内网安全技术的发展，他分析到：“传统的内网安全技术侧重“筑墙防守”的防御思路。在2006年左右，针对内网的安全防护重点转向管控，企业采购上网行为管理产品，对员工行为进行管理。而现在，针对化、定制化的高级恶意软件已成为企业的最大威胁，企业内网防护进入了高对抗的攻防时代，传统的防护思路已经不适应企业的需求。”

　　山石网科资深产品专家吕颖轩

　　他表示，唯有高对抗的攻防，可以将被动防御机制演进为主动防御，也唯有攻防，将是网络安全战役的致胜武器。新的网络安全时代，需要的是纵深部署、攻防对抗的思路。保障内网安全，无疑是攻防对抗的关键举措。通过具备行为分析和快速响应的智能化技术，在第一时间发现内网失陷主机并清除威胁，是内网安全的核心要义。基于此，山石网科在近日召开的第四届中国互联网安全大会上推出了一套完整的内网防护体系——山石网科内网安全解决方案，包括智·感、智·端、智·捷三款智系列产品。

　　山石网科的内网安全解决方案集成了三项关键技术UBA(User behavioral analytics)、EDR(endpoint detection and response)、MDR(Mobile endpoint detection and response)。其中， UBA技术能够有效的面向内网失陷主机进行感知;EDR技术能基于UBA的感知结果执行威胁清除;MDR技术能基于移动终端进行威胁清除，最终，这三大关键技术共同构建了一套完整的内网防护体系。方案中，承载上述三项关键技术的产品即为：智 · 感、智 · 端、智 · 捷。

　　吕颖轩向记者介绍说：“这套内网安全解决方案有三大特点：1、基于机器学习、数学建模等领先的安全技术。2、能够及时发现并消除威胁。通过与终端软件的联动，能完整的解决用户诉求。3、适用于私有云平台及政府、企业、金融、医疗等对安全高度敏感的企业。”

　　谈到智·感的机器学习与数据建模等核心技术，吕颖轩表示：“我们通过机器学习模块(流量解析、数学建模、模型匹配)对内网主机的行为进行威胁判定，对正常流量学习，并进行调优。同时，对恶意流量样本进行预定义的反馈输入。在实验室中，工程师把上百万的恶意软件的行为拆开分析，拆成恶意外联、PE文件下载等几十种恶意行为分类，定为不同的行为族。然后，再动态的建立了几十种行为模型。这样，在内网中，失陷主机因为感染恶意软件，所爆发的行为特征，都能被山石智感捕获到。”具体如下图所示：

　　基于UBA技术的智·感的工作原理图

　　智·感能够精准的建立正常行为模型和异常行为模型

　　智·感如何实现精准的威胁判定呢?这要从下图说起：

　　如上图所示，圆心表示基于威胁情报收集并加工处理的已知恶意行为(预定义的负反馈)，越接近圆心的点，就说明恶意程度越高。多种行为族的划分用以确定不同的安全风险和危害等级。这样，通过对流量与行为模型的匹配，就能够实现精准的威胁判定。

　　除此以外，方案中的智·端与智·捷两款产品，一个侧重PC端威胁相应，一个侧重端威胁响应，通过同步智·感的威胁信息告警和安全策略，针对被定位的风险主机和潜在威胁进行即时的响应处理。

　　小编有话

　　目前，虽然很多企业都部署了安全设备，特别是数据中心更是作为重点防护对象。但是，还是有很多企业忽视了内网安全威胁的防御。一旦攻击者攻破内网，攻击者从IDC获取数据时，通道是畅通的。特别是当攻破内网后，攻击者获得各个系统设备的最大权限时，对企业造成的后果不堪设想。因此，小编在此呼吁企业需时刻注重内网安全防护，尤其是金融、政府等从事涉密业务的企业。

(责任编辑：宋编辑)