《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 嵌入式技術(shù) > 業(yè)界動態(tài) > 大數(shù)據(jù)時代電信運營商如何守好“邊界”

大數(shù)據(jù)時代電信運營商如何守好“邊界”

2016-11-08

  隨著大數(shù)據(jù)時代的來臨,針對核心數(shù)據(jù)的網(wǎng)絡(luò)攻擊事件層出不窮,網(wǎng)絡(luò)安全火熱沸騰,。國際方面,,美國人事管理局2700萬政府雇員及申請人信息泄密;美國國稅局10萬名納稅人的財務(wù)信息泄露,;美股券商Scottrade,,460萬客戶敏感信息泄露;意大利間諜軟件公司HackingTeam被黑,,包含多個零日漏洞,、入侵工具和大量工作郵件及客戶名單的400G數(shù)據(jù)被傳到網(wǎng)上任意下載;國內(nèi)方面,,鐵道部官方網(wǎng)站13萬用戶信息泄露,;大麥網(wǎng)600萬用戶賬號密碼泄露并在黑產(chǎn)論壇公開售賣;??低暠缓诳椭踩氪a導(dǎo)致被遠(yuǎn)程監(jiān)控,;網(wǎng)易骨干網(wǎng)遭攻擊,百萬游戲用戶中斷,;網(wǎng)絡(luò)攻擊日新月異,,網(wǎng)絡(luò)安全事件層出不窮,全球網(wǎng)絡(luò)安全形勢十分嚴(yán)峻,。

  運營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)必爭之地,,根據(jù)安全域的劃分,日常維護區(qū),、第三方接入?yún)^(qū),、DMZ區(qū)、日常辦公區(qū),、開發(fā)測試區(qū)等多種安全區(qū)均會是網(wǎng)絡(luò)攻防的主攻方向,。而傳統(tǒng)防火墻應(yīng)對以APT為代表的各類高級威脅難以發(fā)揮作用,對復(fù)雜網(wǎng)絡(luò)攻擊手段的檢測能力,、感知網(wǎng)絡(luò)異常行為,、發(fā)現(xiàn)未知威脅方面均存在不足,要想取得網(wǎng)絡(luò)邊界攻防戰(zhàn)的勝利需要具有以大數(shù)據(jù)驅(qū)為基礎(chǔ)的安全管控能力,,具有協(xié)同防御,、智能封鎖的安全邊界設(shè)備以應(yīng)對新的威脅新的挑戰(zhàn)。

  運營商邊界安全的新一代威脅趨勢

  網(wǎng)絡(luò)攻擊技術(shù)歷經(jīng)長達(dá)20多年的發(fā)展,,新一代網(wǎng)絡(luò)威脅攻擊者采取了現(xiàn)有檢測體系難以檢測的方式方法,,如未知漏洞利用、已知漏洞變形,、特種木馬,,并組合各種技術(shù),,包含社會工程學(xué)、釣魚,、供應(yīng)鏈植入等,,各種攻擊模式或組合能有效穿透大多數(shù)邊界防御體系,最終達(dá)到盜取內(nèi)部敏感信息或破壞目標(biāo)網(wǎng)絡(luò)的目的,。新一代網(wǎng)絡(luò)威脅具有隱蔽性強,、自動化高、速度快,、破壞力大等特點,,現(xiàn)有主要網(wǎng)絡(luò)攻擊技術(shù)類型如下:

  高級隱遁技術(shù)(AET):即將已知的逃避技術(shù)進行新的各種組合,形成高級逃避能力,,從而繞過網(wǎng)關(guān)設(shè)備檢測,,形成網(wǎng)絡(luò)攻擊。

  0DAY漏洞威脅:0DAY漏洞由于系統(tǒng)還未修補,,而大多數(shù)用戶,、廠商也不知道漏洞的存在,因此是攻擊者入侵系統(tǒng)的利器,。

  多態(tài)病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬,,而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強大的病毒和木馬,他們可以繞過現(xiàn)有基于簽名的檢測體系發(fā)起攻擊,。

  混合性威脅:攻擊者混合多種路徑,、手段和目標(biāo)來發(fā)起攻擊。

  定向攻擊威脅:攻擊者發(fā)起針對具體目標(biāo)的攻擊,。

  高級持續(xù)性威脅:APT是以上各種手段(甚至包括傳統(tǒng)間諜等非IT技術(shù)手段)的組合,,是威脅中最可怕的威脅,是攻擊者精心策劃,,為了達(dá)成即定的目標(biāo),,長期持續(xù)的攻擊行為。

  運營商邊界安全的新一代防御技術(shù)趨勢

  運營商網(wǎng)絡(luò)邊界是攻防戰(zhàn)的第一主戰(zhàn)場,,防火墻則是攻防戰(zhàn)爭中的“先鋒官”,,在整個防御體系中地位舉足輕重。威脅多變,,基于簽名的傳統(tǒng)邊界防火墻產(chǎn)品已經(jīng)無法抵御新一代威脅,,因此對新一代智慧防火墻提出全新防御技術(shù)挑戰(zhàn),那么智慧防火墻應(yīng)該具有哪些必要的防御技術(shù)能力呢,?

  對攻擊載體的多緯度檢測能力

  智慧防火墻的檢測能力是安全防護能力的核心,,根據(jù)新一代網(wǎng)絡(luò)威脅的特性,對每個攻擊載體點的檢測,需要采用多維度的深度檢測機制,,確保攻擊者難以逃過檢測,。智慧防火墻應(yīng)具有傳統(tǒng)的基于簽名的檢測(已知攻擊)、基于深度內(nèi)容的檢測(抗逃逸的未知威脅),、基于虛擬行為的檢測(抗逃逸的未知威脅),、基于事件關(guān)聯(lián)的檢測(抗逃逸的未知威脅)、基于全局?jǐn)?shù)據(jù)分析的檢測(抗逃逸的未知威脅)等檢測手段,,考慮智慧防火墻高性能要求,各種檢測技術(shù)必須存在,,但未必均在智慧防火墻上實現(xiàn),,可以通過云端或本地第三方設(shè)備實現(xiàn),并采用智能聯(lián)動實現(xiàn)威脅防御,。

  互聯(lián)網(wǎng)大數(shù)據(jù)驅(qū)動防火墻安全管控能力及威脅防御能力

  云端互聯(lián)網(wǎng)數(shù)據(jù)具有協(xié)議復(fù)雜,、業(yè)務(wù)多樣、威脅眾多等特點,,是挖掘協(xié)議樣本和威脅樣本最好最實時的數(shù)據(jù)源泉,。基于云端強大的分布式計算能力對互聯(lián)網(wǎng)大數(shù)據(jù)獲取,、分析,、挖掘并采用人工智能、機器學(xué)習(xí)的全自動協(xié)議特征提取技術(shù),,第一時間提取出新應(yīng)用特征并動態(tài)實時同步至防火墻應(yīng)用特征簽名庫中,,做到新應(yīng)用發(fā)布與應(yīng)用特征發(fā)布“無延時”,實現(xiàn)防火墻產(chǎn)品應(yīng)用緯度的及時精準(zhǔn)管控,;同時對互聯(lián)網(wǎng)大數(shù)據(jù)采用惡意行為檢測,、虛擬沙箱執(zhí)行等技術(shù)實現(xiàn)對IP、URL,、文件等深度執(zhí)行,、分析及威脅挖掘,最終獲取IP,、URL,、文件信譽度及黑、白,、灰名單庫等互聯(lián)網(wǎng)情報,,并動態(tài)實時同步至防火墻威脅情報簽名庫中,能及時有效的抵御木馬,、釣魚,、蠕蟲、病毒,、僵尸網(wǎng)絡(luò)等已知及未知威脅,,有效防御逃逸威脅及APT攻擊,;智慧防火墻需要具有互聯(lián)網(wǎng)大數(shù)據(jù)及數(shù)據(jù)挖掘技術(shù)作為管控及威脅防御能力的技術(shù)支撐。

  協(xié)同防御,、智能封鎖

  防御體系是安全產(chǎn)品綜合解決方案,,更需要安全產(chǎn)品間各種防御技術(shù)的智能聯(lián)動與協(xié)同,在此防御體系中,,防火墻則是處理結(jié)果的動作有效執(zhí)行者,。傳統(tǒng)安全一般只實現(xiàn)了防火墻與IDS的聯(lián)動,新一代威脅的隱蔽性,,決定了威脅的檢測與防御必須在云端,、網(wǎng)絡(luò)、終端的各節(jié)點的安全設(shè)備進行多層檢測及防御,,然而在整個防御體系統(tǒng)中,,防火墻是受保護網(wǎng)絡(luò)的大門,進出的雙向流量必須通過這道門,,因此無論節(jié)點的任何安全設(shè)備發(fā)現(xiàn)威脅,,都需要與防火墻形成動態(tài)聯(lián)動策略,防火墻實現(xiàn)門禁的智能封鎖,。例如:云端互聯(lián)網(wǎng)情報系統(tǒng),、鏡像檢測的內(nèi)網(wǎng)大數(shù)據(jù)分析系統(tǒng)、終端安全管理系統(tǒng),、終端病毒檢測系統(tǒng)等各節(jié)點安全設(shè)備檢測出威脅或異常,,均可以通知防火墻動態(tài)生成安全規(guī)則,實行威脅管制并告警,。因此智慧防火墻必須具有協(xié)同防御,、智能封鎖能力。

  從“看得見”的新視角感知網(wǎng)絡(luò)異常行為,,發(fā)現(xiàn)未知威脅

  防火墻產(chǎn)品部署的位置及其數(shù)據(jù)處理技術(shù),,決定了其具有天然的網(wǎng)關(guān)數(shù)據(jù)獲取、分析,、關(guān)聯(lián)及展示能力,,通過對流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)進行分類可視化展示及指標(biāo)關(guān)聯(lián)分析展示(如終端數(shù)據(jù)展示、業(yè)務(wù)數(shù)據(jù)展示,、網(wǎng)絡(luò)性能數(shù)據(jù)指標(biāo)展示等),,形成各種緯度的數(shù)據(jù)模型,并與正常網(wǎng)絡(luò)流量下的數(shù)據(jù)模型進行對比分析加之人為判斷,,從而發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,,實現(xiàn)慢性DDOS攻擊及漏檢測的變種木馬、加殼病毒、僵尸網(wǎng)絡(luò)等威脅發(fā)現(xiàn),、自動化阻斷或告警,;

  面向內(nèi)容的融合安全

  傳統(tǒng)防火墻產(chǎn)品主要圍繞網(wǎng)絡(luò)安全防護,智慧防火墻在此基礎(chǔ)上更需強調(diào)面向應(yīng)用,、面向內(nèi)容的融合安全,。高性能基礎(chǔ)上,智慧防火墻必須具有應(yīng)用層協(xié)議識別及解析能力(如Mail,、HTTP,、IM、FTP,、P2P等等)和應(yīng)用層協(xié)議承載的數(shù)據(jù)文件,、可執(zhí)行文件、URL,、HTML(含多層壓縮)等進行內(nèi)容還原并深度安全檢查,實現(xiàn)敏感信息過濾,,在網(wǎng)關(guān)位置防止敏感信息泄露,。

  系統(tǒng)安全可靠,無堅不摧

  智慧防火墻自身安全至關(guān)重要,,同樣也是攻擊入侵的主要目標(biāo),,因此自身系統(tǒng)需確保無漏洞、安全可靠,。系統(tǒng)管理方面需關(guān)閉一切不必要的服務(wù)(SSH,、HTTPS、TELNET等),、口令復(fù)雜程度高且定期更新,、設(shè)備受限管理、安全策略配置嚴(yán)謹(jǐn)精細(xì)等等,。

  綜上所述,,智慧防火墻核心威脅檢測思想是要具有智慧的能力,就是由深度檢測平面(多維度檢測能力),、云端數(shù)據(jù)平面(大數(shù)據(jù)威脅挖掘),、協(xié)同防御平面(聯(lián)動方案能力)、異常行為發(fā)現(xiàn)平面(看得見的安全),、內(nèi)容可視平面(內(nèi)容安全),、系統(tǒng)自身安全平面(系統(tǒng)健壯性)構(gòu)成一個六維立體的防火墻網(wǎng)關(guān)威脅防御體系,有攻擊者可能會饒過一個點或一個面的檢測,,想全面地逃避掉檢測,,則非常困難。智慧防火墻只有實現(xiàn)了以上的六面立體的威脅防御能力,才能夠?qū)崿F(xiàn)對下一代威脅(包括APT)的完美防御,。

  總結(jié)

  面對運營商海量的數(shù)據(jù)及隱藏其中的各種高級威脅,,部署在運營商各安全域邊界的防火墻不能再孤軍作戰(zhàn),而是需要建立起協(xié)同防御的安全體系,,并依托于持續(xù)更新的威脅情報和不斷加強的技術(shù)能力,,持續(xù)提升自身提升發(fā)現(xiàn)和響應(yīng)高級威脅的能力,從而在邊界更好的對抗各種安全威脅,。因此智慧防火墻應(yīng)運而生,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。