谭云,Check Point 北区技术经理
网络安全问题须警钟长鸣
近年来各种网络安全事件依旧层出不穷,且愈演愈烈,严重影响到我们生活和工作的方方面面。新型网络犯罪正在升级迭代,日益呈现出产业化、智能化、国际化等新特点,互联网用户的信息安全,不断受到来自黑产恶意攻击等新挑战。谭云详细地举例介绍了近两年来臭名昭着的网络攻击事件,一桩桩一件件情节跌宕起伏,惊险程度堪比欧美大片,这些网络事件给我们敲响了警钟。
Fireball火球病毒:来自中国的Fireball病毒,这个病毒为了逃避国内网络警察的打击,基本上都是面向国外的一些用户。它在国外感染的时间是从2017年6月1号开始。Check Point研究员发现,Fireball这个病毒在全球感染了5000万到2.5亿的PC,其中有20%的PC是处于企业网络内部的。它到了PC上后,会控制受害者电脑的web浏览器,在web浏览器里安装一些插件,目的就是强制的修改web浏览器的主页和搜索引擎。在短短一年的时间里,这家公司通过Fireball病毒获利了8000万人民币。
WannaCry勒索病毒:WannaCry是去年5月份在全球爆发的一种比特币勒索病毒,主要通过Windows的严重漏洞进行传播,以向锁定的目标索要赎金。WannaCry所利用的"永恒之蓝"病毒,就是NSA之前官方的一个叫方程式组织这样的一个黑客组织帮它们开发的一个武器。黑客拿到"永恒之蓝"后,可能它本身的技术能力并没有那么高,但是它得到了武器库,个人黑客就拥有了等同于国家顶尖情报机构黑客的能力。在整个的攻击期间,全球至少有150个国家遭受了攻击,受害的电脑超过了23万。其实,在这个事件爆发之前,即4月27号,针对WannaCry病毒,Check Point已经发布了IPS更新,即如果你部署了Check Point IPS安全设备,是完全可以阻止这样的攻击到达企业网络内部的。
RottenSys (堕落的系统)恶意软件:Check Point安全研究员贺飞翔跟安全团队的其它两位同事一起,在3月14号发布了一个重磅消息,就是找到了RottenSys移动端的病毒。截止今年 3 月 12 日累计受感染安卓手机总量高达 496 万 4 千余部;受感染的手机中,每天约有 35 万部轮番受到恶意广告推送的侵害。受感染手机品牌分布(前五):荣耀、华为、小米、OPPO, vivo。仅 3 月 3 日到 12 日 10 天期间,RottenSys 团伙向受害手机用户强行推送了 1325 万余次广告展示,诱导获得了 54 万余次广告点击。保守估计不正当广告收入约为 72 万人民币。
攻击类型的演变和防护
网络安全领域正在发生什么?魔高一尺、道高一丈,Check Point仔细地研究每一代的攻击类型和它的防护方案,让我们先来看看这几代的攻击的演变和防护。
首先,第一代的攻击。我们的个人电脑是在80年代初到80年代末才慢慢流行起来的,随着PC的越来越推广,大家都有了PC,最早就出现了针对独立电脑病毒的攻击。以前的病毒是通过软盘传播的。Check Point在1993年推出第一代防火墙的时候,也是在一个软盘上的,当时有五张软盘,才可以安装一个Check Point完整的软件。我们通过软盘的方式分发软件,在这个过程中黑客也会把病毒放到软盘里进行传播,但是这种传播效率比较低。所以,在那个时代的这种反病毒是安全防御里最重要的环节。
到了第二代,即90年代中期。自从因特网推广后,针对网络的攻击越来越多,它可以通过网络远程的攻击电脑、传播病毒。而Check Point也是在这个年代成立的,即1993年Check Point在全球第一个发明了状态化检测的防火墙。第二代的防御方式,就是防火墙。
到了第三代,就是在2000年的时候,在这个网络泡沫的时代,有很多很多的网站推出了不同的应用。这些应用,比如程序员学应用的时候,有的程序员写程序是非常规范的,写的代码非常精炼,非常安全。但是程序放大的时候,你不能保证程序没有任何的漏洞。而黑客就会利用这种程序的漏洞,通过网络对这些应用进行攻击。这个时候出现了IPS,就是入侵防护系统。通过入侵防护系统保护我们的应用,不被这些黑客所入侵。
到了第四代,从2010年开始的,当时在安全圈里有个非常流行的词,叫APT攻击。所谓的APT攻击,就是黑客会利用0-day的漏洞攻击你的系统。针对这种新的攻击,我们也有一些新的防护手段,就是我们所说的这种沙箱,或者沙盒,还有防僵尸。
以上四种防护Check Point都是实现的,并且是业界最早实现的。
经过Check Point的统计,百分之百的企业基本上都有防病毒的防护手段,百分之百的企业基本上也有了防火墙这样的防护手段。但是只有50%的企业使用了入侵防护,就是对应用的防护的手段。只有7%的企业使用了沙箱和防僵尸的防护。
经过Check Point的调查,发现现在绝大部分的企业都还处于第二代和第三代之间的防护状态。也就是说,它现在的防护体系只能抵御第二代的网络攻击,或者第三代漏洞利用的情况。为什么叫2.8代呢?就是有些企业第三代的IPS并没有启用这种防护的状态,而是启用了IBS,就是入侵检测,即只检测不防御,所以我们这儿把它列为2.8代。其实,对于这个结果,也是非常令人震惊的,如果是这样,说明企业的防护安全已经落后了安全的威胁整整10年时间。当然,这里也有很多企业的一些苦衷。
2018-第五代网络攻击
在今年1月召开的世界经济论坛上发布了一个全球的风险报告,排名第一的是极端天气;排名第二的是自然灾害;而排名第三、第四的,全部都是跟网络安全和信息安全相关;排名第三的是网络攻击的风险;排名第四的是数据诈骗,或者数据泄露的风险。这就说明,在现在数字时代,网络安全已经成为除了自然灾害以外,最大的风险所在。
2018年,我们正处在一个非常重要的转折点,因为现在所有的业务都在快速的进行数字化转型,在数字化转型的过程中,对这些安全性,特别是信息安全、数据安全,提出了越来越高的要求。今天我们看到的这些网络攻击,都是史无前例的、大规模、多项量、高强度的攻击。我们总结出一个词,我们叫第五代多维攻击。这种攻击,会对我们的企业和企业的声誉造成非常重大的损害。
什么是第五代攻击?其实,WannaCry勒索病毒就非常好的展示了什么叫第五代攻击,首先是大规模的,它可以跨国家、跨行业,一般都是全球性的爆发。
第二,它是多项量、多维度的攻击。因为现在企业的网络边界越来越模糊,以前企业的网络边界就是连着Internet的那条链路,那就是它的边界。但是现在很多企业慢慢地把一些业务、一些应用都在往云上迁移,不管是私有云,还是公有云,这就造成企业的网络边界越来越大,不那么好控制了。
第三,是我们现在的很多企业,允许员工拿BYOD这些移动端设备连入企业办公,而这些移动设备都是员工自己的,那么企业怎么保护设备上的信息,怎么防止黑客利用这些员工的手持设备攻击内部的网络?
最后一个,它是高强度的攻击手段,什么叫高强度?比如一些国家的间谍组织,它的情报部门所开发的黑客工具,现在已经在互联网的暗网上流传开了,因为它本身也是不安全的。一旦国家资助的这些技术被流传开了,其它的一些黑客虽然本身没有这么高的技术,但是他完全可以利用已经开发出来的这些攻击的框架、工具,放到它的自己的病毒里。这就造成我们现在的企业面对的黑客,不仅仅是一个简单的犯罪组织,或者一个犯罪的个人,你面对的可能是代表国家最先进的网络黑客团队所开发出来的一些攻击工具。当然,我们必须要采取行动。
Check Point 在2018年,推出了最新的针对这种多维度攻击的第五代防护体系,叫Gen V防护体系。Infinity Total Protection是一款突破性安全模型,助力企业有效防御第五代 (Gen V) 网络攻击。该创新性模式利用 Check Point Infinity 架构组件,在提供最高级别安全的同时,还通过整合安全组件以降低成本。Infinity Total Protection 是突破性的全新消费模型,提供简单全包、基于用户、按年订阅的服务。该服务助力企业在整个网络中全面实现第五代安全级别。Infinity Total Protection 是当今唯一包含网络安全硬件和软件的订阅解决方案,具有完全集成式终端、云端和移动设备保护以及零日威胁防护特点,并且可以统一管理,提供全天候优质支持服务。有了 Infinity Total Protection,用户可立即体验到 Check Point Infinity 的统一安全架构带来的益处,同时还能让整个企业环境无论是本地、移动设备或云端,都实现全面的威胁防护。
拥抱云时代 -CloudGuard
对于云端环境下的高级威胁防御Check Point现在主要有两个产品,Check Point CloudGuard IaaS或者Check Point CloudGuard SaaS,二者都是统一在Check Point Infinity的第五代防护体系底下。通过Infinity一个统一的平台去管理我们所有每一个点的安全策略,包括实现安全事件的可视化,帮助管理员用最少的时间,用最少的精力,实现企业的安全。
CloudGuard IaaS,对基础架构即服务的云进行防护。比如,像AWS,Azure,像国内的阿里。我们在云上的安全体系的安全性,跟在传统数据中心上其实是一致的,就是所有的技术在云端中都能用。但它最大的一个不同,就在于它能够实现云端的自动化和敏捷性。一个是它可以支持所有的平台,就是你的企业不管是用了什么云,我都可以统一的帮你管理起来。第二个,是我们在这上面可以实现高级的威胁防护和安全的可视化,最重要的是我们支持DevOps和自动化编排。
针对SaaS,Check Point的API跟全球最大的SaaS 提供商进行整合,即Check Poin的研发跟它进行对接,它上面所有的数据都可以通过API传到我们后台的检测引擎里,也就是我们的数据中心里做检查,检查完毕会把结果传回SaaS,告诉它这是安全的还是不安全的。对于国内日益崛起的SaaS供应商,因为涉及到API的开发,Check Point的研发需要跟每个厂商做深入的对接。
