下一代防火墙大破天幕危机

2013-03-14 09:19  出处:PConline原创  作者:佚名   责任编辑:guojun 

        传统安全的“天幕”正在崩塌
  【PConline 北京站 资讯】2012年的贺岁档期,最新一部007电影《007大破天幕危机》如约而至,作为007电影50周年的纪念版影片,这部片子一方面一如既往的表现出了极高的艺术水准,而另一方面,在频频向历史致敬的同时,也很是表现出了一些自我批判,转变作风,承前启后的味道来。国家安全一直是007电影关注的主题,在过去的50年里,从太空到海洋的所有战场上,007总是无往而不利。然而,在这一集中,国家安全的主战场转移到了网络安全领域,在这个战场上,007却开始显得力不从心。正如新上任的Q先生(一位年轻的电脑黑客)说的那样,我在睡前喝杯酒的时间做出的攻击成果,比你出外勤一年的收获还要多。

  1

  2

  3

  4
 
  所谓外行看热闹,内行看门道,在从事网络安全的业内人士看来,这就是一部信息安全的案例集。木马、病毒、僵尸网络、数据泄露等等安全问题及其可能带来的巨大危害,在电影中被充分描述,其中尤以电影刚开始时候的一段APT攻击最为精彩。“M”夫人的电脑被黑客成功安装了木马软件并被远程操控,通过具有极高权限的M夫人的电脑向英国军情六处的控制中枢展开渗透攻击,在黑客的攻击面前,英国情报部门的防火墙如同虚设一般被绕过,在获得了控制系统的管理权限后,黑客迅速做出了破坏指令,紧接着随着砰地一声巨响,军情六处在一团火光中灰飞烟灭。 在这时,我们才真正理解了片名“SKY FALL”的内涵——时代变了,传统的安全措施不好用了,靠着传统的防护方式构建的“天幕“已经塌了!

网络安全与国家安全密切相关
 
  如果说007还只是艺术的虚构的话,那么下面这些事实则真实地提醒我们,网络攻击的威胁就在我们身边,而且已经成为了国家安全的主战场。
 
  2011年2月,伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料,西方国家也悄悄对伊朗核计划进展预测进行了重大修改。以色列战略事务部长摩西 亚阿隆在这之前称,伊朗至少需要3年才能制造出核弹。美国国务卿希拉里也轻描淡写地说,伊朗的计划因为“技术问题”已被拖延。这戏剧性的一幕是如何发生的呢?事实上,这是因为一种名为“震网”(Stuxnet)的蠕虫病毒,侵入了伊朗工厂企业甚至进入西门子为核电站设计的工业控制软件,并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。分析人士在猜测病毒研发者具有国家背景的同时,更认为这预示着网络战已发展到以破坏硬件为目的的新阶段。伊朗政府指责美国和以色列是“震网”的幕后主使。整个攻击过程如同科幻电影:由于被病毒感染,监控录像被篡改。监控人员看到的是正常画面,而实际上离心机在失控情况下不断加速而最终损毁。位于纳坦兹的约8000台离心机中有1000台在2009年底和2010年初被换掉。
 
  “震网”带给人们的冲击还没过去,“火焰(Flame)”病毒又再一次震撼了全世界。2012年5月28日,卡巴斯基实验室28日宣布,发现了一种破坏力巨大的全新电脑蠕虫病毒“火焰”(Flame)。这种病毒正在中东地区大范围传播,其中伊朗受病毒影响最严重。卡巴斯基推测,“火焰”病毒已在中东各国传播了至少5年时间。专家介绍说,这种新型病毒最重要的应用是它的间谍功能。感染该病毒的电脑将自动分析使用者的上网规律,记录用户密码,自动截屏并保存一些文件和通讯信息,甚至可以暗中打开麦克风进行秘密录音等,然后再将窃取到的这些资料发送给远程操控该病毒的服务器。“火焰”之所以拥有如此强大的间谍功能,是因为它的程序构造十分复杂,“火焰”所包含的代码数量相当于之前发现的“震网”病毒的20倍,此前从未有病毒能达到这种水平。它可以通过USB存储器以及互联网进行复制和传播,并能接受来自世界各地多个服务器的指令。一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
 
  网络安全领域最新的热点事件就发生在前不久,今年的2月19日,多家西方媒体引述美国网络安全公司Mandiant发表的一份60页报告称,近年美国遭受的网络黑客攻击多与中国军方有关。《纽约时报》19日援引报告摘要称,该公司历时6年追踪141家遭受攻击企业的数字线索,证实实施攻击的黑客组织隶属于“总部设于上海浦东一栋12层建筑内的中国人民解放军61398部队”。当然,中国军方矢口否认了这一指控,并强调中国才是网络攻击的受害者。对与这一解释不知道世界各国如何感想,反正我是信了。

  5
        Mandiant提到的61398部队所在地
 
  信息安全作为国家安全的重要组成部分,已经引起了世界上所有主要国家的高度重视。美国早在2003年2月就正式通过了《网络空间安全国家战略》。该战略成为了美国保护国家安全整体战略的一部分,也是《国土安全战略》的实施战略之一。而奥巴马总统更是直接将网络空间定义为“陆、海、空、天”之外的美国国土“第五空间”。他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布“从现在起,我们的数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。”

  6

网络安全走入“下一代”

  当然,魔高一尺道高一丈。面对着新型的网络威胁攻击,安全业界也在快速地做出自己的响应,而其中一个重大的技术成果,就是我们熟知的“下一代防火墙”概念。下一代安全将关注的重点从过去的“系统扫描、暴力破解、DOS攻击”等粗放式的、集中在网络和系统底层的攻击模式,转移到“僵尸网络、间谍软件、数据盗窃、APT攻击”等以网络应用为主要媒介、以用户数据和网络控制权为主要攻击目标的新型威胁的检测与防范上。在刚刚过去的2013RSA大会上,这个趋势表现得尤为明显。一方面,APT攻击继续成为RSA大会的主要议题之一,吸引了全世界安全专家进行了广泛深入的探讨,另一方面,各安全厂商也都提出了自己的下一代安全解决方案,尤为引人注意的是众多安全厂商不约而同给出了“下一代防火墙”的答案。
 
  7
 
  下一代防火墙,堪称下一代安全技术的集大成者。相较于传统以“检测、阻断”为基本行为方式的安全产品,下一代防火墙最大的差异之处在于,其基本的安全理念是“识别、展现、分析”。下一代防火墙将安全的重点从对单一信息包的检测,扩展为对整个网络行为的观察。由于APT攻击往往是以分散的步骤进行,单一的检测根本无从发现。但是通过不同安全引擎的集成分析,以及对历史网络日志深度关联检索,却可以发现APT攻击的痕迹。网络威胁总在快速的变化着,火焰病毒的变种很多,但是被发现的就只有6种,传统的安全模式在如此快速变化的恶意代码面前形同虚设。因此,下一代防火墙另辟蹊径,通过强大的应用识别能力,下一代防火墙可以将全部网络流量进行解析,令网络安全负责人可以全面掌握网络中发生的一切风吹草动,什么人、在什么时间、通过什么设备、访问了什么系统、传输了什么数据,他的行为规律如何,是否出现异常等等,任何网管人员兴趣的问题,下一代防火墙都可以清晰地展示出来,并根据指令做出检索、分析、和判断。下一代防火墙将帮助人们在第五空间中拥有一双智慧的眼睛,他可以帮助人们洞察网络中的一切异常,并做出应对。
 
  网康科技CEO袁沈钢先生在阐述下一代防火墙概念时曾经谈到,在国外,下一代防火墙的核心能力被称作“visibility”,这在英语中是很好理解的一个词,但是在国内这个词被译做“可视化”,这个翻译是不恰当的。这只描述出了一个表面现象,那就是下一代防火墙将全部的网络信息以可视化的方式呈现出来,如果只停留在这个层次,那么就理解得太浅了。事实上,在下一代防火墙语境下的“visibility”指的是“洞察力”,是对网络具有穿透性的观察和分析。网络安全人员只有具备了足够的“洞察力”才能发现网络威胁的痕迹并快速做出响应,这才是下一代防火墙的真正价值。一般而言,一次APT攻击,需要经过“感染、驻留、对外通信、实施攻击”等若干步骤,周期从几天到几个月不等。在如此长的时间里,通过下一代防火墙的帮助,我们完全有机会捕捉到过去难以发现的蛛丝马迹,从而做到主动出击、防范于未然。
 
              8
                网康科技CEO袁沈钢
 
  传统安全模式的天幕虽然已经崩塌,但是人们并没有就此放弃,在众多的像网康科技这样的安全公司的努力下,下一代的安全技术已经出现,并且仍在不断进步,我们有理由对未来的信息安全充满信心。正如阿戴尔在影片的同名主题曲中唱到的那样——“让天幕坠落,任它分崩离析,我们也傲然挺立,和衷共济”。