【IT168资讯】伴随着各种新型网络攻击的出现,企业信息安全形势变得不容乐观,特别是银行、大型国企等机构,正在成为受攻击的主要对象。高级持续性威胁(APT,Advanced Persistent Threat)是众多攻击手段中破坏性极强的一种,特点在于其不可预见性,一切的破坏都是“突袭”,已成为各级各类网络所面临的主要安全威胁,使得各级单位机构对于内网安全的投入依旧是“杯水车薪”。也正因如此,企业级信息安全迎来了新挑战。
中睿天下iLab安全实验室负责人白应东
传统安全设备存短板
防火墙,一种典型的边界设备,通过访问控制来阻断外部威胁。但随着Web服务的不断发展,隐藏在HTTP等基础协议之上的应用层攻击越来越多。而攻击手法也相对隐蔽,其行为相当于一次正常的Web访问,此时防火墙是无法识别和阻止的,同时也不能阻止来自内部的攻击。于是入侵检测(IDS)、入侵防御(IPS)等安全设备应运而生,通过模式匹配、协议分析、异常流量统计等特征匹配方式进行检测攻击,其特点是主要针对已知的攻击类型。
但是特征的“伪装”在今天也变得异常容易,只需修改一个“二进制代码”即可改变木马的特征。因此依靠匹配模式进行“扫荡”显得有些力不从心,我们必须转变思路,采取新的形式。
为了在目前快速的攻防对抗中获得优势,中睿天下以大数据为支撑,以溯源技术为核心,研发了睿眼系列攻击溯源设备。通过深度把握网络中攻击源、攻击工具、攻击手法、被攻击者等要素,来实现已知威胁检测和未知威胁检测。首创的攻击模型检测方式,与现有的高级攻击(如APT)针尖对麦芒,即使君有疾在腠理,睿眼也可像“扁鹊”一样实时将威胁检出。即使部署睿眼之前资产服务器已被植入后门,一旦后门被利用,睿眼立即就可将其抓出。
中睿天下iLab安全实验室负责人白应东表示:”睿眼的最大优势在于弥补了传统IDS和IPS防御的不足。基于强大的攻击溯源技术能够有效解决传统安全设备无法检测的未知威胁。“
高调做事的iLAB实验室
面对复杂不可控的APT攻击,中睿天下的iLAB实验室不同于其他安全研究机构,立足服务用户。研究的都是用户最为关心的问题,如攻击者的背景、目的以及来源、攻击过程等。白应东表示:80%的APT攻击开始于web攻击,睿眼能够在APT攻击发起之时及时发现并采取措施。不仅如此,iLAB实验室还与其他互联网安全厂商建立了PB级的数据资源共享的合作,为提供攻击溯源做了后援保障。
不仅如此,在威胁分析方面iLAB实验室也有专业的人才团队。在非人工干预的情况下,记录网站访问者的“指纹”,包括攻击行为、攻击手法等能辨析攻击者身份的数据。把这些数据与指纹库的攻击模型进行匹配,确定是否是攻击行为并加以评级。这不仅需要对各种攻击行为非常熟悉,必要时还需要进行人工分析。
iLAB实验室依靠睿眼WEB攻击威胁溯源系统,再加上专家团队、大数据溯源中心的支撑,实现了威胁分析、攻击溯源、策略改进三方面的持续闭环防护,能够在传统安全设备的防护基础上,明显改进Web防护的效果。