如何用降维打击方式保障企业数据安全

作者:老董
2022-09-19

在信息安全与网络安全上,也曾经历过两次降维打击一般的技术革新。下面我们不妨回顾一下这两次安全降维打击的效果,并展望一下,现如今又可以采用什么降维打击的技术手段保障企业的数据安全。

数据泄漏、加密勒索、恶意删除,在企业数字化转型的大趋势之下,企业的数据安全正面临着严峻挑战。企业的数据安全应当如何防护?网络化时代,应用态势产生了巨大的变化,在这种情况之下安全防御手段又需要发什么样的改变?为此,至顶网的《数字化转型方略》以“应用态势巨变之下的端点安全”为主题,通过一系列走访,对各大安全厂商在端点安全方面的防护手段进行深入了解,以求寻找到一种“从天而降的掌法”从根本上去解决企业数据安全的困扰。

从天而降的掌法为什么那么厉害,因为那是降维打击。实际上在信息安全与网络安全上,也曾经历过两次降维打击一般的技术革新。温故而知新,下面我们不妨回顾一下这两次安全降维打击的效果,并展望一下,现如今又可以采用什么降维打击的技术手段保障企业的数据安全。

信息安全时代杀毒软件的降维打击

作者第一次亲身经历安全防护的降维打击,应该是2000年的426日。对计算机病毒有所了解的同学应该清楚,426日是一种叫CIH病毒的发作日期,因为CIH这个病毒不但会破坏硬盘的引导区,还会破坏主板的BIOS文件,因此在每年426日,防病毒厂商的技术服务部门都会接到海量被病毒破坏的主机和硬盘,需要防病毒厂商协助进行修复。巧的是作者那时候也正是一个防毒厂商的小小客服。在经历了99CIH的摧残之后,2000426号也是早早就做好了接待客户的准备工作。但是不出意外的意外发生了,那年的426日和平常没有什么太大的区别,和以往426日过节一样的热闹有着天壤之别。其原因就是,这个防病毒厂商在99年推出了一个实时防护功能,可以让病毒在进入内存后就直接进行查杀,根本不给病毒进入硬盘进行传播的机会。于是臭名昭著的CIH病毒就这样被降伏了。

为什么说这是降维打击?当年CIH病毒爆发之后,不知有多少安全专家,甚至病毒作者本人,都曾想尽了办法,但依然无法阻止病毒的泛滥,以至于每到426日,防病毒厂商就会像过节一样,应接不暇的去接待那些被病毒破坏数据、破坏主板的用户。然而,一个病毒厂商新推出的安全功能,却让这个纵横肆虐的病毒就此绝迹。最主要的是,这个功能却并非专门为这个病毒,有针对性而推出的。充分地体现了什么叫毁灭你,但和你无关。

网络安全时代下一代防火墙的降维打击

对病毒的降维打击有效地制止了病毒的泛滥,但并未能阻止黑客的脚步。于是战场又转移到了网络安全的方向。那个时候黑客使用的手段也十分的简单粗暴——DDoS。只需要组织足够多的攻击流量,就可以将企业的网站门户撑爆。安全厂商的应对方案也是十分的直接,用防火墙硬抗。然而防火墙的处理能力毕竟有限,黑客总有办法组织起更大规模的僵尸网络,使用更大的攻击流量将这些抵抗给击毁。这种情况直到一款划时代的网络安全产品,下一代防火墙的出现,才慢慢得到改善。

为什么说下一代防火墙是一款划时代的网络安全产品,是因为它是在应用层基于应用流量行为分析,而对网络威胁进行判断。换句大家都可以明白的话来讲,就是下一代防火墙可以“看”到网络中攻击威胁的来龙去脉,并有针对性地去进行处理,这就为网络攻击的溯源提供了先决的技术条件。当时DDoS攻击之所以泛滥,是因为黑客掌控着大批僵尸网络,可以近乎零成本的实现网络攻击。而当网络攻击有迹可循,每发动一次攻击,就会损失一批僵尸网络,甚至连隐藏在幕后的黑客也会因此而被追踪后,DDoS的攻击成本就会显著提升。

想当年作者正在一个网络媒体做产品评测工作,正好在下一代防火墙产品出现后,就对其进行了深入的功能性分析。在发现了下一代防火墙的与众不同之处后,开始撰写技术分析文章,对此进行大力推广。正好分析文章发出时,赶上了第一届的网络安全宣传周的有利时机。借着这阵东风,攻击溯源的理念也迅速获得国内安全企业的广泛重视。经过多年的不懈努力之后,DDoS这样的网络攻击在我们国内,已经基本绝迹了。

通过这个事例我们可以了解,要想实施降维打击,首先需要在更高的层次上对威胁进行了解,然后才可以采用无法抵抗、无所遁形的方式进行打击。

数据安全时代端点安全如何实现降维打击

DDoS之类的破坏性网络攻击,在我们国内虽然基本绝迹,但是利用系统漏洞,通过技术手段非法获得利益的黑色产业链,并未就此而被斩断。现在这支黑手现在已经伸向了企业及个人用户的数据信息,个人用户的信息被盗窃、被贩卖,企业的核心数据被窃取、被加密、被勒索。

说实话,当第一次勒索病毒肆虐的时候,作者本来以为这是一个因未知漏洞所引发的偶然事件。可是没有想到,随着时间的推移,加密勒索的方式越来越隐秘,目标针对性也越来越强,勒索的成功率与破坏性也在与日俱增。考虑到当前企业都在实现数字化转型的大趋势,如果数据安全得不到很好的保障,势必会对数字化转型企业造成重大影响。于是开始更进一步地对企业数据安全应当如何防护进行了解。

仔细一看,问题确实不小,如今无论是在PC移动端以及服务器端,应用再也不是一个个独立程序,而是以网络为渠道与其他应用互联互通所构成的一个整体。这就导致应用程序的使用态势发生了巨大变化。以往针对病毒查杀的杀毒软件,很难分辨远程连接是正常网络接入,还是利用漏洞的恶意行为,而具备应用识别能力的下一代防火墙又离端点太远,对渗透到内网的网络威胁难以察觉。

对于系统的漏洞威胁,当前的主流安全对策是深挖,通过安全对抗的方式对系统漏洞进行深入挖掘,从而不让黑客有可乘之机。虽然成果显著,但是投入巨大、对专业性要求过高,一般企业难以承受。这与实时监控技术出现之前的进行被动病毒防御的场景非常相似,区别是杀互软件应对的是不停变换的病毒变种,如今应对的是层出不穷的安全漏洞

于是作者开始设想,为什么不能在端点上再做点文章,将网络应用行为分析能力与杀毒软件的实时防御功能进行一下融合?当年的防御病毒的实时监控之所以成功,是因为病毒在进入内存之前,可以采用加密、变种等多种方式躲避防毒软件的查杀,但进入内存之后,就要开始其传播、破坏等病毒行为,其病毒行为无法再次隐藏,否则就会失去了病毒应有的能力。因此在内存进行监控,可以有效的对病毒进行发现,并及时处理。而黑客利用漏洞攻入端点也是同样的道理,在攻入端点之前,在网络上看到的只是正常的网络连接,但黑客在进入端点之后,必然也会进行一系列的黑客行为,而这些行为在端点上,也是可以通过技术手段进行察觉到的。比如,在端点上也同样实现网络应用行为实时监控,只要可以对黑客行为进行准确监控,防止恶意攻击与破坏就是水到渠成的一件事情了。要知道防止自行车丢失的,并不是多么坚固的车锁,而是城市里无处不在的摄像头。对于企业数据安全的防护,也应该是同样的道理。

但是通过增强端点安全进行防护的方式,在技术上是否可行?是否会获得安全厂商的认可?带着这些疑问至顶网发起了以“应用态势巨变之下的端点安全”为主题的技术访谈活动。

安全企业端点安全面面观

在本次访谈活动中,至顶网从端点安全威胁、面临技术挑战、端点安全解决方案这三个方向,与多个国内外的安全厂商进行了探讨。

在这次访谈活动中,我们发现无论国内还是国外的受访安全厂商,均已充分认识到由端点安全而引发的目前一系列安全问题,尤其是云计算技术出现后,对于端点安全带来的全新技术挑战,并且也在积极提供相关解决方案。但相对而言,国内安全厂商在端点安全上的步子可能稍小一些,而受访的国外安全厂商,无论在产品的成熟性还是在解决方案的周全程度上,都具备着很多值得我们去进行学习的优点。现在至顶网也已经将几个厂商的访谈内容一一整理完毕并进行发布。大家可以从这些文章中,对这些安全厂商的威胁洞察能力、技术解决方案进行直观的了解。

在此我们也衷心希望,未来可以有一种轻量级、具备云端及多种操作系统适用性的、可基于端点网络应用行为分析的安全产品出现,从而可以在更高的维度,为端点安全提供更好的防护能力,利用这种降维打击的方式,对进入用户端点的恶意行为进行识别,以便于更好地斩断黑色产业伸向企业数据的罪恶黑手,令企业数字化转型的目标可以顺利实现。

本文章选自《数字化转型方略》杂志,阅读更多杂志内容,请扫描下方二维码

《数字化转型方略》杂志