新一代网络攻击与防护的博弈.docVIP

PAGE PAGE 1 新一代网络攻击与防护的博弈 　　摘要：随着云计算、虚拟化、社交网络、IPv6等新技术、新应用的不断发展和广泛应用，网络攻击的技术手段和攻击方式也不断变化，网络安全的形势也变得越来越严峻。通过对新一代网络攻击方式进行分析，重新思考当前的网络安全现状，提出了几点防护的应对思考。 　　关键词：信息安全；新一代网络攻击；APT；社会工程学 　　中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）05-0974-02 　　近年来，随着云计算、虚拟化、社交网络、IPv6等新技术、新应用的不断发展和广泛应用，网络安全攻击也趋向新型的高级持续性攻击。在攻击的过程中，攻击者综合运用社会工程学、0Day、Botnet、恶性文件、AET高级规避攻击等技术手段。攻击的方式也已从上一代单纯基于字符串的攻击演变为新一代面向应用和内容的深度、复杂、高级可持续攻击。传统的入侵检测以及安全保护设备、工作方式、管理模式在面对新一代的网络安全威胁时已经无法适应当前的安全形势的发展。过去所掌握的技术手段、所积累的大量经验和教训等，目前已经不足以应对未来的新一代网络安全威胁。 　　1新一代网络攻击方式 　　1.1网络安全攻击的4个阶段 　　根据国家网络信息安全技术研究所的有关报告分析，网络安全攻击从表现形式上可以分为4个阶段：第一个阶段，是攻击者制造一个有影响力的攻击。比如2001年的红色代码，2003年的冲击波，2004年的振荡波等。这些事件影响力都非常大，但是破坏对攻击者本身并没有带来什么好处。第二个阶段，攻击的主要目的转向“赚钱”，网络上多种形式的敲诈变得比较常见，很多商业网站都成为地下产业链的一环，用恶意攻击的形式来取代正常的竞争。第三个阶段，另一种不同于以前的攻击出现了，这就是窃密。第四个阶段就是从现在开始的，网络窃密的方法已经大不相同，网络攻击的目的也远不仅止于窃密。新阶段的网络攻击与以往那些阶段有很大不同，使得过去在网络安全领域所积累的东西面临过期的危险。 　　1.2新一代网络攻击的原理 　　新一代网络攻击已经不仅仅从单纯的软件的漏洞进行病毒的攻击，而是结合社会工程学，心理学，将系统的使用者——人作为突破口，再综合运用各种攻击技术手段进行有针对性地攻击，甚至是高级可持续攻击（APT攻击）。下面就以新一代网络攻击的典型代表—APT攻击为例进行说明。 　　APT高级持续性威胁，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需的网络；其次APT攻击具有很强的针对性，攻击触发之前通常收集大量关于用户业务流程和目标系统使用情况的精确信息。APT攻击可能持续的时间很长，攻击是通过多个步骤，多个间接目标和多种辅助手段最终实现对特定目标的攻击，经常结合各种社会工程学手段。任何规模的公司，只要员工可以访问网站、使用电子邮件（尤其是HTML邮件）、传输文件等，就有可能受到APT威胁。例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击，例如通过内部接入被感染的可移动驱动器（U盘、闪存卡）、其他地方被感染的笔记本电脑等。 　　2目前的安全防御体系在挑战中处于劣势地位 　　面对新一代的网络攻击的挑战，目前的安全防御体系已经无法适应新形势、新技术的发展，在攻防的博弈中处于劣势地位。 　　第一，在对入侵的预警方面，无法及时发现网络攻击。由于攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现。攻击者还经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，因此，对于这些合法邮件现有的邮件过滤系统无法进行过滤。同时，由于邮件附件中隐含的恶意代码往往都是0day漏洞，现有的邮件内容分析也难以奏效。 　　第二，在初始的网络渗透前，目前的安全防御、检测设备已经落后。初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御、检测设备无法识别这些0day漏洞攻击。还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。 　　3防范新一代网络攻击的应对思考 　　通过以上的分析，不难看出，要有效地防范新一代的网络攻击，仅仅依赖传统的几台网络安全设备是不可能完成的任务，必须从管理和技术手段两方面入手。 　　3.1管理方面的应对 　　第一，加强培训，增强安全意识及有关警示教育，特别是如何防范邮件攻击方面的培训。从过去的攻击中，攻击者所制造的社会工程陷阱