在2014中国大会中,大家听了很多关于网络和APT的内容。APT到底哪里最厉害,或者说最具性?来自Arbor Networks亚太区技术总监张泰兴带来了题为“网络安全缺口”的主题。
张泰兴一开始就以Operation Aurora为例,大概是在2010年1月份谷歌才公开承认内网被入侵它入侵。调查发现早在2009年1月份,黑客已经入侵了谷歌的服务器。他们在里面活动了大概一年的时间,这段时间能找到多少资料、搞多少。另一个是Shady Rat,它是专门美国部门的黑客公司,在2012年才被发现。其实早在5年前,黑客就已经入侵。
APT最,它能够入侵里的系统内网,在你的内网活动而不被发觉。这是APT最厉害的地方。潜伏在你的内网里面,有些五年,有些一年,有些三年,我们不知道,这就是APT最厉害的地方。
张泰兴表示,他们部署了很多防火墙IPS、沙箱技术等等,但总是会存在一些安全漏洞,黑客还是有机会锁定目标。我们现在又会使用wifi,它也会给黑客提供后门,锁定第一个入侵目标。黑客不会只一个目标就停手,它会做一些扫描、复制,有时候可能会发现自己对黑客自己有利的资料,比如客户的资料、信用卡资料,他们会偷取这些资料。APT不是偷取一次就完了,他们一点一点的偷,可以偷一个星期,一个月,一年,两年,四年,五年。他们就是设法潜伏在内网不被发觉,慢慢的把这些资料偷出来。
防火墙已经被用了二十多年,问题是为什么很多企业安放了这些安全产品,他们还是会被成功入侵,最的是那些APT在内网活动,他们都不知道。等到资料被偷走之后,黑客向外公布,他们才知道自己的内网被入侵了。
我们的网络安全切口到底在哪里呢?我们花了那么多钱安装防火墙,其实切口就在这边,市场上根本没有很好的方案帮助你调查内网的恶意软件行为。防火墙就像保安,一过了防火墙,就不关它的事情。IPS和沙箱不是不好,它们的功能都是边界。一旦APT突破了边界,开始在内网活动,它们通常就不能起太大作用。APT就是利用了这个漏洞,才能给我们制造这么多的麻烦。现在很大的问题是没有一个很好的方案让我们很地看到内网的恶意行为。
接下来是解决方案,Gartner去年公布了一个,针对APT,不是一个产品或者是方案就可以解决APT的问题。如果要解决APT事件,要把它分成三个部分,分为Endpoint、Payload、Network。
我们的产品具有两种功能,可以直接搜集流量。目前所有的交换机由器经过它们,它们都会产生Flow。简单来说,我们有一个产品,它能收集Flow。一旦搜集了这些信息,这个箱子就能很清楚的体现出内网的可视度,可以很清楚的说出谁在做什么、哪个IP地址在跟哪一个IP地址沟通、哪一个IP地址在跟哪一个服务器沟通,它们之间做了什么、什么时候开始、什么时候停止、交换了多少资料,我们可以通过这些信息来分析是不是存在不正当的行为。有一个服务器可能是属于工程部门的,我突然看到人力部门访问了这个服务器。我们可以发现问题,并且进行控制。
我们公司在成立的早期都是集中在服务运营商,现在做了十四年,也取得了一些成绩。现在做安全产品,不能单靠产品的功能,安全和黑客在赛跑,我们要跑在黑客的前面。很多安全公司都开始进行安全的研究,他们会搜集资料进行分析,可能会做出一些指纹出来。问题是每个安全公司都会说我的研究是全世界最好的。
Arbor Networks也有自己的安全小组,做这些研究的方法是大同小异的,我们每天能分析到的资料是80TB,大概占全球三分之一的网络流量。我看到的越多,的也就越多。过去十四年,我们建立了庞大的运营商客户群,大概有300个运营商跟我们分享这些资料。
分析了这些样本,可以将结果下载到机器上,我们知道内部和外部发生了什么事情,我们的产品可以将二者关联起来,可以关注企业的安全状态,我可以轻易的说出内网中的哪一个IP地址在进行扫描,哪一个IP地址在跟外面的钓鱼网站沟通,哪一个IP地址在做一些违规的行为。如果内网有什么恶意行为,黑客入侵了你的内网,在内网活动,这些都很容易的被发掘出来。发掘出来之后,就可以针对相关事件进行。这个服务器可能是装的高级客户档案,只有经理级别可以访问这台服务器,我就设定一个权限,这个服务器只让经理级别来访问。
有了Flow可以了解内网的可视度。我们的产品还有一个功能,它也能搜集到应用层的资料。将这三个关联起来,它能提供的案例有很多。我们可以用它发觉资料外泄的事件,怎么这个IP地址在每个星期五的半夜都会发一百兆的文件给一个钓鱼网。还有一些最新的。如果是用签名的方法去发觉,可能还不是很有效。我们是用行为分析,虽然我没有签名,我不懂这个恶意软件是什么,如果这个软件是恶意的话,一定可以扫描一些坏的行为,扫描一些IP地址,会病毒。从行为分析可以判断IP地址。
Arbor Networks采用了Pravail技术,可以清楚的知道内网发生什么事情,这些恶意行的很快被攻破。从整个安全的角度,我们还有一些问题点。我们还有一些云端的方案,也有企业级的方案。我们能提供的方案不仅是在内网,还有ATLAS的方案。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
推荐: