"灰色區域"不能成為安全的"法外之地"

2024-12-31 14:04:08

　　筆者在上一篇文章中說：NGFW開始聚焦FW、UTM尚未涉及的「灰色區域」。大家都知道「白」是指信息完全明確，可以信任;「黑」是指信息未知，不能信任;那麼「灰」呢?它是指信息部分明確，部分不明確，不可不信，也不可全信。伴隨著各種網際網路應用的快速發展，灰色區域也呈幾何級增長，幾乎每一種應用都存在灰色內容，它們都是各種攻擊的風險引入點。

　　「灰色區域」，成為網絡犯罪重災區

　　根據Ponemon的報告《2015年網絡犯罪成本研究》對全球7個國家的252家組織調查顯示，2015年網絡犯罪造成的成本在持續上升，平均每個公司每年會受到99次網絡攻擊，應對網絡犯罪的平均成本為770萬美元，而在2012年則僅為68次，在4年時間裡提升了46%。可以看出，各公司遭到網絡攻擊的次數在明顯上升。如果從圖中列出的不同網絡攻擊所造成損失的具體數值來看，確定應用層「灰色區域」已經成為網絡犯罪重災區，從圖中可以看出內部威脅與DoS攻擊造成的損失最多，分別為14.5萬美元和12.7萬美元。其餘的攻擊方式還有(按所造成損失從高到低排列)：基於Web的攻擊、網絡釣魚、惡意代碼、設備被盜竊、惡意軟體、病毒、蠕蟲、木馬還有殭屍網絡。這些攻擊方式全部都是針對應用層進行，並且這些威脅直接攻擊企業核心伺服器和應用，給企業帶來了重大損失。甚至之前典型的以網絡層流量「制勝」的DDoS攻擊，近年來也有向應用層上移的趨勢。

　　不同的攻擊造成的損失(數據來源於Ponemon《2015年網絡犯罪成本研究》)

　　「灰色區域」為何淪為黑客手中「軟柿子」?

　　大家看完上面圖表估計內心都會有一個疑問，為什麼現在網絡攻擊逐漸從網絡層上移至應用層呢?應用層為何成為黑客攻擊首選陣地呢?筆者認為有以下三個原因：首先，從產品技術角度，超過90%應用都屬於灰色系統，對於它們認知都是模糊不確定的，類似安全 「老三樣」這樣產品面對應用層早就顯得力不從心，基本失去防禦能力。筆者在上篇文章中已經講解過，像UTM、FW這類產品對於灰色內容是「棄之不管」的，而這部分內容無疑成為了最大風險引入點。

　　其次，從市場角度，應用層安全防護產品尚未形成主流市場，處於網絡7層中防守最薄弱環節。即便像下一代防火牆這樣作為應用層安全防護首選產品，目前在國內也尚未形成統一標準，各廠家產品的防護能力更是參差不齊。這無疑會成為攻擊者最易攻破地方。

　　最後，從安全意識角度，大家對於應用中灰色區域認知和安全意識不夠。比如對垃圾郵件這樣包含灰色內容應用，沒有足夠意識，只需通過「求職信」、「工資條」這樣簡單社會工程學技術就能讓很多人中招病毒、木馬，使其成為後期被攻擊對象。正所謂網絡安全本質就是人與人之間智力對抗，如果你安全意識不夠，那麼第一個淪陷就是自己。

　　讓「灰色區域」陽光化

　　應用系統多樣複雜，沒有特定的安全技術能夠完全解決所有的安全問題，對於如何減少應用層風險與威脅對網絡影響，需要讓「灰色區域」陽光化，筆者有幾個小建議大家分享。

　　首先：禁止企業中不必要應用——從源頭縮減「灰色區域」

　　任何一種應用中可能都存在潛在的風險，因此上好的辦法就是縮小應用入口，禁用一些不必要的應用，例如P2p應用，減少風險引入點。這樣可以最大程度縮減灰色區域，一定程度上降低防護複雜度。

　　其次：使用具備應用識別和可視化能力應用層安全設備代替傳統安全設備

　　想要發現應用中的威脅，一定要能夠精確識別流量，必須基於應用、行為的特徵來實現。正如當今醫學上要準確的確定一個人，絕不能再僅僅基於其身高、體貌來判斷，而是要檢驗其指紋甚至DNA的特徵，利用網絡數據包的「指紋」、「DNA」對數據類型進行鑑別的技術，就是我們常說的基於應用層的應用識別技術，找出灰色區域中「黑名單」，讓應用更加安全。對於剩餘無法做出確切判斷的「灰色內容」，引入風險視角思維，通過可視化這樣工具將灰色空間中的不確認的威脅告知用戶，讓用戶參與決策。、

　　最後：為應用層安全防護提供更多武器彈藥

　　根據Ponemon的報告顯示已經有部分公司正在將預算資源從網絡層緩慢轉向應用層。應用層的預算支出從2013年的15%增長到2015年的20%，而網絡安全支出則由40%下降到36%。面對越來越猖獗應用層威脅，我們需要提供更多彈藥，讓灰色區域「陽光化」。

　　寫在最後：「灰色區域」不能成為安全的「法外之地」，網絡使用者不會被應用中「暗箭」所傷，才是我們追求目標!