Check Point是全球領先的專注於安全的解決方案供應商,其客戶包括多國政府和企業。日前,Check Point舉辦了一場乾貨滿滿的媒體交流會,Check Point的網絡安全專家對近期發生的RottenSys惡意軟體事件進行詳細地分析,並向與會者分享了Check Point最新的安全防護技術,以及在現階段網絡威脅環境下如何幫助用戶和企業保護網絡的安全。會議期間,Check Point 北區技術經理譚雲接受了CTI論壇在內的媒體採訪,就網絡安全行業的熱門話題進行探討交流。
譚雲,Check Point 北區技術經理
網絡安全問題須警鐘長鳴
近年來各種網絡安全事件依舊層出不窮,且愈演愈烈,嚴重影響到我們生活和工作的方方面面。新型網絡犯罪正在升級迭代,日益呈現出產業化、智能化、國際化等新特點,網際網路用戶的信息安全,不斷受到來自黑產惡意攻擊等新挑戰。譚雲詳細地舉例介紹了近兩年來臭名昭著的網絡攻擊事件,一樁樁一件件情節跌宕起伏,驚險程度堪比歐美大片,這些網絡事件給我們敲響了警鐘。
Fireball火球病毒:來自中國的Fireball病毒,這個病毒為了逃避國內網絡警察的打擊,基本上都是面向國外的一些用戶。它在國外感染的時間是從2017年6月1號開始。Check Point研究員發現,Fireball這個病毒在全球感染了5000萬到2.5億的PC,其中有20%的PC是處於企業網絡內部的。它到了PC上後,會控制受害者電腦的web瀏覽器,在web瀏覽器裡安裝一些插件,目的就是強制的修改web瀏覽器的主頁和搜尋引擎。在短短一年的時間裡,這家公司通過Fireball病毒獲利了8000萬人民幣。
WannaCry勒索病毒:WannaCry是去年5月份在全球爆發的一種比特幣勒索病毒,主要通過Windows的嚴重漏洞進行傳播,以向鎖定的目標索要贖金。WannaCry所利用的"永恆之藍"病毒,就是NSA之前官方的一個叫方程式組織這樣的一個黑客組織幫它們開發的一個武器。黑客拿到"永恆之藍"後,可能它本身的技術能力並沒有那麼高,但是它得到了武器庫,個人黑客就擁有了等同於國家頂尖情報機構黑客的能力。在整個的攻擊期間,全球至少有150個國家遭受了攻擊,受害的電腦超過了23萬。其實,在這個事件爆發之前,即4月27號,針對WannaCry病毒,Check Point已經發布了IPS更新,即如果你部署了Check Point IPS安全設備,是完全可以阻止這樣的攻擊到達企業網絡內部的。
RottenSys (墮落的系統)惡意軟體:Check Point安全研究員賀飛翔跟安全團隊的其它兩位同事一起,在3月14號發布了一個重磅消息,就是找到了RottenSys移動端的病毒。截止今年 3 月 12 日累計受感染安卓手機總量高達 496 萬 4 千餘部;受感染的手機中,每天約有 35 萬部輪番受到惡意廣告推送的侵害。受感染手機品牌分布(前五):榮耀、華為、小米、OPPO, vivo。僅 3 月 3 日到 12 日 10 天期間,RottenSys 團夥向受害手機用戶強行推送了 1325 萬餘次廣告展示,誘導獲得了 54 萬餘次廣告點擊。保守估計不正當廣告收入約為 72 萬人民幣。
攻擊類型的演變和防護
網絡安全領域正在發生什麼?魔高一尺、道高一丈,Check Point仔細地研究每一代的攻擊類型和它的防護方案,讓我們先來看看這幾代的攻擊的演變和防護。
首先,第一代的攻擊。我們的個人電腦是在80年代初到80年代末才慢慢流行起來的,隨著PC的越來越推廣,大家都有了PC,最早就出現了針對獨立電腦病毒的攻擊。以前的病毒是通過軟盤傳播的。Check Point在1993年推出第一代防火牆的時候,也是在一個軟盤上的,當時有五張軟盤,才可以安裝一個Check Point完整的軟體。我們通過軟盤的方式分發軟體,在這個過程中黑客也會把病毒放到軟盤裡進行傳播,但是這種傳播效率比較低。所以,在那個時代的這種反病毒是安全防禦裡最重要的環節。
到了第二代,即90年代中期。自從網際網路推廣後,針對網絡的攻擊越來越多,它可以通過網絡遠程的攻擊電腦、傳播病毒。而Check Point也是在這個年代成立的,即1993年Check Point在全球第一個發明了狀態化檢測的防火牆。第二代的防禦方式,就是防火牆。
到了第三代,就是在2000年的時候,在這個網絡泡沫的時代,有很多很多的網站推出了不同的應用。這些應用,比如程式設計師學應用的時候,有的程式設計師寫程序是非常規範的,寫的代碼非常精煉,非常安全。但是程序放大的時候,你不能保證程序沒有任何的漏洞。而黑客就會利用這種程序的漏洞,通過網絡對這些應用進行攻擊。這個時候出現了IPS,就是入侵防護系統。通過入侵防護系統保護我們的應用,不被這些黑客所入侵。
到了第四代,從2010年開始的,當時在安全圈裡有個非常流行的詞,叫APT攻擊。所謂的APT攻擊,就是黑客會利用0-day的漏洞攻擊你的系統。針對這種新的攻擊,我們也有一些新的防護手段,就是我們所說的這種沙箱,或者沙盒,還有防殭屍。
以上四種防護Check Point都是實現的,並且是業界最早實現的。
經過Check Point的統計,百分之百的企業基本上都有防病毒的防護手段,百分之百的企業基本上也有了防火牆這樣的防護手段。但是只有50%的企業使用了入侵防護,就是對應用的防護的手段。只有7%的企業使用了沙箱和防殭屍的防護。
經過Check Point的調查,發現現在絕大部分的企業都還處於第二代和第三代之間的防護狀態。也就是說,它現在的防護體系只能抵禦第二代的網絡攻擊,或者第三代漏洞利用的情況。為什麼叫2.8代呢?就是有些企業第三代的IPS並沒有啟用這種防護的狀態,而是啟用了IBS,就是入侵檢測,即只檢測不防禦,所以我們這兒把它列為2.8代。其實,對於這個結果,也是非常令人震驚的,如果是這樣,說明企業的防護安全已經落後了安全的威脅整整10年時間。當然,這裡也有很多企業的一些苦衷。
2018-第五代網絡攻擊
在今年1月召開的世界經濟論壇上發布了一個全球的風險報告,排名第一的是極端天氣;排名第二的是自然災害;而排名第三、第四的,全部都是跟網絡安全和信息安全相關;排名第三的是網絡攻擊的風險;排名第四的是數據詐騙,或者數據洩露的風險。這就說明,在現在數字時代,網絡安全已經成為除了自然災害以外,最大的風險所在。
2018年,我們正處在一個非常重要的轉折點,因為現在所有的業務都在快速的進行數位化轉型,在數位化轉型的過程中,對這些安全性,特別是信息安全、數據安全,提出了越來越高的要求。今天我們看到的這些網絡攻擊,都是史無前例的、大規模、多項量、高強度的攻擊。我們總結出一個詞,我們叫第五代多維攻擊。這種攻擊,會對我們的企業和企業的聲譽造成非常重大的損害。
什麼是第五代攻擊?其實,WannaCry勒索病毒就非常好的展示了什麼叫第五代攻擊,首先是大規模的,它可以跨國家、跨行業,一般都是全球性的爆發。
第二,它是多項量、多維度的攻擊。因為現在企業的網絡邊界越來越模糊,以前企業的網絡邊界就是連著Internet的那條鏈路,那就是它的邊界。但是現在很多企業慢慢地把一些業務、一些應用都在往雲上遷移,不管是私有雲,還是公有雲,這就造成企業的網絡邊界越來越大,不那麼好控制了。
第三,是我們現在的很多企業,允許員工拿BYOD這些移動端設備連入企業辦公,而這些行動裝置都是員工自己的,那麼企業怎麼保護設備上的信息,怎麼防止黑客利用這些員工的手持設備攻擊內部的網絡?
最後一個,它是高強度的攻擊手段,什麼叫高強度?比如一些國家的間諜組織,它的情報部門所開發的黑客工具,現在已經在網際網路的暗網上流傳開了,因為它本身也是不安全的。一旦國家資助的這些技術被流傳開了,其它的一些黑客雖然本身沒有這麼高的技術,但是他完全可以利用已經開發出來的這些攻擊的框架、工具,放到它的自己的病毒裡。這就造成我們現在的企業面對的黑客,不僅僅是一個簡單的犯罪組織,或者一個犯罪的個人,你面對的可能是代表國家最先進的網絡黑客團隊所開發出來的一些攻擊工具。當然,我們必須要採取行動。
Check Point 在2018年,推出了最新的針對這種多維度攻擊的第五代防護體系,叫Gen V防護體系。Infinity Total Protection是一款突破性安全模型,助力企業有效防禦第五代 (Gen V) 網絡攻擊。該創新性模式利用 Check Point Infinity 架構組件,在提供最高級別安全的同時,還通過整合安全組件以降低成本。Infinity Total Protection 是突破性的全新消費模型,提供簡單全包、基於用戶、按年訂閱的服務。該服務助力企業在整個網絡中全面實現第五代安全級別。Infinity Total Protection 是當今唯一包含網絡安全硬體和軟體的訂閱解決方案,具有完全集成式終端、雲端和行動裝置保護以及零日威脅防護特點,並且可以統一管理,提供全天候優質支持服務。有了 Infinity Total Protection,用戶可立即體驗到 Check Point Infinity 的統一安全架構帶來的益處,同時還能讓整個企業環境無論是本地、行動裝置或雲端,都實現全面的威脅防護。
擁抱雲時代 -CloudGuard
對於雲端環境下的高級威脅防禦Check Point現在主要有兩個產品,Check Point CloudGuard IaaS或者Check Point CloudGuard SaaS,二者都是統一在Check Point Infinity的第五代防護體系底下。通過Infinity一個統一的平臺去管理我們所有每一個點的安全策略,包括實現安全事件的可視化,幫助管理員用最少的時間,用最少的精力,實現企業的安全。
CloudGuard IaaS,對基礎架構即服務的雲進行防護。比如,像AWS,Azure,像國內的阿里。我們在雲上的安全體系的安全性,跟在傳統數據中心上其實是一致的,就是所有的技術在雲端中都能用。但它最大的一個不同,就在於它能夠實現雲端的自動化和敏捷性。一個是它可以支持所有的平臺,就是你的企業不管是用了什麼雲,我都可以統一的幫你管理起來。第二個,是我們在這上面可以實現高級的威脅防護和安全的可視化,最重要的是我們支持DevOps和自動化編排。
針對SaaS,Check Point的API跟全球最大的SaaS 提供商進行整合,即Check Poin的研發跟它進行對接,它上面所有的數據都可以通過API傳到我們後臺的檢測引擎裡,也就是我們的數據中心裡做檢查,檢查完畢會把結果傳回SaaS,告訴它這是安全的還是不安全的。對於國內日益崛起的SaaS供應商,因為涉及到API的開發,Check Point的研發需要跟每個廠商做深入的對接。