信息來(lái)源:安全內(nèi)參
對(duì)付新冠病毒最有效的方法是隔離,對(duì)付網(wǎng)絡(luò)犯罪同樣如此。
近日,Critical Stack的CTO和聯(lián)合創(chuàng)始人Dustin Webber在《福布斯》撰文指出,網(wǎng)絡(luò)安全出現(xiàn)了一個(gè)似曾相識(shí)的新概念——隔離(isolation)有望將網(wǎng)絡(luò)犯罪預(yù)防提升到一個(gè)新的水平。該方法類(lèi)似于將可能包含炸彈(惡意軟件、勒索軟件、間諜軟件等)的包裹(有效載荷)帶到一個(gè)安全隔離的區(qū)域,無(wú)論該包裹有多大的殺傷力,都可安全引爆。
訣竅是研究爆炸過(guò)程并將其重新組合在一起以獲取更好的情報(bào)。這個(gè)概念類(lèi)似于大型強(qiáng)子對(duì)撞機(jī)(LHC)背后的技術(shù)。大型強(qiáng)子對(duì)撞機(jī)通過(guò)將粒子高速撞擊分解來(lái)查看粒子內(nèi)部信息。安全研究人員在運(yùn)行各種操作系統(tǒng)的隔離計(jì)算機(jī)中以相同方式運(yùn)行有效負(fù)載并對(duì)其進(jìn)行研究。
“隔離”之所以被業(yè)界(重新)重視,是因?yàn)楫?dāng)下的網(wǎng)絡(luò)安全措施難以應(yīng)對(duì)當(dāng)前發(fā)生的大量勒索軟件和惡意軟件攻擊,業(yè)界需要一種更好的預(yù)防(而不是過(guò)分依賴(lài)檢測(cè)和響應(yīng))方法。最近對(duì)1200名安全決策者進(jìn)行的一項(xiàng)調(diào)查顯示,企業(yè)平均部署了76種不同的網(wǎng)絡(luò)犯罪預(yù)防方案。盡管如此,82%的受訪者表示,他們?cè)庥龅陌踩录@過(guò)了現(xiàn)有的安全控制措施。
主要問(wèn)題是惡意軟件作者正變得不但“藝高”而且“膽大”。他們不斷想出新的方法來(lái)逃避檢測(cè)和遏制系統(tǒng)。今年前五個(gè)月,獨(dú)立IT安全機(jī)構(gòu)AV-TEST檢測(cè)到4443萬(wàn)種新的惡意軟件,全球惡意軟件總數(shù)超過(guò)13億。
誠(chéng)然,網(wǎng)絡(luò)安全系統(tǒng)的供應(yīng)商正忙于設(shè)計(jì)對(duì)策,其中許多對(duì)檢測(cè)和響應(yīng)是有效的,至少在一段時(shí)間內(nèi)是這樣。但在這場(chǎng)持續(xù)不斷的攻防戰(zhàn)中,惡意軟件作者必然會(huì)贏得一些戰(zhàn)斗——這可能意味著災(zāi)難。根據(jù)一份報(bào)告,2021年,勒索軟件攻擊的平均支出為54萬(wàn)美元,許多公司除了支付外別無(wú)選擇。
隔離從瀏覽器開(kāi)始
關(guān)鍵是,如果讓惡意軟件溜進(jìn)計(jì)算機(jī),則為時(shí)已晚。而且由于絕大多數(shù)惡意軟件將瀏覽器作為部署其惡意負(fù)載的重要方式,因此瀏覽器是設(shè)置障礙和隔離的第一道防線。
為了成功實(shí)施瀏覽器隔離,需要在每臺(tái)計(jì)算機(jī)上部署能夠初步篩選的安全應(yīng)用程序(代理或傳感器),因?yàn)橛?jì)算機(jī)環(huán)境安全離不開(kāi)系統(tǒng)安全。
但是“代理”或“傳感器”的名聲并不好,因?yàn)槔弦淮砗蛡鞲衅鳟a(chǎn)生了網(wǎng)絡(luò)開(kāi)銷(xiāo)、部署過(guò)程復(fù)雜并且難以管理。今天,這些問(wèn)題已經(jīng)基本解決或者不再構(gòu)成障礙。
在隔離系統(tǒng)中,計(jì)算機(jī)上的應(yīng)用程序攔截每個(gè)需要調(diào)用瀏覽器和點(diǎn)擊事件的協(xié)議,讓有效負(fù)載通過(guò),或?qū)⑵浒l(fā)送到與網(wǎng)絡(luò)完全隔離的云端隔離虛擬機(jī)。如果一個(gè)URL被解析為一個(gè)可下載的文件,它將被進(jìn)一步測(cè)試并被允許傳送到瀏覽器或被隔離。順便說(shuō)一句,雖然這個(gè)過(guò)程聽(tīng)起來(lái)很復(fù)雜,但所涉及的預(yù)處理和后處理速度足夠快,以至于用戶(hù)不會(huì)注意到它。
清零策略
隔離是一種高度謹(jǐn)慎的方法,只有確保安全的活動(dòng)才能繼續(xù)進(jìn)行。除非測(cè)試結(jié)果是“陰性”,否則隔離的會(huì)話會(huì)始終留在隔離區(qū)。對(duì)于大多數(shù)場(chǎng)景來(lái)說(shuō),默認(rèn)拒絕策略應(yīng)該是通用的。
對(duì)于任何關(guān)注勒索軟件和其他惡意軟件的公司來(lái)說(shuō),隔離都是一種適用的技術(shù)。下面是一些成功秘訣:
-
確保覆蓋了所有計(jì)算機(jī)設(shè)備。缺乏覆蓋是安全軟件普遍存在的問(wèn)題,隔離也不例外。
-
確保您的用戶(hù)了解系統(tǒng)的工作原理。這并不難,因?yàn)閷?shí)際上沒(méi)有學(xué)習(xí)曲線。
-
控制每個(gè)在公司計(jì)算機(jī)系統(tǒng)上安裝的新軟件。每個(gè)新軟件都是一個(gè)新的攻擊媒介。
鑒于攻擊面的急速膨脹和網(wǎng)絡(luò)犯罪分子對(duì)網(wǎng)絡(luò)滲透的不遺余力,一種新的預(yù)防(而不是檢測(cè))方法當(dāng)然值得探索。是時(shí)候開(kāi)始思考為什么我們熱衷于檢測(cè)入侵而不是預(yù)防入侵。