APP下载

道与法

2014-08-11杜林程彦博

中国计算机报 2014年27期
关键词:沙箱防火墙信息安全

杜林+程彦博

本期封面报道的照片中显示的是美国加利福尼亚州Palo Alto市的街景。Palo Alto市位于硅谷的中心,很多科技公司聚集于此。近年来,由它的名字命名的网络安全厂商Palo Alto Networks因为率先推出下一代防火墙(NGFW)并在市场上取得领先,让Palo Alto这个名字更被全世界的信息安全从业者熟知。

信息安全不仅直接关系到信息系统建设和应用的成败,如果从国家和社会的层面来讲,信息安全怎么说都有理,都不为过。

如今,我们对于信息安全的热情空气高涨,大力提倡自主可控。美国是信息技术的发源地,硅谷现在仍然是全球IT的创新中心。看一看他们处在什么位置,看一看他们对于信息安全的理念和策略、技术和方法,我们或许才能够更好地寻找相应的措施和解决方案。

从下一代防火墙到下一代安全

6月底,Gartner发布了2014年十大信息安全技术,同时指出了这些技术对信息安全部门的意义。这些技术包括云端访问安全代理服务、全面沙箱分析与入侵指标确认、端点侦测及回应解决方案、 针对物联网的安全网关与防火墙……

Gartner副总裁Neil MacDonald表示:“企业正投入越来越多的资源以应对信息安全与风险。尽管如此,攻击的频率与精密度却越来越高。高阶锁定目标的攻击与软件中的安全漏洞,让移动化、云端、社交与大数据所产生的‘力量连结(Nexus of Forces)在创造全新商机的同时也带来了更多令人头疼的破坏性问题。伴随着力量连结商机而来的是风险。负责信息安全与风险的领导者们必须全面掌握最新的科技趋势,才能规划、达成和维护有效的信息安全与风险管理项目,同时抓住商机并管理好风险。”

简单地说,云计算、移动、社交网络等新兴技术和应用,给信息安全带来前所未有的安全挑战。名不见经传的美国网络安全厂商Palo Alto Networks推出了第一款下一代防火墙,让自己的名字迅速走红。下一代防火墙应运而生,正是因为当前新兴技术和应用为各类组织和机构带来的安全威胁,它们呈现出和传统威胁并不相同的特征,需要用户不仅要对网络层以下的数据包和流量进行过滤,更需要对上层的应用进行识别和分析。而下一代防火墙除了要实现传统防火墙的功能以外,一个重要特征就是要具有业务的识别能力并具有安全的可视化,它能够识别应用程序并在应用层上执行网络安全策略。

现在,几乎各个安全厂商都在推广自己的下一代防火墙产品,这其中有传统的网络安全厂商,也有新兴的应用安全厂商,但是毫无例外,他们都将下一代防火墙作为自己的主推产品。这样一种趋势,一方面说明了下一代防火墙作为传统防火墙的替代品或者升级版,具有非常巨大的潜在市场;另一方面,在由下一代防火墙开始的信息安全产业变革中,融合的趋势越来越显著。

Palo Alto Networks率先推出下一代防火墙并且成为行业标杆,这一行为不仅捧红了自己,也捧红了一个词——“下一代(Next-Generation)”。比如,与下一代防火墙相配合的,与传统IPS相对应的下一代IPS(NGIPS)同样浮出水面。根据Gartner的定义,下一代IPS除了具有传统IPS的功能以外,还需要具有对应用的可视化和控制功能,情景感知(Context Awareness)、内容感知(Content Awareness)以及敏捷式引擎。

Gartner认为,下一代IPS正是为了解决在新兴业务环境下出现的新型高级网络攻击而传统IPS产品无法应对的问题。下一代IPS的与传统IPS核心的区别为是否具有自适应安全能力的敏捷式安全引擎,下一代IPS借此才能够实现周而复始不间断地发现辨识网络信息、学习并关联信息、自动调整行动策略的自动防御能力。

已经被思科收购、以入侵检测和防护见长的网络安全厂商Sourcefire发布的下一代IPS就声称能够针对高级威胁为用户提供智能化的实时检测和上下文感知、完整的可视化,以及自动化的智能安全,它可以通过被动入侵检测模式将可疑的网络通信流量和行为及时通知给用户,并通过内联 IPS 模式阻止威胁。在年初由NSS实验室公布的数据中心场景IPS测试结果中,SourceFire产品的渗透攻击阻挡率达到99.4 %,并100%有效防范了逃逸技术。

事实上,无论是下一代防火墙还是下一代IPS产品的问世,其根源都在于新技术和新应用所带来的划时代的巨变,给信息系统的安全带来了颠覆式的变化。而在下一代防火墙和下一代IPS之后,也有很多信息安全领域人士开始讨论更深入的话题——下一代安全。

显然,下一代安全包含了更多的内涵。放眼望去,处在这个IT时代变革的交叉点上,IT的下一代必然带来安全的下一代。但是,当下一代IT已经端倪初现,神秘的面纱正在慢慢揭开之时,究竟如何构建与下一代IT相适应的下一代安全,似乎还没有人能够具有完整清晰的思路。

云计算就是下一代IT的典型一例。云计算的新特性让传统的信息安全防护体系不再能够提供足够的防护。当然,云安全也出现在今年Gartner提及的十大信息安全技术中,云端访问安全代理服务(Cloud Access Security Brokers)即部署在企业内部或云端的安全策略执行点,位于云端服务消费者与云端服务供应商之间,负责在云端资源被访问时套用企业安全策略。在许多应用实例中,用户初期所采用的云端服务都处于IT掌控之外,而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握和管控。

MTM Technologies公司战略和创新总监Bill Kleyman则认为,由软件定义的下一代安全将重新定义云计算。他指出,为解决云计算的安全问题,下一代安全将呈现三个方面的特征:

一是逻辑安全的抽象。下一代安全将具备足够的技术能力与各个层面进行交互,这意味着可以将安全部署为直接与底层物理组件进行交互的虚拟服务。在任何情况下,数据中心的安全性都将围绕着虚拟化和云展开。endprint

二是可扩展的安全服务。下一代安全使用各项服务来控制和安全相关的基础设施数据。应用程序防火墙、网络流量监控设备将提供新的安全级别。设想一下这样的场景,在关键应用程序的后台存在一个强大的安全引擎,而这个引擎可以试探性地学会如何运行应用程序并停止任何异常流量。

三是数据安全与控制。它不只保护用户的信息,在大数据时代,下一代安全解决方案还将帮助用户控制流量。管理者可以设置控件来管理用户和用户组,这将创建一个动态的环境,当用户使用云计算时他们可以在那里让数据管理和用户管理更加智能化。更重要的是,因为数据和虚拟机是流动的,它们能够快速地遍历数据中心中的节点,所以下一代安全应该精确地知道如何有效控制这些数据,并且在这些数据穿过各个节点时为其提供足够的防护。这将更加有效地帮助用户实现数据的安全性、完整性和可控性。

沙箱不是万能药

如果说云计算等下一代IT让信息安全体系不得不做出改变,必须被动转向下一代安全的话,那么沙箱(Sandbox)技术则是信息安全技术主动出击,从而应对更为复杂的、未知的安全威胁,特别是APT攻击的伟大尝试。

Gartner认为,全面沙箱分析与入侵指标(IOC)确认将成为今年十大信息安全技术之一。这是因为,某些攻击将越过传统的封锁与安全防护机制,在这种情况下,最重要的就是要尽可能在最短时间内迅速察觉入侵,将黑客可能造成的损害或泄露的敏感信息降至最低。

所谓沙箱,是一种动态模拟分析技术,也就是利用虚拟化环境,来侦测恶意程序的行为。通过沙箱,用户可发现电子邮件附件、共享文件或网站中的异常,把任何可疑的东西标注出来;在虚拟环境中测试嫌疑程序,看它们是不是真的有害,如果有害,这些威胁就被隔离、禁用。

实际上,沙箱的实现并不困难,但真正的核心是如何对沙箱内的行为进行分析,判断哪些是恶意程序,并辨识出新的攻击手法。很多防毒软件都号称有沙箱,但多数偏向针对执行层的过滤,但现在很多APT攻击是通过文件层进行的,这就需要更专业的模拟环境去进行检测。

许多信息安全平台都具备在虚拟机(VM)当中运行(即“引爆”)执行文件和内容的沙箱功能,并且可以通过虚拟机观察这些恶意文件和内容的一些入侵指标。目前,这一功能已迅速融入到一些较强大的平台当中,不再属于独立的产品。一旦侦测到可疑的攻击,必须再通过其他不同层面的入侵指标进一步确认,比如需要比较网络威胁侦测系统在沙箱环境中所看到的,以及实际端点装置所观察到的状况(包括活动进程、操作行为以及注册表项等),再加以判断和区分。

谈到沙箱技术,就不得不提及美国另一个迅速崛起的新兴安全厂商——FireEye。FireEye提出的APT攻击防御解决方案创造性地为自己开辟了一片新的市场,也让自己推向了信息安全解决方案的最前沿,倍受各界关注。去年9月,FireEye上市首日股价即上涨80%,可见市场对FireEye的前景大为看好。

FireEye备受关注,很大程度上源于其反恶意软件的沙箱技术。FireEye的沙箱有很多特有机制,比如内建启发式(Heuristics)、动态分析(Dynamic Analysis)机制,它们可以用来检测网页、电子邮件夹带的各种文件格式,甚至包括Mp3、RealPlayer、图像等类型的文件。FireEye的沙箱技术被很多知名安全厂商所效仿,这些厂商承认他们有意将自己的一些技术变得“更像FireEye”,这其中就包括迈克菲和Palo Alto Networks。如Palo Alto Networks推出的基于云的反恶意软件技术就被称为WildFire。

当然,沙箱技术也并非完美。沙箱分析非常耗费资源,如果用户都将文件放到云端分析并在沙箱中虚拟执行的话,有可能会在超过1个小时后才能获得分析结果,这就无法做到及时拦截,更应付不了在几分钟内即可快速变形的恶意攻击。美国圣芭芭拉加州大学计算机科学系副教授兼Lastline公司首席科学家Christopher Kruegel认为,虽然沙箱(尤其在电子邮件领域)已经成为发现组织破坏与数据窃取等零日攻击的绝佳利器,但是它的卓越表现也引发了攻击者的注意,并开始想办法绕过沙箱。

Lastline公司介绍了几种关于沙箱的逃避技术,值得警惕。一种技术被称为“停顿代码”。该技术能够拖延恶意代码的发作过程、静待沙箱检测流程结束之后再继续执行。在此期间,恶意软件并不是简单的中止运行,而是继续执行某些并无意义的计算活动,这使其从直观角度来看与合法进程高度一致。“为了监测恶意软件,沙箱通常会启用hook技术。”Christopher Kruegel指出,此类技术能够直接深入程序代码内部来获取函数及库调用过程中产生的通告信息。更深入的问题在于,程序代码必须出现变动才能被正确监控,但是恶意软件也同样能够检测到这种变动。Christopher Kruegel认为,对系统调用指令进行监控的最大局限在于沙箱无法揪出恶意软件在两次调用活动之间所执行的指令,这一显著的盲点很可能被攻击者所利用。

另外一种逃避技术是通过环境检查来实现的。Lastline公司指出,攻击者可以在恶意代码中添加与操作系统相关的新型零日环境检查,并通过操纵返回值的方式逃避沙箱检测,供应商只能通过安装补丁来堵上这类缺口。

正如Christopher Kruegel所说,有些APT攻击非常高级和复杂,往往具备环境感知能力,一旦其发现自己处在常见的虚拟主机环境时,便会立即停止活动,从而对沙箱产生“抵抗力”。鉴于此,FireEye的威胁防御平台(Threat Prevention Platform)是以自主研发的虚拟主机环境来运行沙箱,采取非开放原始码的特殊虚拟主机技术,不仅让黑客无法掌握回避的方法,同时搭配专属硬件设计,可以由微调核心程序来优化执行效能,更可同时运行模拟多种客户端环境。endprint

此外,FireEye还进一步扩展其侦测方案,推出实时、不间断的防护平台Oculus。除了以既有的威胁防御平台为基础,该平台还包含了动态威胁情报(Dynamic Threat Intelligence,DTI)机制,为FireEye在全球部署搜集威胁情报。它运用海量数据分析技术,可以快速汇集并分析大量攻击资料,以提升最新攻击模式的辨识能力,协助用户发现潜在的实际受害者,并提供相关预测信息。

当然,信息安全领域围绕沙箱技术的努力与创新也再次印证了两条定律:一是安全只是相对的,永远没有绝对的安全;二是只有各种安全技术联合起来,协同作战才能获得更为有效的防御效果。

协同,还是协同

每年的RSA大会是全球信息安全趋势的风向标之一,相信很多人还对今年RSA大会的主题“运用集体智慧”印象深刻。其实,协同作战一直是信息安全领域极力倡导的,这是因为面对越来越复杂的环境和强大的敌人时,协同作战总是比单兵作战效能大增。

无论是APT攻击还是移动、云计算中存在的更加泛化的安全威胁,都让企业的信息安全环境变得日益复杂。另外,物联网的逐渐崛起,更加速了安全威胁泛化的趋势。Gartner研究副总裁Earl Perkins就表示,到2020年,物联网的安全需求将要求全球超过一半的企业 IT 安全计划重新制定和扩大。

物联网的安全网关、代理与防火墙成为今年备受关注的信息安全技术,是因为企业都有一些设备制造商所提供的运营技术(OT),尤其是一些资产密集型产业,如制造业、公共事业等,而这些运营技术逐渐从专属通信与网络转移至标准化网际网络通信协议(IP)技术。越来越多的企业资产都是利用以商用软件产品为基础的OT系统进行自动化,其结果是这些嵌入式软件资产必须受到妥善的管理、保护及配发才能用于企业级用途。OT涵盖了数十亿个彼此相连的感应器、设备与系统,许多无人为介入就能彼此通信,因此必须受到保护与防护。

Earl Perkins认为,面对物联网所带来的安全威胁,用户可以通过自下而上的方式,建立临时的安全规划和策略。同时,面对各类不断涌现的安全规划和解决方案,企业应该从细微着手,开发基于特定业务用例的物联网安全项目。

物联网是对互联网的延伸,它也将来自互联网的威胁进行了延伸。面对包括物联网在内的各类更为复杂的安全挑战,协同是永恒的话题。通常,为了给客户带来更为有效的安全服务,厂商常常通过收购或者战略合作,来进行优势互补,交付完整的安全防护解决方案。在协同作战方面,美国或者说国外信息安全厂商的愿望也似乎更为强烈。通过对安全厂商并购的动作,我们也可以看出当前信息安全发展的一些趋势。

链接 美国电子政府的信息安全策略

美国的“电子政府战略”对引领全美电子政府健康、快速发展起到了重要而又积极的作用。至今为止,美国的“电子政府战略”仍然作为其电子政府发展的基本纲领,继续驱动着美国电子政府前进的车轮。但作为全球最先进的电子政务国家,其电子政务信息安全问题一直是其电子政务战略的重点。分析研究美国的电子政府信息安全策略,可以对我国的电子政务信息安全发展有很好的借鉴和启示。美国电子政府信息安全的防范策略包括:

1. 倾力扶持国有信息安全产业的发展

自主的信息产业或信息产品国产化是保证电子政府信息安全的根本。信息安全技术、产品受制于他国是对国家安全利益的极大威胁。美国对国有信息安全产业的发展予以充分的政策和财政支持。当前,美国正在以下3种技术上求得突破:一是从技术上全面地不间断地进行升级,逐步改善信息安全状况、带有普遍性的关键技术。如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是突破技术难关,创新新技术,发挥技术的杠杆作用。如网络侦察技术、信息监测技术、风险管理技术、测试评估技术和TEMPEST技术等;三是形成“撒手锏”的战略性技术系统。如操作系统、密码专用芯片和安全处理器等。还要狠抓技术及系统的综合集成,以确保电子政府信息系统的安全可靠。

2. 进一步健全法律制度,严格执法

法律是保障电子政府信息安全的最有力手段,美国已经在政府信息安全立法方面积累了成功经验,如美国的《情报自由法》和《阳光下的政府法》等。预防和打击计算机犯罪法规、数字签名认证法、电子凭证(票据)法、网上知识产权法等,电子政府信息安全管理走上法制化轨道。

3. 建立严格的安全预警机制

OMB A-130附录3规定每个联邦机构都应当制定和实施信息安全计划,以确保所有联邦机构的信息收集、处理、传输、存储或分发的充分安全。安全计划应当根据联邦机构自身的职能及业务需求制定,遵循由联邦总统管理和预算办公室( OMB) 、商务部、总务管理局(GSA)和人事管理办公室(OPM)发行的政府范围内的政策、标准和规程,将其内容细化,设定安全目标。美国政府要求各联邦机构对所制定的安全计划,至少每隔三年要执行一次独立的安全检查或审计。对于涉及高风险的系统和主要应用程序,检查和审计应当缩短周期。对各种应急计划还要经常进行演练和测试,以保证它的有效性和可行性,使各类人员熟悉程序,以及各自所履行的职责。检查通常从不同的侧面,采取不同的手段进行,如过程检查和技术测试等。检查的内容是核实已被分配安全职责履行情况,该机构的安全计划是否是可行的、适当的,以及管理人员的授权处理情况等。按照2002年通过的“联邦信息安全管理法案”规定,要求联邦机构每年对安全计划和信息系统进行检查,写出独立的综合检查员评估报告(IG Report),并报告给OMB,OMB再以年度报告的形式报告给国会,同时要求各联邦机构信息安全计划要经过OMB的年度审查。

4. 政府各部门密切协作

美国政府在信息安全计划中,既有各自明确的分工和职责,又有相互的合作和帮助。如在制定标准和指南方面,NIST(美国国家标准与技术研究院)和OMB与NSA(美国国家安全局)合作协调,并以适当的方式帮助NSA ,NIST制定的标准和指南,以及技术建议,“最大程度地、切实可行地确保非国家安全系统的标准和指南成为制定国家安全系统标准和指南的补充”;在技术风险评估和测试方面,NSA也对NIST 提供技术建议和帮助,包括安全产品,对发现的技术漏洞和补救方法及时通报给NIST 。美国政府在保护关键信息基础设施和资源方面,则是动员全社会的力量,在本土安全部带领下,联合私营部门、盟国、州、部落、地方政府、学术团体和一般公众的力量一起合作,美国计算机应急事件预备队(The United States Computer Emergency Readi-ness Team,US-CERT)就是这样的一个产物。US-CERT成立的目的就是为了保护国家网络基础设施,US-CERT与主要的软件制造商、卡内基梅隆(Carnegie Mellon)计算机事故应急响应组以及法律执行和情报团体保持密切的关系,与他们一道工作,分析恶意代码和各种攻击特征,并由它负责协调全国的网络攻击的防御和响应,从技术上为联邦机构、企业单位和个人提供援助、咨询,及时发布各种网络安全威胁信息和处理方法。另外,我们从NIST出版的SP800系列出版物中,也可以看到NIST信息技术实验室与产业界、政府部门、学术研究组织的共同合作的各种活动。endprint

猜你喜欢

沙箱防火墙信息安全
构建防控金融风险“防火墙”
Removing a stone
保护信息安全要滴水不漏
高校信息安全防护
基于函数注入的沙箱拦截识别方法
保护个人信息安全刻不容缓
在舌尖上筑牢抵御“僵尸肉”的防火墙
基于多安全机制的 Linux 应用沙箱的设计与实现
信息安全
下一代防火墙要做的十件事