信息來源:安全內(nèi)參
對付新冠病毒最有效的方法是隔離,對付網(wǎng)絡(luò)犯罪同樣如此。
近日,Critical Stack的CTO和聯(lián)合創(chuàng)始人Dustin Webber在《福布斯》撰文指出,網(wǎng)絡(luò)安全出現(xiàn)了一個(gè)似曾相識(shí)的新概念——隔離(isolation)有望將網(wǎng)絡(luò)犯罪預(yù)防提升到一個(gè)新的水平。該方法類似于將可能包含炸彈(惡意軟件、勒索軟件、間諜軟件等)的包裹(有效載荷)帶到一個(gè)安全隔離的區(qū)域,無論該包裹有多大的殺傷力,都可安全引爆。
訣竅是研究爆炸過程并將其重新組合在一起以獲取更好的情報(bào)。這個(gè)概念類似于大型強(qiáng)子對撞機(jī)(LHC)背后的技術(shù)。大型強(qiáng)子對撞機(jī)通過將粒子高速撞擊分解來查看粒子內(nèi)部信息。安全研究人員在運(yùn)行各種操作系統(tǒng)的隔離計(jì)算機(jī)中以相同方式運(yùn)行有效負(fù)載并對其進(jìn)行研究。
“隔離”之所以被業(yè)界(重新)重視,是因?yàn)楫?dāng)下的網(wǎng)絡(luò)安全措施難以應(yīng)對當(dāng)前發(fā)生的大量勒索軟件和惡意軟件攻擊,業(yè)界需要一種更好的預(yù)防(而不是過分依賴檢測和響應(yīng))方法。最近對1200名安全決策者進(jìn)行的一項(xiàng)調(diào)查顯示,企業(yè)平均部署了76種不同的網(wǎng)絡(luò)犯罪預(yù)防方案。盡管如此,82%的受訪者表示,他們遭遇的安全事件繞過了現(xiàn)有的安全控制措施。
主要問題是惡意軟件作者正變得不但“藝高”而且“膽大”。他們不斷想出新的方法來逃避檢測和遏制系統(tǒng)。今年前五個(gè)月,獨(dú)立IT安全機(jī)構(gòu)AV-TEST檢測到4443萬種新的惡意軟件,全球惡意軟件總數(shù)超過13億。
誠然,網(wǎng)絡(luò)安全系統(tǒng)的供應(yīng)商正忙于設(shè)計(jì)對策,其中許多對檢測和響應(yīng)是有效的,至少在一段時(shí)間內(nèi)是這樣。但在這場持續(xù)不斷的攻防戰(zhàn)中,惡意軟件作者必然會(huì)贏得一些戰(zhàn)斗——這可能意味著災(zāi)難。根據(jù)一份報(bào)告,2021年,勒索軟件攻擊的平均支出為54萬美元,許多公司除了支付外別無選擇。
隔離從瀏覽器開始
關(guān)鍵是,如果讓惡意軟件溜進(jìn)計(jì)算機(jī),則為時(shí)已晚。而且由于絕大多數(shù)惡意軟件將瀏覽器作為部署其惡意負(fù)載的重要方式,因此瀏覽器是設(shè)置障礙和隔離的第一道防線。
為了成功實(shí)施瀏覽器隔離,需要在每臺(tái)計(jì)算機(jī)上部署能夠初步篩選的安全應(yīng)用程序(代理或傳感器),因?yàn)橛?jì)算機(jī)環(huán)境安全離不開系統(tǒng)安全。
但是“代理”或“傳感器”的名聲并不好,因?yàn)槔弦淮砗蛡鞲衅鳟a(chǎn)生了網(wǎng)絡(luò)開銷、部署過程復(fù)雜并且難以管理。今天,這些問題已經(jīng)基本解決或者不再構(gòu)成障礙。
在隔離系統(tǒng)中,計(jì)算機(jī)上的應(yīng)用程序攔截每個(gè)需要調(diào)用瀏覽器和點(diǎn)擊事件的協(xié)議,讓有效負(fù)載通過,或?qū)⑵浒l(fā)送到與網(wǎng)絡(luò)完全隔離的云端隔離虛擬機(jī)。如果一個(gè)URL被解析為一個(gè)可下載的文件,它將被進(jìn)一步測試并被允許傳送到瀏覽器或被隔離。順便說一句,雖然這個(gè)過程聽起來很復(fù)雜,但所涉及的預(yù)處理和后處理速度足夠快,以至于用戶不會(huì)注意到它。
清零策略
隔離是一種高度謹(jǐn)慎的方法,只有確保安全的活動(dòng)才能繼續(xù)進(jìn)行。除非測試結(jié)果是“陰性”,否則隔離的會(huì)話會(huì)始終留在隔離區(qū)。對于大多數(shù)場景來說,默認(rèn)拒絕策略應(yīng)該是通用的。
對于任何關(guān)注勒索軟件和其他惡意軟件的公司來說,隔離都是一種適用的技術(shù)。下面是一些成功秘訣:
-
確保覆蓋了所有計(jì)算機(jī)設(shè)備。缺乏覆蓋是安全軟件普遍存在的問題,隔離也不例外。
-
確保您的用戶了解系統(tǒng)的工作原理。這并不難,因?yàn)閷?shí)際上沒有學(xué)習(xí)曲線。
-
控制每個(gè)在公司計(jì)算機(jī)系統(tǒng)上安裝的新軟件。每個(gè)新軟件都是一個(gè)新的攻擊媒介。
鑒于攻擊面的急速膨脹和網(wǎng)絡(luò)犯罪分子對網(wǎng)絡(luò)滲透的不遺余力,一種新的預(yù)防(而不是檢測)方法當(dāng)然值得探索。是時(shí)候開始思考為什么我們熱衷于檢測入侵而不是預(yù)防入侵。