多年來,企業一直依靠狀態檢測防火墻、入侵檢測系統、基于主機的防病毒系統和反垃圾郵件解決方案來保證企業用戶和資源的安全。但是情況在迅速改變,那些傳統的單點防御安全設備面臨新型攻擊已難以勝任。為了檢測出最新的攻擊,安全設備必須提高檢測技術。本文著重介紹針對未知的威脅和有害流量的檢測與防護,在防火墻中多個前沿的檢測技術組合在一起,提供啟發式掃描和異常檢測,增強防病毒、反垃圾郵件和其它相關的功能。
新一代攻擊的特點
1、混合型攻擊使用多種技術的混合-—如病毒、蠕蟲、木馬和后門攻擊,往往通過Email和被感染的網站發出,并很快的傳遞到下一代攻擊或攻擊的變種,使得對于已知或未知的攻擊難以被阻擋。這種混合型攻擊的例子有Nimda、CodeRed和Bugbear等。
2、現在針對新漏洞的攻擊產生速度比以前要快得多。防止各種被稱之為“零小時”(zero-hour)或“零日”(zero-day)的新的未知的威脅變得尤其重要。
3、帶有社會工程陷阱元素的攻擊,包括間諜軟件、網絡欺詐、基于郵件的攻擊和惡意Web站點等數量明顯的增加。攻擊者們偽造合法的應用程序和郵件信息來欺騙用戶去運行它們。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200602/20060208111025607.jpg")
傳統的安全方法正在失效
如今最流行的安全產品是狀態檢測防火墻、入侵檢測系統和基于主機的防病毒軟件。但是它們面對新一代的安全威脅卻作用越來越小。狀態檢測防火墻是通過跟蹤會話的發起和狀態來工作的。狀態檢測防火墻通過檢查數據包頭,分析和監視網絡層(L3)和協議層(L4),基于一套用戶自定義的防火墻策略來允許、拒絕或轉發網絡流量。傳統防火墻的問題在于黑客已經研究出大量的方法來繞過防火墻策略。這些方法包括:
(1)利用端口掃描器的探測可以發現防火墻開放的端口。
(2)攻擊和探測程序可以通過防火墻開放的端口穿越防火墻。
(3)PC上感染的木馬程序可以從防火墻的可信任網絡發起攻擊。由于會話的發起方來自于內部,所有來自于不可信任網絡的相關流量
都會被防火墻放過。當前流行的從可信任網絡發起攻擊應用程序包括后門、木馬、鍵盤記錄工具等,它們產生非授權訪問或將私密信息發送給攻擊者。
較老式的防火墻對每一個數據包進行檢查,但不具備檢查包負載的能力。病毒、蠕蟲、木馬和其它惡意應用程序能未經檢查而通過。
當攻擊者將攻擊負載拆分到多個分段的數據包里,并將它們打亂順序發出時,較新的深度包檢測防火墻往往也會被愚弄。
對深度檢測的需求
現今為了成功的保護企業網絡,安全防御必須部署在網絡的各個層面,并采用更新的檢測和防護機制。用于增強現有安全防御的一些新型安全策略包括:
設計較小的安全區域來保護關鍵系統。
增加基于網絡的安全平臺,以提供在線(“in-line”)檢測和防御。
采用統一威脅管理(Unified Threat Management,簡稱UTM),提供更好的管理、攻擊關聯,降低維護成本。
研究有效的安全策略,并培訓用戶。
增加基于網絡的安全
基于網絡的安全設備能夠部署在現有的安全體系中來提高檢測率,并在有害流量進入公司網絡之前進行攔截。基于網絡的安全設備在線(“in-line”)部署,阻擋攻擊的能力要比傳統的依靠鏡像流量的“旁路式”安全設備強得多。基于網絡的安全設備的例子包括入侵防御系統(IPS)、防病毒網關、反垃圾郵件網關和統一威脅管理(UTM)設備。UTM設備是將多種安全特性相結合的統一安全平臺。除了實時阻擋攻擊之外,基于網絡的安全還包括以下優點:
減少維護成本。攻擊特征、病毒庫和探測引擎可以對單臺設備而不是上百臺主機更新。
升級對于用戶、系統或者應用來說是透明的,無需停機,更新可以實時進行——不像操作系統和應用程序打補丁那樣需要重啟系統。
保護在基于網絡的安全設備后面的所有主機,因此減少了基于主機的病毒特征庫、操作系統補丁和應用程序補丁升級的急迫性,使IT專業人員在發生問題之前有較充分的時間來測試補丁。
保持以前使用的設備、操作系統和應用,無需將它們都升級到最新的版本。
在網絡邊界或關鍵節點上阻擋攻擊,在惡意流量進入公司網絡之前將其攔截。
不像基于主機的安全應用那樣可能被最終用戶或惡意程序關閉。
可與已有的安全技術共存并互補。
高級安全檢測技術
作為UTM安全設備的領導廠商, Fortinet(飛塔)公司的FortiGate安全平臺通過動態威脅防御技術、高級啟發式異常掃描引擎提供了較好的檢測能力,包括:
集成關鍵安全組件的狀態檢測防火墻。
可實時更新病毒和攻擊特征的網關防病毒。
IDS和IPS預置一千多個攻擊特征,并提供用戶定制特征的機制。
VPN(支持PPTP、L2TP、 IPSec,和SSL VPN)。
反垃圾郵件具備多種用戶自定義的阻擋機制,包括黑白名單和實時黑名單(RBL)。
Web內容過濾具有用戶可定義的過濾和全自動過濾服務。
帶寬管理防止帶寬濫用。
用戶認證,防止非授權的網絡訪問。
動態威脅防御提供先進的威脅關聯技術。
ASIC加速提供比基于PC工控機的安全方案高出4-6倍的性能。
加固的操作系統,不含第三方組件,保證了物理上的安全。
完整的系列支持服務,包括日志和報告生成器、客戶端安全組件。
動態威脅防御系統
Fortinet的動態威脅防御系統(DTPS)是超越傳統防火墻、針對已知和未知威脅、提升檢測能力的技術。它將防病毒、IDS、IPS和防火墻模塊中的有關攻擊的信息進行關聯,并將各種安全模塊無縫地集成在一起。DTPS技術使每一個安全功能之間可以互相通信,并關聯“威脅索引”信息,以識別可疑的惡意流量,這些流量可能還未被提取攻擊特征。通過跟蹤每一安全組件的檢測活動,DTPS能降低誤報率,以提高整個系統的檢測精確度。相比之下,由多個不同廠商的安全部件(防病毒、IDS、IPS、防火墻)組合起來的安全方案則缺乏協調檢測工作的能力。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200602/20060208111026349.jpg")
為了使性能達到最佳,所有會話流量首先被每一個安全和檢測引擎使用已知特征進行分析。特征模式結合由硬件加速的精簡模式識別語言是當前識別已知攻擊最快的方法。如果發現了特征的匹配,DTPS按照在行為策略中定義的規則來處理有害流量——丟棄、重置客戶端、重置服務器、中止會話等。安全防護響應網絡可提供病毒庫、IDS/IPS特征以及安全引擎最新版本, 以保持實時更新。這就保證了基于最新特征的威脅會被識別出來,并被快速阻擋。
如果不能找到特征的匹配,系統就會啟動啟發式掃描和異常檢測引擎,會話流量會得到進一步的仔細檢查,以發現異常。通過使用最新的啟發式掃描技術、異常檢測技術和動態威脅防御系統,安全平臺大大提高了對已知和未知威脅的防御能力。
