服务器 频道

“防患于未然”才是安全的最高境界

  【IT168 资讯】5月12日,“勒索者”WannaCry几乎是“一夜成名”。据外媒报道,该病毒严重影响了全球近百个国家的用户。不过从笔者身边的朋友、公司的反馈看,WannaCry虽然来势凶猛,但是造成的破坏似乎并没有想像中那样巨大。无论是厂商还是普通用户,对WannaCry早已有了防备。5月14日周日,笔者公司同事的QQ群中发布了关于防范WannaCry的通知、查杀病毒的软件和补丁,5月15日周一上班,果然一切安然无恙,公司同事也无一人中招。

  勒索软件确实“臭名昭著”,一旦中招,文件会被“上锁”,不交赎金,你想用的文件就变成了纯粹的“摆设”。不过,在WannaCry爆发之前,已经爆出过多起勒索软件“害人”事件,引起了全世界范围内的警惕。一方面,人们的安全意识相比以前有了大幅度提高;另一方面,在WannaCry大规模爆发前,微软发布了补丁软件,诸多安全厂商都给出了提示和应对方案,而且在病毒爆发时,许多企业的网管、安全厂商的人员都坚守岗位,严阵以待。正是这种积极的防御,才压制住了WannaCry的“嚣张气焰”。

  这次WannaCry真是掉进了“人民战争的汪洋大海”中,不仅安全厂商纷纷行动起来,就连一些数据备份、容灾厂商也提供了“解锁”文件的方案。就在各厂商借WannaCry爆发之机宣传安全防御的重要性,以及自己的安全产品和解决方案时,有一个厂商却始终默默守护,它就是华为。

  难道对于华为来说,是事不关己,高高挂起吗?不是。那是华为没有能“降服”WannaCry的产品或方案吗?更不是。华为交换机与企业网关产品线安全网关领域总经理宋端智道出了其中的原委。

  小“沙箱”的大反转

  还是先来讲一个小故事吧。

  大家都知道神医扁鹊吧,但你知道扁鹊还有两位兄长吗?而且按扁鹊自己的说法,他的两位兄长医术都比他高明。扁鹊的大哥治病,是在病人的病情发作之前就能及时诊治;扁鹊的二哥治病,是在患者发病初期刚刚有轻微症状之时,病人没有感觉到太多痛苦就已经药到病除;而扁鹊通常是在病人的病情已经十分严重之时出手,让人感叹他有起死回生的神技而闻名天下。你认为,他们三人中谁的医术最高明?当然是能够“防患于未然”的大哥。

  如果用扁鹊兄弟行医这个例子和安全领域当前的形势进行对照,那么防范“未知威胁”是最具挑战性的,也是当前安全研究必须突破的重点和难点。华为也是把这一工作当成了自己的核心任务,所以才有了华为专注于安全技术研究的“未然实验室”的成立。“未然”顾名思义,也就是取“防患于未然”之义。

  这次WannaCry爆发,华为的客户基本没有受到影响。“作为专业的安全厂商,不应把功夫都放在安全事件发生之后,谈论自己有多高明的技术手段,可以做出应急响应、快速恢复文件。在危害发生之后,即使响应速度再快,损失也已无法挽回。”宋端智表示,“网络安全最重要的还是在预防。”

  其实,华为之前已经默默做了很多工作,就像扁鹊的大哥一样,在用户还没有感知到WannaCry的大规模杀伤力之前,就让不法侵害消失于无形。具体来说,华为有一个名为FireHunter的沙箱产品,它可以探查到未知威胁,并根据其行为进行分析。比如,当所有的邮件经过沙箱时,“沙箱”可以精准地判别出哪个邮件含高危的勒索软件。因为这个判别过程并不是实时的,所以这个高危的勒索软件还是会穿过防火墙进入客户的系统内部。这意味着第一个客户可能会中招,但同时华为的“沙箱”会将检测到的高危勒索软件的信息迅速上传到华为全球情报处理中心,从第一次发现该未知攻击到全球生成主动防御措施,这些过程会在15分钟内完成。

  此次WannaCry的爆发涉及到两个安全问题:一是勒索软件本身的问题,二是勒索软件利用微软的漏洞在局域网内进行传播。几乎所有人的防御策略都是从网络上将相关端口封住。这样做是有积极效果的,但会让工作效率大打折扣,比如文件共享不畅。“在WannaCry爆发后,有客户反映,他们的打印机不能共享了,因为安全部门将相关的端口封住了。可见这并不是一个最优的方法。”宋端智介绍说,“华为秉承的一个原则是,让安全无处不在,就是让交换机、路由器、Wi-Fi接入点等网络设备都具有安全功能。”

  华为的“沙箱”产品目前已经是第二代。按计划,华为的第三代“沙箱”产品将于今年9月推出,其最主要的改进在两个方面:一是增加了沙箱的反躲避技术,让病毒意识不到它已经进入了沙箱检测的环节;二是借助机器学习技术,研习更多的样本,进一步提升沙箱检测的准确率。

  除了沙箱产品以外,华为还有基于大数据的安全分析平台CIS(CyberSecurity Intelligence System),它也是借助机器学习技术来分析和判断流量,确认是恶意还是正常的行为。

  “正常的安全措施还是必不可少的,比如给软件打补丁,升级杀毒软件等。华为希望进一步提高网络的基本安全门槛,让绝大部分客户都能受到保护。”宋端智概括说,“华为在安全方面的一个核心原则是,将安全防御的工作做在前面,而不是做事后诸葛亮。”

  主动防御为什么不能快速普及?

  其实,变被动防御为主动防御,这是很多厂商都在谈论的一个安全理念,与华为所说的“防患于未然”是一个道理。主动防御并不是一个全新的理念,用户对此也十分认可,但为什么在实际应用中,这一理念却很难贯彻执行呢?是技术问题,还是客户有历史包袱?

  “主要还是意识上的问题,或者说用户的重视程度不够。”宋端智一语道破,“就像人的健康问题,在身体还没有出现问题时,很多人不会花更多精力去预防和做保健。例如,采用新的订阅服务模式,每年交年费,更新防火墙的特征库,许多用户还没有这样的意识。事实上,业内有很多好的安全预防措施,但用户没有充分应用起来。”

  话又说回来,厂商如果提供这种提前预防的方法,是有一定技术门槛的。首先,安全产品要有对未知威胁的快速判定能力。就像WannaCry勒索软件,它是一个全新的威胁,安全系统能否在第一时间判定它就是高危的勒索软件,这需要安全厂商具备一定的能力,而勒索软件、病毒都会“伪装”自己,这就更增加了判别的难度,因此这种判别能力的养成需要长时间深厚的积累。

  其次,厂商要有一个广泛的客户群体。华为的客户遍布全球,不管世界的哪个角落出现新的安全威胁,华为全球的情报处理中心可以第一时间获得信息,并及时将信息发送给全球各地的用户,提前做作好预防工作,避免损失。

  在现实中,谁也不能100%保证不出现任何安全问题,某一个安全产品或措施也不能放之四海皆准,一劳永逸地解决所有全问题。华为的策略是,通过智能联动的方式在网络层面保障整个企业的安全,将安全这堵墙尽可能筑得高一些、更高一些,这相当于提升了黑客和恶意攻击者的攻击成本,增加了攻击的难度,从而减少客户可能遇到的安全威胁。

  宋端智拿社会安全举例子:“我们每个人、每个家庭都会注意自身的安全,装安全锁、防盗门,有必要时还可以聘请保镖。网络安全其实相当于保证整个社会安全要做的事,比如建立公共的安全系统,搞好社会治安,街头巷尾都安装摄像头,警察一直在巡逻。这些安全措施对犯罪分子起到了震慑作用,让他们不敢轻易实施犯罪。客户尽量做好自身终端设备的保护,我们帮助客户把网络安全做好,让安全防护无处不在。”

  安全的理想境界

  云计算、大数据、移动互联、物联网等的快速发展,加重了安全的负担。原来那种头痛医头,脚痛医脚的分散的安全保护策略已经不再适用,用户要构建新的安全架构,以全面、整合的安全策略保护应用和数据。

  宋端智认为,安全领域正在发生着一些新的变化,也是挑战。

  第一,未知的威胁越来越多,特别是一些高级的攻击让人有些防不胜防,现实中又没有一些现成的有效的应对方法,需要边研究边解决。第二,单点防护已经失效,仅仅在网关上做防护已经不够。第三,越来越多的应用和数据迁移到云端,公有云、行业云的安全保护是一个棘手的问题,以前只需保护好“企业的边界”即可,而现在云是没有边界的,所以安全保护的难度加大了。

  解决上述问题,华为的基本策略是:针对未知威胁,要实现云端、管道和终端的协同防护,通过智能的技术手段,在第一时间将未知威胁变成已知的,实现云和端的联动,这样才能更有效地进行防御;安全防护不能仅仅停留在网关层面,而要做到无处不在,除了终端,所有的网元,包括交换机、路由器等,都要具备安全能力。

  “以前的单点防护,相当于只是在出城的地方设了一个卡口。现在,通路虽然越来越多,但所有通路上都有摄像头,相当于所有网元上都有监控的执行点、数据的采集点,所有的异常行为都可以被探查到。这就是安全无处不在所要达到的效果。”宋端智表示,“我们不仅提供安全产品,覆盖云-管-端的华为安全解决方案更是把这种无处不在的安全能力提供给客户,帮助他们实现对网络的主动的立体安全防护。”

  面对这次WannaCry的爆发,有效地破解它只是第一步,更关键的是用户要提升防御未知威胁的技能,建立无处不在的安全体系。能够像扁鹊那样在安全问题发生后及时解决和补救固然好,但是如果能够像扁鹊的大哥那样做到防患于未然,不是进入了一个更理想的境界吗?

0
相关文章