搜索
IPS白皮书Fortinet白皮书系统威胁导言今天各个组织所面临的最大的苦恼是,如何描述所遇到的攻击和购买什么样的技术手段来发防御它们。例如:“应用层”究竟意味着什么,“蠕虫攻击、蠕虫和恶意软件有什么区别”。“应用”或者称为“应用层”是最容易混乱的概念了。例如,谁是“应用层”攻击的制造者?或者说制造商的产品具有“应用层”防护能力,意味着什么?从某种意义上讲,OSI的七层模型仅仅是对网络通讯进行模块化描述(见图1)。换句话说,它仅仅是停留在网络通讯的模型层面上,而对实际通讯(比如电子邮件、web浏览器和SAP)等没有什么实际作用。即使象“SMTP”和“HTTP”这些通常被当作典型“应用层”的,实际上也是要确保高级别层次的应用能够和各种环境进行通讯。但是,更为复杂的是,确实确实有一些“网络层应用”是符合七层协议的,比如说Telnet和FTP。但是这些协议却更加深入地证明了“应用层”这个概念是多么地容易被误解的或错误地使用。OSI的模型从信息安全角度来看这表明什么呢?与该文章相关的关键点在于:在解释“应用层的攻击”和“应用层的防御”的概念时候一定要小心,尤其是在市场材料中使用。目前没有定义好的或通用的概念。OSI的“应用层”确实是和网络层和传输层有所区别的,他们主要体现于网络通讯。例如,攻击对以下应用仍旧是有危害的:各种工具类应用的代码和IPS白皮书Fortinet白皮书命令(比如浏览器、web服务器、数据库),各种可以重新封包或修改的软件(比如Word和SAP),以及个人数据(比如个人保健信息等)。最有效和最精确的方法是:面向通讯的攻击和防御方法,面向文件的攻击和防御方法,面向数据的攻击和防御方法。2.攻击的生命周期分析与前面讨论概念不同的是,本章节将清楚地描述攻击工作方式。和澄清“应用层”和“基于网络”的概念一样,讨论攻击的方法和作用对采用什么样的手段阻止它们是非常重要的。我们认为攻击一般是由以下四步组成的:1、传递是指一个攻击如何从源到目标的。本地执行的攻击往往是要靠手工导入和加载执行感染文件的。远程执行的攻击依赖于电子通讯和相关的协议,比如即时通讯、文件共享、邮件和smtp协议,以及TCP/IP或UDP/IP会话。2、渗透是指一个攻击如何最终进入它的目标的。对于本地执行的攻击,渗透这个环节是和传播捆绑在一起的。它涉及到系统控制或简单地利用用户的许可权。对于远程执行的攻击,渗透就涉及到充分地利用了配置错误或代码漏洞。明显的是,与系统通讯服务相关或更高级别应用的漏洞是关键渗透的对象。3、加载是指运行攻击包中数据。这个环节是做破坏工作的,比如盗取信息,覆盖或复制存储的数据,关闭进程等等。它也要加载通讯模块让攻击者远程指挥下载和执行其他的内容。4、繁殖它是可选一个环节,但是非常普遍,是攻击的到处流散的一个重要步骤。例如,某攻击可以扫描地址段以发现其他主机,或者搜索本机中邮件地址本。在某些情况下,自我繁殖往往是某些攻击的唯一目的。后面我们会讨论这种类型。这种以复制自己为目的无害行为很快地销声匿迹了。对攻击的生命周期进行阐述的另外一个目的在于,表明实际上有很多点可以阻断攻击的危害。不同的解决方案针对问题的不同的“层”,但也是问题的不同阶段。作为一个普遍规律,在攻击的进程中,越早阻断它,也就越最大程度上降低其危害。图2攻击的生存周期了解攻击是如何演变是一个最基本的工作。新的漏洞发布和采用该种漏洞的攻击之间的时间差明显地降低了。毋庸置疑的是,这种环境要求解决方案应该是更加主动地。另外,至少需要两个响应的重点,一个是ips另外一个是与之相关IPS白皮书Fortinet白皮书的防蠕虫攻击工具。但是,两个关键点需要澄清:第一个问题,IPS和防蠕虫攻击区分是,IPS是主动的,而防蠕虫攻击是响应的。真实的世界中,这些技术的检测能力通常既是“主动”的和又是“响应”的。比如,绝大多数IPS解决方案是包含IDS类似特征值的方法的,优秀的防蠕虫攻击工具同样也具有启发式和基于行为的技术的。第二点需要澄清的是,当前主动模式的防御体系的需求是针对那些历史的漏洞,这些漏洞仅仅是因为新的蠕虫攻击又把这些漏洞给曝光了。这千万不要认为那些其他类型的攻击就没有了,而就减少那些攻击的防御工具。毕竟,攻击一般都是针对性非常强的。确实,当前的恶意软件的发展趋势说明最为简单的文件型感染蠕虫攻击明显地下降,而其他的集成了蠕虫攻击和类似蠕虫攻击的组件的软件却在上升。混合式攻击明显地集成了文件和程序攻击两种方式。例如,Funlove具有蠕虫攻击和蠕虫的双重性质,Bagle.H也同样具有这两个性质。木马以垃圾邮件或蠕虫方式散播,但是针对特定系统进行加载和运行某个程序。该程序可以被用来下载其他的恶意软件,或者盗取信息。有目标性攻击,能够迅速地传播,具有更强的盗取能力。最典型的例子是Spy-phishing。这类攻击方法是,先发送一个含有木马的邮件到目标用户,它可以监控Web流量,等待其访问某个特定网站,然后盗取信息。后门是一种安装后让某种恶意软件无法被主机型安全手段所检测。从攻击的生命周期可以了解到:蠕虫存在着一个问题,它们通常被作为传播和繁殖“传统蠕虫攻击”的手段,但是却不是唯一的途径。当点击了邮件中的链接或者不小心打开了某个网站,就会下载到恶意软件。决定恶意软件能否进入到目标网络还取决于另外一个因素:部署于恶意软件的源与目标之间的防范手段的能力。3.防御技术分类如前所言,基于网络的防御手段具有在攻击在目标网络扩散前就阻止其的优势。但是如果要防止攻击得手,我们应该在网关处部署什么样的技术手段呢?该问题的部分答案在前面已经有所提及,比如说攻击的不同“层”,已经通过哪些步骤来实现和它们改进后的其它特点。该问题应该从更全面的角度予以阐述。针对前面所提到的不同的“层”采用不同的技术手段予以识别和阻断,那么接下来需要一个全方位的安全解决方案来识别所有的方式。总的来说,基于网络的防御手段分成两个级别:一种是主动地控制,另一种是工作在被动模式下。后一种分类本身并不代表其能力不行,而相反,我们要澄清的是,采用IPS本身并不能代替防蠕虫攻击方面的需求。主动模式技术主动方式的防御手段在于识别那些通讯、程序和数据,知道哪些是好的或者IPS白皮书Fortinet白皮书是必需的,允许这些程序和它们相关的活动通过。这种内在的按产品来选择的方式,是不加区分地削除未知的和已知的攻击,也就是说那些至少没有用来做合法的事务的通讯予以禁止。该种方法的一个经典案例是,防火墙,它也是基于网络的安全解决方案的重要一环。代表性产品是典型的以通讯为中心的,实现从网络层到应用层的控制。也就是说,它们在文件和程序级别进行控制,可以根据按文件扩展名来定义的文件类型进行阻断。总的来说,它们对程序的分析使得它们能够在攻击扩散和繁殖的时候予以阻断。尽管这种方式很强大,但是主动模式有两个内在的问题。一个是,列举出所有流量,分析出合法的流量是一个沉重的负担。更深层次的细粒度分析将消耗大量的资源,导致系统被锁死。第二,毕竟它要允许一些通讯通过,这也就带来了潜在的攻击,虽然该通讯从表面看来是合法的。这也就说明了被动模式的抵御手段是必需的。被动模式技术对比主动模式,被动模式是建立在能够识别通讯,程序和活动所涉及到的数据内容中含有“坏的信息”,这样就可以判断出它们是攻击,因此采用各种方法予以阻断。IPS/IDS现在的入侵控制系统组合了多种检测技术。尽管当前的目标都集中在那些主动的防御手段上,比如基于漏洞的特征值,对流量的识别和协议异常,但是也同样具有反应性的机制,比如传统的IDS类型的模式匹配。主动式检测技术的优势在于能够挡住不知名的攻击,而不仅仅能够挡住已知的攻击。比较典型的是,它通常是在攻击发生的渗透阶段中或之前予以阻断。但是尽管它具有这样那样的优势,但是它受限于对系统的分析能力。尤其特别的是,这些技术手段必须是以网络为中心的。与以前的版本比起,现在网络层的系统可以宣传“应用层防护”。但是正如前面所指的,这与保护事实上的应用、商务数据比起来不是一回事。最关键的一点就是ips虽然是极为强大,但是不是很全面。它局限于所能检测到数据包中内容能力有限。IPS白皮书Fortinet白皮书产品和它们工作的“层”相关的图形化表示作为对攻击的进化,响应性的防蠕虫攻击工具也结合了主动式防御技术,比如启发式或者基于行为的算法。但是防蠕虫攻击工具的这些优点比起IPS/IDS来就要稍逊一筹了,因为IPS工具是基于网络通讯的,而防蠕虫攻击工具事基于主机的文件和应用类软件的。另外一点事,现在都比较接受安全方案里加入反间谍软件功能了。这涉及到从象窃取密码的木马到ActiveX控件的灰色软件等各类的文件、程序和进程。图4恶意软件检测技术由于主动方式的全面性有问题,所以仍旧要采用被动模式来获取数据级别的安全。基于网络的内容过滤方案可以根据通讯流中数据内容来部署进出的策略。这类的工具可以在获取和传递私密信息的攻击的执行和加载的过程中予以阻断。IPS白皮书Fortinet白皮书集成的解决方案这里有两个重点需要提出来,一个是按照优先级将所有“坏的”列出来,与穷举所有的“好的”一样都是具有挑战性的工作。这就是“主动式”和“响应性”模式相互为补充的原因,也就是说都是有效的基于网络的安全解决方案的所必需的。第二点是即使是被动方式也是需要附加的技术。无论IPS还是防蠕虫攻击单独都无法满足防御攻击的需求。为了明确这一点,下面给出了那些攻击可以为哪些防御手段所防御的案例:防蠕虫攻击工具能够防御的攻击有如下几种:压缩、封包的恶意软件多态类恶意软件嵌入大的文件中的恶意软件,因为IPS工具仅仅能够对小文件进行样式匹配基于网络的IPS能够防御的攻击有:针对通讯方面的漏洞进行攻击的恶意软件和攻击拒绝服务式攻击基于网络和IPS和防蠕虫攻击的所覆盖的攻击:混合式恶意软件,尤其对付那些用漏洞攻击进行传播文件和程序的部分间谍软件,尤其涉及到小文件和程序的深度检测与精确防御在网络黑客攻击频频发生、病毒变种惊人、网络威胁日益严重的环境下,安全防护问题备受关注。用最高的精度,尽快获知任何意外的、异常的、或者一些简单的攻击事件的监测,是传统的IDS系统的重点,但是其产生的大量告警将用户淹没在其中,于是产生很多“误动”或“拒动”。传统的IDS问题在于简单地依赖于单一的特征值检测方法,无法提供任何方式的事件关联。为了解决这个问题FortiGateIPS在引擎中内置了许多强大的检测方法,有系统管理员定义的规则,有事件智能关联分析。此外,还改进了一些检测方法,譬如上下文敏感,基于指纹的正则表达,以及可配置的协议检视模块。这样,对于真实的攻击威胁可以很容易的采取相关动作,几乎没有任何手工劳动会浪费在分析那些错误的告警上。所以说,FortiGateIPS将检测提高到了一个全新的水平。遍及全球的攻击跟踪和服务网络Fortinet的FortiGuard入侵防御(IPS)服务对现在快速扩散的攻击来说,其响应速度是业内最快的。Fortinet的IPS服务通过FortiGuard全球分布式网络,可以实现自动地对所有的FortiGate实现推动式升级,实现实时地升级IPS特征库和异常协议引擎,防御最新的试探式攻击和检测可疑的网络活动。4.硬件加速IPSIPS白皮书Fortinet白皮书独有硬件平台的基础。FortiASIC处理器是针对实际应用开发的系列产品,它们或能够达到高速的网络处理性能,或采用了智能的扫描引擎,能够对安全应用、内容层处理进行加速,降低对CPU等系统资源的占用。FortiASIC技术涵盖与FortiOS这样的经