多年以来,网络安全主要采取被动的自上而下的心态来处理威胁。例如,当新的恶意软件出现时,安全团队才会部署新的反恶意软件产品来阻止它们。这些技术当然有其用武之地,并且我们都需要部署IPS和防病毒功能来保护我们的网络安全。然而,大多数企业缺乏可比的自下而上的策略来主动识别所有流量以及确定流量是否正常。
通常情况下,如果流量使用的是经批准的端口,并且流量不是特定的已知威胁,那么流量就会被认为没问题。黑客就会利用IT 的这个假设来传输非法流量。通过利用难以控制或者难以分析的协议,恶意软件可以很容易地避开传统控制,并将流量混入“假设是合法的”流量中,面对这个问题, IT团队必须采取新的战略。
“如果我们不清理房间的话,买更多的扑鼠器也是无济于事的。”从网络安全的角度来看,这意味着需要查明和积极控制所有网络中的流量。当我们采取这种方法时,流量就不再是假设是合法的,而是被证明是合法的,这样恶意软件就无处可躲了。
点到点(P2P)
控制点到点(P2P)流量似乎是很过时的事情,因为多年来很多安全团队一直在与P2P抗争。P2P是传播盗版内容的渠道,也是恶意软件的主要来源。更糟的是,P2P已经成为僵尸网络命令和控制流量的首选协议,它让僵尸网络非常灵活,难以打倒。
为了应对这个问题,安全行业提供了各种“反P2P”解决方案以及专门用于寻找和阻止P2P的签名。然而,部署了解决方案、生成了相关日志,这个问题就真的得到了控制吗?
然而,事实上,这个战略似乎行不通。根据对数千企业的PB级真实网络流量进行分析的最新报告显示,企业中的P2P流量实际上正在不断增长,增长幅度远远快于基于Web的文件传输速度。事实上,P2P消耗企业网络带宽的数量是基于Web的应用程序的60倍以上,这显示了这些解决方案行不通。
关键问题之一在于P2P技术是高度动态和灵活的,灵活性使其可以在损失任何或者多个端点的情况下,依然能够生存,而动态性使P2P技术不需要依赖于任何特定的端口,它可以跨越很多端口的很多会话来传输信息。因此,如果IPS日志显示你检测和阻止了P2P流量,并不意味着P2P得到了控制,你可能只是检测和阻止了一小部分。
要切实控制P2P,你必须对所有端口的应用程序级的所有流量进行分类,在建立了对流量的能见度后,你就可以限制 P2P流量到特定经批准的应用程序,并只允许特定少数用户在有需要的情况下访问这些应用程序。这将大大降低P2P在网络中的“足迹”,任何异常行为都可以被认为是违反政策或者潜在恶意软件感染。
未知流量
对所有端口的流量进行分类是一个复杂的过程,通常需要结合签名、解码器和试探法来识别已知应用程序协议。当流量通过这种严谨的分析而仍然无法被识别时,就需要对流量进行深入调查了。
当第一次部署新一代防火墙时,大多数企业的网络中都会有一定水平的未知流量,这些流量通常可以划分为三类:根本没有被分类的新应用程序、企业内部开发的定制应用程序或者恶意流量。
从以往的经验来看,后面两个选项是最常见的未知流量类型,并且这两种流量都需要安全团队采取行动。恶意软件通常会采取定制化协议来执行恶意软件需要的特殊行动,同时避开安全解决方案使用的模式和签名。在对超过1万个最新检测到的恶意软件样本的网络流量分析中,生成“未知”流量的恶意软件不到25%,这比任何网络的平均值都要高,这也显示这个领域急需进行控制。
对于内部开发的应用程序的未知流量,新一代防火墙允许IT为内部应用程序创建自定义识别符,这不仅能够更好地保护企业的所有专有应用程序,而且能够减少网络未知流量的数量。随着时间的推移,显示为未知的流量可以被默认拒绝,从而移除恶意软件的关键藏匿点。
建立适当的应用程序行为
这是一种非常长期而有效的方法,也是单纯地购买反威胁产品不能比拟的方法。如果我们能够为我们的应用程序建立适当的行为和强大的基准,我们就能够清楚地找出不属于我们网络的东西,这样一来,无论未来出现何种新恶意部件,我们都能够应付自如。