从苦撑待变到主动求变-主动防御技术引领新风向

今年上半年网络安全从业者会明显感觉特别繁忙，很多单位都有攻防演练和七一重保的任务，在很多用户单位服务过程中，欣喜的发现相对往年，今年很多单位的无论是安全意识和防护措施都有了明显提升，特别是主动防御的理念和技术在实际应用中越来越多，甚至有防守方对攻击方采取反制措施，改变了以往易守难攻的局面。今天就和大家聊聊主动防御技术。

众所周知，网络安全本质上是要解决两个问题，一是消除或减少自身的脆弱性，二是阻断或减缓内外部的威胁。

网络安全防御主流防御技术是从这两个方面入手，根据具体实现方式不同分为三个阶段：

1.信息保护时代

重点是信息保护，采用网络安全传输，身份鉴别、权限管控和信息加密等措施，对系统进行加固减少脆弱性，安全措施之间缺乏有效联动机制，针对不同威胁采用单一技术措施。常见的技术有防火墙、VPN、访问控制、文档加密和CA身份认证等技术。

2.联动防御时代

重点是已知威胁防护，通过漏洞检测、特征码比对、威胁情报分析和大数据模式匹配等进行威胁检测，结合人工研判，通过防护设备智能联动进行自动化防御，实现多点联动的立体化自适应纵深防御体系，主要技术有入侵防御、流量威胁感知、防病毒软件、威胁情报、安全管理平台和态势感知等。

3.主动防御时代

重点对抗未知威胁攻击，安全人员改变传统被动防御思路。可以不依赖已知威胁知识，不依靠通过传统防护系统，通过对系统运行环境的动态性、冗余性和异构性等手段，让攻击者对目标无法准确探测、漏洞无法有效利用，木马后门无法持续使用，大幅度提高攻击成本和技术门槛。

攻击技术和新技术应用推动了防御技术发展，防御技术发展又导致了网络攻击技术的升级。虽然近年来通过大数据和人工智能技术，在威胁检测和漏洞检测等技术上有了很大突破，但是距离理想的安全目标还有很长的路，传统的被动防御体系在面对复杂攻击仍然十分被动，攻易守难的局面仍未打破。

为了改变网络安全的窘状，主动防御理念和技术逐渐应用在实际中。目前主流的主动防御技术有三种。首先，积极主动预先采取应对措施，尽量减少或伪装目标的受攻击面，例如蜜罐、沙箱和入侵容忍等技术。其次改变系统架构，构建不确定的系统或者建立可信参照物，例如移动目标防御和可信计算。最后是在系统设计就考虑内在安全属性，例如零信任、内生安全和拟态安全等。

▶ 1.沙箱

沙箱是采用虚拟化等技术构造封闭隔离的运行环境，记录恶意软件的执行过程所有操作行为，发现软件中隐藏的木马、病毒和恶意代码等，从而发现未知威胁。

按照实现方式，沙箱分为基于虚拟化和基于规则两种，基于虚拟化的沙箱让软件在封闭的虚拟机环境中执行，不会对宿主机产生影响。基于规则的沙箱，根据定义的规则限制软件对计算机的使用，通过拦截系统调用实现对资源访问等。

沙箱的作用是保护系统和分析软件行为，采用关键技术有虚拟化、恶意行为检测和重定向三种技术。虚拟化技术采用使逻辑资源与对用户隐藏不要细节并方便实现有效隔离。恶意行为检测技术采用特征码检测和行为检测，恶特征码检测是通过采集分析恶意软件的样本文件，提取包含字节的特征码，通过这些字节内容及位置信息来检验某个文件是否病毒然后检查样本文件是否具有。行为检测通过分析程序的运行状态，一旦发现恶意行为特征就产生告警。重定向技术将对系统恶意操作重定向到其他地方，保护系统资源的安全性，例如常见的文件重定向和注册表重定向等。

▶ 2.蜜罐

采用类似狩猎中挖陷阱方法，在网络中部署仿真主机，主动诱导攻击者攻击，记录攻击细节并产生告警，可定位攻击源，也可虚拟出多个仿真主机，形成复杂的蜜网环境（黑客诱捕网络体系架构）提升异常行为的发现率，弥补网络防护体系短板，提升主动防御能力。

蜜罐可分为低交互式、中交换式和高交互式三种类型。低交互式简单模拟操作系统和部分服务实现，收集信息少，容易被攻击者识破。中交互式能模拟操作系统更多服务，提供攻击者和系统之间更多交互，收集信息更多。高交换式通常提供真实应用环境，很容易吸引攻击者，可以更多更全的信息，但是部署和维护成本更高。

构建蜜罐注意事项：

①如何以假乱真的仿真系统吸引攻击者？②如何让攻击者展示攻击手法？③如何分析攻击者攻击手法？④如何保证蜜罐自身安全不会被攻击者作为跳板？

▶ 3.入侵容忍

由于系统漏洞和后门无法根除，攻击者总是能发现新的漏洞和新的攻击手段，系统不能保证百分之百的安全的前提下，安全人员不得不考虑在已经遭受攻击情况下，如何隔离和遏制攻击行为？如何确保核心系统的正常运行？这就是入侵容忍的概念，能够阻止和预防攻击的发生；能够检测攻击和评估攻击造成的破坏；在遭受攻击后，能够维护和恢复关键数据、关键服务或完全服务。入侵容忍应用可根据被保护的对象分为以下两类：对服务的入侵容忍，主要研究系统在面临攻击的情况下，仍能为预期的合法用户提供有效服务的方法和机制。对数据的入侵容忍，主要研究系统面临攻击的情况下如何保证数据的机密性和可用性。由于受到技术和成本等因素限制，目前入侵容忍技术发展缓慢，但是随着开源、云计算等技术发展，未来入侵容忍仍然是未来网络防御技术重要方向。

▶ 4.可信计算

可信计算是为了解决计算机和网络结构上的不安全，从根本上提高安全性的技术方法，计算机的软硬件可以基于采用带有特殊密钥的硬件芯片形成信任链，确保系统运行以期望方式进行。可信计算犹如计算机的免疫系统，经过安全检测和用户许可的程序加入可信白名单允许其执行，未经许可的程序均认定为非法程序，例如病毒木马等恶意代码、漏洞利用工具和脚本等，虽然允许存在在当前系统中，但是不列入可信范围，就主动阻断其执行。确保系统可控，实现主动防御免疫，使得恶意程序难以置信和漏洞难以被利用。

▶ 5.MTD

将目标系统组成要素进行多样化、随机化和动态，使得攻击面呈现出不确定性，导致攻击者无法获得准确的目标对象信息和特质，形成不断变化的攻击面。根据系统组成MTD技术实现层次分为动态网络、动态平台、动态软件和动态数据。攻击者在攻击开始前需要对系统网络的IP、端口和服务等进行扫描探测，MTD通过动态网络地址转换、端口跳变技术和动态拓扑技术，扰乱攻击者的扫描探测行为。动态平台主要包括处理器、虚拟机、操作系统、开发环境和运行环境等，通过构建多个异构的应用支撑平台，在系统运行期间动态切换。动态软件是保持功能不变前提下，修改程序的指令实现程序的异构，采用多个异构的目标系统对攻击者呈现出连续动态变化特性，让漏洞难以在所有异构软件中复现。动态数据是改变程序中内部和外部的语法、编码和形式，攻击者或黑客工具很难针对不同数据表现形式都能攻击成功。

▶ 6.零信任

零信任一种主动防御安全理念，传统的访问验证方式只需要知道IP或主机信息，便可通过验证，而零信任默认不相信任何人，需要明确用户身份、访问来源、授权途径等信息，否则访问请求则会被立即拒绝。零信任的主流技术称为SIM：S为SDP（Software Defined Perimeter, 软件定义边界）、I为IAM（Identity and Access Management，身份识别与访问管理系统），M为MSG（Micro-Segmentation，微隔离）。SDP建立虚拟边界，利用基于身份的访问控制和权限认证机制，让应用和服务“隐身”，具有相应权限的用户才能看见。IAM定义定义和管理用户的角色和访问权限，即决定了谁可以访问，如何访问，访问后可以执行哪些操作。微隔离（MSG) 微隔离通过细粒度的策略控制，可以灵活地实现业务系统内外部主机与主机的隔离，让东西向流量可视可控，从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。

随着云大物移智等新技术的快速发展，对网络防御技术提出更高的要求，以事先预防、主动求变对抗未知威胁的主动防御技术将成为是网络安全技术发展新风向，虽然技术方面还未完全成熟，但是部分技术通过可与传统防御技术整合，从而实现全面威胁感知、精准的追踪溯源、快速诱捕反制和随机动态系统等主动防御能力将打破目前网络安全攻守失衡局面，对防守方而言是网络安全防御能力的一次质的提升。

关注我们

联系我们