未来越来越多的网络攻击会发生在应用层,而非基础层。因为在网络边界已经很难实时判断威胁,很多功能攻击只有在用户的终端电脑上才会真正发挥作用。而且,在新技术下已经很难建立信息孤岛,构建单一的安全城堡了。比如云盘、云相册等使得企业安全边界已经打开了,还有员工自己的移动设备,都具有wifi设备等,这些都在企业的安全边界上打开了缺口。移动终端的增多,多种设备受到的威胁将越发难防护。
对威胁的判断和及时感知,仅仅依靠终端已经越来越困难。一是终端的计算能力有限,二是孤立地在一个终端设备上看也难以判断是正常软件还是病毒。所以现有的网络安全模式作用有限了,在云端通过大数据分析防范未知威胁,网络安全是一个趋势。云端和终端的结合,是一个方向。
未知安全威胁上,国际上现在认为主要是APT和Oday。周鸿祎认为认为可以有效地对付APT和Oday的方法是白名单和实时地在应用层的行为判断。
过去杀毒软件和传统防火墙技术可以简单称为黑名单,但未知的攻击,漏洞太多之后,黑名单技术已经不能工作了,所有基于特征和传统安全病毒库的思路全球来看基本逐渐被放弃,现在比较主流的反而是做白名单—就是在公司内部,经过企业管理人员认证的有限数量程序才会被允许,这样可以极大地减少这种风险。
周鸿祎介绍,为了这么多的互联网应用建立巨大的白名单,360花了差不多7年的时间。但白名单的不足之处是,只能部署在云端,这个数量太庞大,没有办法部署在本机。
第二种方法就是实时地在应用层的行为判断。黑客攻击,只有在发生的时候根据它的行为才能真正判断出真正的攻击,所以可以在终端上部署沙箱或蜜罐铺货未知的应用行为,把这种行为发送到云端,进行统一分析和快速判断。周鸿祎介绍,360内部已经具备类似产品,也申请过国家有关单位做过评测。这么多年来360对技术的掌握已经对国外未知的APT和Oday威胁有强大防卫能力。
但很多APT攻击只发生一次,也只出现一次,如果这些方法不能捕获和抓住攻击行为,可能就很难进行防范。周鸿祎讲到去以色列参观了那里新的网络安全公司的一个发现,虽然还没有实际的产品,但他认为这是一个未来趋势—通过大数据技术,发现数据异动的细微攻击。不关心攻击行为本身,也不关心攻击的内容,不知道它是未知的攻击,也无法定义,是把整个企业和网络流量所有数据采集起来,通过服务端通过大数据建模,建立一个数学模型,只要有任何潜在攻击和异动,有些数据偏离中心,会发出预警。希望可能是有效的方法。
他讲到的第四个趋势是边界即终端。边界安全依然有效,如果撤掉会看到攻击卷土重来。但仅仅在应用层下做端口的监控和流量的监听恐怕已经不能理解今天很多网络访问的含义,周鸿祎认为边界安全方面应该有新的思路:应该把大量的数据向上恢复到应用层,在应用层利用虚拟机和云端沙箱类似技术对应用层的攻击来进行行为的监控,所以未来所有的边界安全厂商要做设备和软件的升级,越来越具备对第七层应用层的理解力和实时判断能力。以后对边界的处理可能和在终端的处理比较归一化,终端捕获到一些新的安全威胁会上报给云端,边界在捕获流量的同时也会把这些数据恢复成应用层之后上报给云端,而统一在云端进行智能判断和处理。
基于这些趋势,周鸿祎在现场表示,360愿意向网络安全行业开放360的白名单、API等资源和技术。