據最新的Palo Alto應用使用和風險年中報告透露,企業為帶寬支付的每一塊錢里,大概有三分之一是用來支持流媒體或文件共享應用的,而這兩個大項中有近250個應用是專供個人使用的。
在這項調查中,Palo Alto對全球2036家企業2011年11月到2012年5月間原始應用的流量進行了評估,他們發現相比2011年4月到11月的調查,端到端的文件共享和視頻流媒體應用的帶寬消耗增長了300%到700%。
而企業更擔心的是企業網絡中40%的應用都比較含糊。Palo Alto安全分析師Wade Williamson稱:“有一半的企業應用可以傳輸文件。因此我們不僅要擔心防火墻無法有效的檢測它們,還要擔心它們把數據帶出公司,以及把惡意軟件帶入公司。”
一方面,流視頻利用社交網絡的信任關系帶來了間接的安全威脅。一段視頻可能是誘惑用戶進行點擊操作或下載惡意軟件的誘餌。另一方面,病毒可能內植于可以下載的媒體播放器或是視頻文件中。
侵犯版權和數據的處理不當都是常見的P2P文件共享風險。是P2P的分布式屬性帶來的風險。文件可輕易下載到P2P網絡,可以匿名分配給追蹤器。即便僵尸程序的命令和控制服務器已被破壞,P2P還允許僵尸程序存活下來。這一點已經引起網絡罪犯的注意。
為了與這些威脅作斗爭,Williamson提出了三個關鍵措施——重新控制所有網絡流量并對其進行監控,控制攻擊范圍,包括移動用戶和防火墻周邊以外的云,查找并阻止威脅,包括未知威脅。
1、重新控制和監控
可視性是管理威脅的關鍵,特別是對于能輕易繞過防火墻的應用而言。這些應用越過端口,使用標準協議,如SSL和SSH,潛入80端口或是使用非標準端口。
在最近的應用使用和風險報告中,Palo Alto發現只有23%的應用使用80端口,而這些賬號占用的帶寬僅為35%。因此,只關注80端口只能保護好前門,后門的安全成了隱患。
意識到這一點后,Palo Alto的下一代防火墻便要對所有流量使用分類技術,而不管數據的傳輸端口,要對每次會話和連接的流量進行解碼。“你需要看看流量中夾帶的數據,不要走捷徑。”Williamson說。“現在,我們可以看到流量中的異常情況。這并不是禁止員工使用Facebook或即時通訊,而是要知道傳輸的數據究竟是什么。對堆棧的全面分析應該成為例行公事而不是偶爾為之。”
2、控制攻擊范圍
移動辦公人員的增加以及云計算的推廣都顯著增長了企業的攻擊面。Williamson說,“當你轉移到云中的時候,會將應用和大量數據進行轉移,企業要牢記他們不止是把安全策略轉嫁給云供應商而已。”畢竟,很多網絡安全都是在逐漸創建的。出于節約成本的目的把資產轉移到云中,但是如果保護不當就得不償失。
Williamson說,“獲得持續安全保護的方式是創建基于邏輯的周邊設備。不論你身處何處,你仍然可以連接到網絡。這就是說通過物理周邊的防火墻選擇傳輸路徑或是通過云中的防火墻來提供相同的防火墻,IPS,漏洞與惡意軟件檢測功能。”
但是,控制攻擊面應該從減少那些作者不詳和威脅網絡安全的應用開始。應避免使用刻意避開防火墻的應用。因此,用戶應該有能力看到所有的應用,不論應用是被加密,通過奇怪的端口發送還是進行奇怪的操作。
Williamson還提議限制端到端應用以及認證代理和遠程桌面的使用。代理常被僵尸網絡作為發送惡意軟件的工具,而遠程桌面應用通常會向網絡罪犯提供通往企業系統的遠程訪問鏈接。
Williamson表示,“企業必須了解底線是什么,人們需要的是什么以及如何創建有效的策略,比如,你可以為用戶制定社交媒體使用規則,但是要強調有風險的行為。你可以通過特性來顯示社交媒體的使用,如在工作場所設置為只讀。”
3、找到并阻止威脅
Palo Alto防火墻方案在應用級別對流量進行分類。Williamson說,“當我們用盡所有工具都無法分辨流量的類別時,要么它是惡意軟件,要么就是用自定義代碼編寫的應用,這對于基準線的設置也非常有價值,因為我們還要看到惡意軟件如何發送數據,最常見的情況是——它發送不明數據和虛假的http地址。如果你可以通過識別應用和指出不明應用來減少不明數據流量,那么惡意軟件可藏匿的地方也會相應減少。”
另一個挑選惡意軟件的方法是看對話消耗的帶寬。普通應用占用的帶寬不會很大。Williamson說,“雖然帶寬驟增不一定是劍指惡意軟件,但至少說明情況有些可疑,因為惡意軟件通常避免使用過長連接,最終需要創建大量會話。”
另一個挑戰是大量通過Web傳播的惡意軟件來自形態各異的客戶端,版本的獨特性避開了基于簽名的檢測。基于云的WildFire方案可以轉發不明文件,保護云引擎或是沙盒。公司可以觀察到可疑惡意軟件如何對虛擬目標做出響應,再尋找可以揭露其是惡意軟件的70多種惡意行為。
原文鏈接:http://safe.it168.com/a2012/0808/1382/000001382660.shtml
