如同之前所说,网络安全防护的发展其实一直是落后于攻击的,换句话说,官方所说的网络安全市场是落后于黑产市场的,市场规模上,由网络安全防护引领的市场也远远小于黑产地下产业链当然,鉴于各大网络安全公司之间明争暗斗,互相贬低,因此为了不打广告或引起厂商大佬们的不满,下面的描述中也不会提及具体公司的名称,我来为大家科普一下关于新的安全防护?下面希望有你要的答案,我们一起来看看吧!
新的安全防护
1、初期网络安全防护公司的发展
如同之前所说,网络安全防护的发展其实一直是落后于攻击的,换句话说,官方所说的网络安全市场是落后于黑产市场的,市场规模上,由网络安全防护引领的市场也远远小于黑产地下产业链。当然,鉴于各大网络安全公司之间明争暗斗,互相贬低,因此为了不打广告或引起厂商大佬们的不满,下面的描述中也不会提及具体公司的名称。
上面说的市场规模,其实是动态变化的,我们只能说初期网络安全防护类公司成立的时候,防护市场远远小于攻击的地下市场。看到这里,可能您会奇怪,为什么我们这里老是不停地提及市场规模或者市场模式。我个人认为,人性本质是趋利避害的,韩寒说,小孩子才分对错,成年人只看利弊。很多事情的产生和发展不是凭空出现的,这个行业的发展动力正是来源于底下的庞大的经济利益驱使。
作者个人观念里,网络安全是攻防博弈而形成的一个行业,而攻防博弈的本质是人类的逐利的本性。网络安全的发展总是伴随着网络技术的发展,随之而来的是相应的攻击技术和手法的发展,最后引起重视,防护技术随之跟上。是一个螺旋的过程。
所以,在初期的时候,网络安全防护公司的产品的技术是落后于攻击的技术的。黑产早期分为针对用户的攻击和针对服务器的攻击,网络安全防护公司最初的产品也主要有2类,一类是以杀毒软件为代表的终端防护,一类是以硬件防火墙为代表的网络流量层防护。这种产品的出现主要目的是对抗主机上的传统木马和病毒。
严格意义上来说,木马、病毒、蠕虫是不一样的,这种命名方式也很形象,他们的区别主要是目的不一样,木马是以窃取信息获取数据为主,病毒是破坏当前环境为主,蠕虫的目的主要是传播和扩散。真实的攻击中黑客们并不太关心名字应该叫什么,他们一般关心自己的目的是什么,再根据目的去制作自己想要的黑客武器。
这种防护产品产生的原因跟当时的环境也比较相关,当时还处于C/S架构盛行的时期,因此网络安全防护面临的最主要挑战就是盗取账号密码的木马、获取电脑敏感文件的木马、恶意破坏电脑文件的病毒等等。如果想简单地形容病毒和木马的区别,应该就是站在攻击者的角度来说,病毒是损人不利己的,木马是利己不损人的。由于早起都是病毒很少有木马,因此我们基于习惯,把对付危害恶意程序的防护软件统一称为杀毒软件。
那就先聊聊杀毒软件吧,最早的时候,木马不多,杀毒软件杀毒是基于经验的, 也就是根据木马的位置、大小、MD5等特征进行查杀,也就是说,需要发现了木马,继而将木马的明显特征加入病毒库,根据比对进行杀毒。随着一些所谓的黑客杂志、黑客论坛、黑客培训的发展,会开发木马或病毒的人也越来越多,国内影响力比较大的是一款开源代码Ghost的开源,这款木马稳定性强,代码开源以后迅速成为了黑客们的最爱,基于这个架构无数的黑客小白晋级为懂开发的黑客,实际上只是在代码里加了一些多余无用的代码段,目的是为了编译以后的木马跟最初的不一样从而可以欺骗这种杀毒软件罢了。这种修改后的木马我们一般称其为新的变种,随着病毒的层出不穷,病毒变种不断增多,特征码法远跟不上病毒生成速度,各大安全厂商针对以发现的病毒,总结出一些恶意代码,如在程序中发现这些代码,就会向用户报警,发现疑似病毒文件,询问用户处理方案。细心的读者可以发现,以上两种模式,无论是特征码杀毒还是启发式杀毒,其实都是在获取到木马样本并分析后,将特征码或者恶意代码存入病毒库以后才可以实现杀入效果的,所以他们的杀毒严格意义上来说都是滞后的。也就是说病毒已经出现了一段时间,然后被杀软公司捕获再放入病毒库的,杀毒软件杀的都是已知病毒,这样在攻防双方的博弈中,防守方始终都是处于被动挨打的,而攻击方可以通过不断调整自己的代码的形式达到自己的目的,很多攻击者为了保护自己的木马不被杀毒软件公司分析,多数的木马此时都自带自毁功能,在完成自己的邪恶目的以后消失无踪。
那么怎么才能在攻防博弈中占据主动呢?无论是什么体育项目或是辩论之类的,如果想要在博弈中占据主动,最好的选择就是不要跟着对方的节奏走,尽量将对方带到自己的节奏中来。防守方需要防御的是操作系统和系统中的文件不被攻击方窃取或者破坏,那么对操作系统的敏感区域入系统文件夹、注册表启动项等部位进行重点监控就是最好的办法,一旦发现有程序对敏感部位进行可疑修改,便提醒用户,询问用户是否允许进行修改。这样可以有效地阻断很多病毒和木马的攻击。或者也采取沙箱的形式,对所有输入的应用程序先模拟运行,观察程序的行为来对程序是否有害进行判断。实际上,目前市场上主流的杀软基本都是这些模式的结合,市场上由于某数字公司杀毒软件的免费,直接导致了传统的仅仅会修改木马特征值的小白黑客没有了生存的空间,他们的木马还没放出去就会被杀。如同侵犯人体的病毒会随着医疗条件的提高而演变得越来越复杂一样,现在依然存活着非常难以查杀的病毒木马,这种攻防的对抗开始逐渐细节化,“白加黑”、内存执行等多种形态的病毒木马不断涌现。具体的攻防用到的技术后面会再介绍,这里不再细述。
再来看看防火墙。防火墙从原理上看是不防御那种破坏性的病毒的。谈防火墙之前我们先来看端口的概念。我们先试想一个场景,我们要去一个菜场买菜,采购的目标是土豆和茄子,那么我们就需要去卖土豆的大婶和卖茄子的大叔那里去买,而不是去肉摊。如果电脑是菜场,里面五花八门应有尽有的话,那么他就是通过各个摊位跟用户进行具体的交易。任意两台电脑之间想要传送文件都是通过端口实现的,准确地说,是两台电脑上的两个应用程序通过各自的端口来收发数据,木马也不例外,木马一般是分为控制端和被控端,被控端想要把自己拿到的数据传递给控制端就需要通过端口来进行传递。防火墙的主要功能就是对主机上的所有端口进行监控和过滤,把符合标准的数据交互拉入白名单,把明确的不符合标准的数据交互拉入黑名单。防火墙的好处是可以隔绝木马控制端和被控端的通道,拦截双方的通信。木马也分为两种,一种是主动开端口监听,一种是去外联控制端的监听端口。这两种模式都可以通过设定规则的方式拦截,尤其是前一种。当然了,攻防博弈是此消彼长的,在这种情况下,伪装成合法应用使用协议的木马开始出现,他们在流量中模仿合法应用达到规避防火墙的目的。而目前基于AI技术的发展,防火墙也越来越智能,判断木马通信行为的规则也越来越精确。
2、应用层防护的发展
随着B/S架构的流行,针对服务器的攻击开始越来越多地成为主流。实际上瘦客户端并非只是B/S架构,只是流行度上Web比较发达罢了。
市场就是这样,当B/S架构携带的数据越来越敏感,导致其被攻击越来越多,也带来了专门针对Web应用服务器的安全防护需求。Web服务器与普通的个人主机不同,防火墙没办法完全拦截每一个端口,因为至少必须开放一个端口用来给用户访问架设在上面的网站,通常这个端口的号码为80和443。所有开放的允许外部连接的端口都有一定的风险,攻击是针对端口的,那么应用层防护需要做到的就是规范所有针对端口的输入。Web应用防火墙或者简称WAF(Web Application Firewall)应运而生,它是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
通常针对网站服务器的防护中,防火墙也是存在的,用以保护服务器主机层面的安全,而WAF也会存在,目的是保护应用层面的安全。
现实中还有很多其他的服务器,比如数据库服务器、文件服务器、工控服务器等等,由于大多数这类服务器不用直接联网跟外界共享数据,因此这些服务器的防护大多采用逻辑隔离进行防护,即直接设置成不连接外网的模式即可,随着互联网技术的发展,这些服务器的联网的需求也越来越多,针对性的数据库防火墙、工控防火墙也都在不断地发展和进步,但是由于攻击还不够多,因此整体的防护能力目前仍然值得怀疑。
作为有过几年短暂开发经验的程序员,我一直觉得大多数程序员不是代码的生产者,只是代码的搬运工。我觉得国内可能不止是我,大部分公司的程序员们都有过类似的“先进”经验。大家也都是从互联网各个地方搬运各类代码进行组装和调试,至于这大段代码里面是否有什么不足,在当今效率至上的社会里,并不过多也无暇关心。
这里提一下国外有个知名的网站叫Github,这个网站简直就是国内高薪的软件工程师们的圣地,基本需要的代码都可以在上面找到。很多开发的大佬们也都比较赞同这种模式,他们经常会说一句话,叫做“不要重复造轮子”,所以在他们看到一段可能比较稚嫩的代码的时候,他们会高傲地告诉开发者,在哪里可以找到更好的代码,不要做这种没有意义的工作。这种价值导向下,现在的开发人员越来越像一个组装者,而不是一个创造者。开发的任务主要是找到各种模块进行组装,这种模式本身没有问题,我们传统工厂比如汽车制造商也是这样,生产出来汽车的各个组件最后在加工厂进行组装而成行,对功能开发进行模块化组装可以很有效地提升产品开发的效率,但是也有一些隐患,典型的就是国内似乎很好再找到能生产这些轮子的程序员了。这两年python语言的发展异常火爆,我有一个徒弟,他最早跟我用C语言开发各种小的桌面应用,他接触python以后立马转向了这种语言,我问过他为什么,他说python太方便了,以前需要写几百行的代码才能完成的功能,使用python只要5-6行就行了,大大提高了开发效率。我一度很奇怪,因为我一直认为无论什么开发语言都只是工具而已,各类开发语言都是相通的,怎么会存在一种语言可以大大提高开发效率的说法。看了他的代码以后我才发现,他在做一个网站爬虫的功能的时候仅仅调用了一个库然后运行就直接完成了以前需要的所有功能。这种组装已经到了具体功能模块的代码确实能大大提升开发的速度,程序员们的时间也得到了大幅的节约。
这种模式在开发上的流行,带来一定的问题,如国内很多的论坛都使用了Dedecms或者Discuz等框架,很多博客类资讯类都用了Wordpress框架等等,还有出现问题最多的JAVA开发框架struts2。直接使用这些框架做上层的修改和开发确实节约了时间,但是这些框架也成为了黑客们最感兴趣的目标。如果能挖掘出来这些框架的一个漏洞,那么就可以在互联网上一次性攻击很多系统,获取很大的收益。这些漏洞因为通杀性强,在底下黑市可以直接进行售卖,一般来说,越流行的框架产生的高危的漏洞价格就越高,同样地,很多国内主流的漏洞通报平台也都在通过收购这种漏洞的形式对漏洞进行收集,以督促框架开发者对其框架进行及时的漏洞修补。即使到了今天,利用框架漏洞攻入服务器,并实施加密勒索,数据窃取等操作,也是黑客攻击的比较流行的方式之一。这种漏洞的防护也是WAF需要重点关注的,也是衡量WAF能力的一个重要指标。
,
