信息来源:安全内参
对付新冠病毒最有效的方法是隔离,对付网络犯罪同样如此。
近日,Critical Stack的CTO和联合创始人Dustin Webber在《福布斯》撰文指出,网络安全出现了一个似曾相识的新概念——隔离(isolation)有望将网络犯罪预防提升到一个新的水平。该方法类似于将可能包含炸弹(恶意软件、勒索软件、间谍软件等)的包裹(有效载荷)带到一个安全隔离的区域,无论该包裹有多大的杀伤力,都可安全引爆。
诀窍是研究爆炸过程并将其重新组合在一起以获取更好的情报。这个概念类似于大型强子对撞机(LHC)背后的技术。大型强子对撞机通过将粒子高速撞击分解来查看粒子内部信息。安全研究人员在运行各种操作系统的隔离计算机中以相同方式运行有效负载并对其进行研究。
“隔离”之所以被业界(重新)重视,是因为当下的网络安全措施难以应对当前发生的大量勒索软件和恶意软件攻击,业界需要一种更好的预防(而不是过分依赖检测和响应)方法。最近对1200名安全决策者进行的一项调查显示,企业平均部署了76种不同的网络犯罪预防方案。尽管如此,82%的受访者表示,他们遭遇的安全事件绕过了现有的安全控制措施。
主要问题是恶意软件作者正变得不但“艺高”而且“胆大”。他们不断想出新的方法来逃避检测和遏制系统。今年前五个月,独立IT安全机构AV-TEST检测到4443万种新的恶意软件,全球恶意软件总数超过13亿。
诚然,网络安全系统的供应商正忙于设计对策,其中许多对检测和响应是有效的,至少在一段时间内是这样。但在这场持续不断的攻防战中,恶意软件作者必然会赢得一些战斗——这可能意味着灾难。根据一份报告,2021年,勒索软件攻击的平均支出为54万美元,许多公司除了支付外别无选择。
隔离从浏览器开始
关键是,如果让恶意软件溜进计算机,则为时已晚。而且由于绝大多数恶意软件将浏览器作为部署其恶意负载的重要方式,因此浏览器是设置障碍和隔离的第一道防线。
为了成功实施浏览器隔离,需要在每台计算机上部署能够初步筛选的安全应用程序(代理或传感器),因为计算机环境安全离不开系统安全。
但是“代理”或“传感器”的名声并不好,因为老一代代理和传感器产生了网络开销、部署过程复杂并且难以管理。今天,这些问题已经基本解决或者不再构成障碍。
在隔离系统中,计算机上的应用程序拦截每个需要调用浏览器和点击事件的协议,让有效负载通过,或将其发送到与网络完全隔离的云端隔离虚拟机。如果一个URL被解析为一个可下载的文件,它将被进一步测试并被允许传送到浏览器或被隔离。顺便说一句,虽然这个过程听起来很复杂,但所涉及的预处理和后处理速度足够快,以至于用户不会注意到它。
清零策略
隔离是一种高度谨慎的方法,只有确保安全的活动才能继续进行。除非测试结果是“阴性”,否则隔离的会话会始终留在隔离区。对于大多数场景来说,默认拒绝策略应该是通用的。
对于任何关注勒索软件和其他恶意软件的公司来说,隔离都是一种适用的技术。下面是一些成功秘诀:
-
确保覆盖了所有计算机设备。缺乏覆盖是安全软件普遍存在的问题,隔离也不例外。
-
确保您的用户了解系统的工作原理。这并不难,因为实际上没有学习曲线。
-
控制每个在公司计算机系统上安装的新软件。每个新软件都是一个新的攻击媒介。
鉴于攻击面的急速膨胀和网络犯罪分子对网络渗透的不遗余力,一种新的预防(而不是检测)方法当然值得探索。是时候开始思考为什么我们热衷于检测入侵而不是预防入侵。