据最新的Palo Alto应用使用和风险年中报告透露,企业为带宽支付的每一块钱里,大概有三分之一是用来支持流媒体或文件共享应用的,而这两个大项中有近250个应用是专供个人使用的。
在这项调查中,Palo Alto对全球2036家企业2011年11月到2012年5月间原始应用的流量进行了评估,他们发现相比2011年4月到11月的调查,端到端的文件共享和视频流媒体应用的带宽消耗增长了300%到700%。
而企业更担心的是企业网络中40%的应用都比较含糊。Palo Alto安全分析师Wade Williamson称:“有一半的企业应用可以传输文件。因此我们不仅要担心防火墙无法有效的检测它们,还要担心它们把数据带出公司,以及把恶意软件带入公司。”
一方面,流视频利用社交网络的信任关系带来了间接的安全威胁。一段视频可能是诱惑用户进行点击操作或下载恶意软件的诱饵。另一方面,病毒可能内植于可以下载的媒体播放器或是视频文件中。
侵犯版权和数据的处理不当都是常见的P2P文件共享风险。是P2P的分布式属性带来的风险。文件可轻易下载到P2P网络,可以匿名分配给追踪器。即便僵尸程序的命令和控制服务器已被破坏,P2P还允许僵尸程序存活下来。这一点已经引起网络罪犯的注意。
为了与这些威胁作斗争,Williamson提出了三个关键措施——重新控制所有网络流量并对其进行监控,控制攻击范围,包括移动用户和防火墙周边以外的云,查找并阻止威胁,包括未知威胁。
1、重新控制和监控
可视性是管理威胁的关键,特别是对于能轻易绕过防火墙的应用而言。这些应用越过端口,使用标准协议,如SSL和SSH,潜入80端口或是使用非标准端口。
在最近的应用使用和风险报告中,Palo Alto发现只有23%的应用使用80端口,而这些账号占用的带宽仅为35%。因此,只关注80端口只能保护好前门,后门的安全成了隐患。
意识到这一点后,Palo Alto的下一代防火墙便要对所有流量使用分类技术,而不管数据的传输端口,要对每次会话和连接的流量进行解码。“你需要看看流量中夹带的数据,不要走捷径。”Williamson说。“现在,我们可以看到流量中的异常情况。这并不是禁止员工使用Facebook或即时通讯,而是要知道传输的数据究竟是什么。对堆栈的全面分析应该成为例行公事而不是偶尔为之。”
2、控制攻击范围
移动办公人员的增加以及云计算的推广都显著增长了企业的攻击面。Williamson说,“当你转移到云中的时候,会将应用和大量数据进行转移,企业要牢记他们不止是把安全策略转嫁给云供应商而已。”毕竟,很多网络安全都是在逐渐创建的。出于节约成本的目的把资产转移到云中,但是如果保护不当就得不偿失。
Williamson说,“获得持续安全保护的方式是创建基于逻辑的周边设备。不论你身处何处,你仍然可以连接到网络。这就是说通过物理周边的防火墙选择传输路径或是通过云中的防火墙来提供相同的防火墙,IPS,漏洞与恶意软件检测功能。”
但是,控制攻击面应该从减少那些作者不详和威胁网络安全的应用开始。应避免使用刻意避开防火墙的应用。因此,用户应该有能力看到所有的应用,不论应用是被加密,通过奇怪的端口发送还是进行奇怪的操作。
Williamson还提议限制端到端应用以及认证代理和远程桌面的使用。代理常被僵尸网络作为发送恶意软件的工具,而远程桌面应用通常会向网络罪犯提供通往企业系统的远程访问链接。
Williamson表示,“企业必须了解底线是什么,人们需要的是什么以及如何创建有效的策略,比如,你可以为用户制定社交媒体使用规则,但是要强调有风险的行为。你可以通过特性来显示社交媒体的使用,如在工作场所设置为只读。”
3、找到并阻止威胁
Palo Alto防火墙方案在应用级别对流量进行分类。Williamson说,“当我们用尽所有工具都无法分辨流量的类别时,要么它是恶意软件,要么就是用自定义代码编写的应用,这对于基准线的设置也非常有价值,因为我们还要看到恶意软件如何发送数据,最常见的情况是——它发送不明数据和虚假的http地址。如果你可以通过识别应用和指出不明应用来减少不明数据流量,那么恶意软件可藏匿的地方也会相应减少。”
另一个挑选恶意软件的方法是看对话消耗的带宽。普通应用占用的带宽不会很大。Williamson说,“虽然带宽骤增不一定是剑指恶意软件,但至少说明情况有些可疑,因为恶意软件通常避免使用过长连接,最终需要创建大量会话。”
另一个挑战是大量通过Web传播的恶意软件来自形态各异的客户端,版本的独特性避开了基于签名的检测。基于云的WildFire方案可以转发不明文件,保护云引擎或是沙盒。公司可以观察到可疑恶意软件如何对虚拟目标做出响应,再寻找可以揭露其是恶意软件的70多种恶意行为。