据今年世界经济论坛所发布的全球风险排名显示,数字时代,网络安全与数据泄露已成为除自然灾害外,最大的风险所在。
从始于80年代的第一代针对独立电脑的病毒攻击,到90年代中期,因特网推广后的网络攻击,就在1993年安全专家Check Point率先发明状态化检测防火墙,也是第二代网络威胁的主要防御方式,到了第三代,2000年网络泡沫,网站应用大肆繁殖。保证代码出现无法避免的安全漏洞,这个时候出现了IPS,就是入侵防护系统,以此防护黑客入侵。2010年开始,黑客利用0-day漏洞以及一些未知威胁攻击系统,安全服务商会针对每个病毒做特征码,根据特征码的匹配阻止病毒入侵,但难以避免病毒变种。
实际上,绝大部分的企业都还处于第二代和第三代之间的防护状态,面对如WannaCry勒索病毒这样多项量、多维度、大面积且跨组织的全球性第五代网络攻击,企业如何做好防御机制?
举个鲜活的例子,已为10万+组织提供安全方案的Check Point日前在第一时间发现了活跃在小米手机“系统 WIFI 服务”的恶意广告行为,Check Point将该病毒命名为 RottenSys,意为“腐败系统”。该恶意软件伪装成正常的安卓应用,“这个系统的Wi-Fi服务根本不会为用户提供任何跟Wi-Fi有关的功能。到了用户的移动设备后,RottenSys 初始病毒被激活后,随即在黑客服务器静默下载,并加载恶意模块,会提出一个很长的敏感权限列表,除了静默下载安装的权限,还有很多别的权限,如读取通讯录、控制摄像头和麦克风,能想到的手机敏感权限,它都会提出需要”,Check Point中国北区技术经理谭云这样说道。
RottenSys出现于2016 年 9 月,截止今年3 月被感染的安卓手机总量超过496万部。仅10 天时间,RottenSys 团伙超过 1325 万次的广告推送诱导获得 54 万余次广告的点击,不正当广告收入预计达 72 万人民币。其工作时非常狡猾,为避免用户在短时间内发现手机异常,以及规避反病毒软件的检测,RottenSys使用了两种逃逸技术。
首先是推迟恶意软件的操作时间,RottenSys原始程序,仅包含dropper滴管组件,起初不包含任何恶意代码,手机安装应用后,一旦手机处于活动状态,会通过dropper程序,反向连接黑客的控制主机,即C&C服务器,通过加密隧道从C&C服务器上下载恶意程序到手机上。一般用户不会把这些恶意的行为与RottenSys所在的应用关联起来,可一旦下载组件,就会使用RottenSys之前所要求的敏感权限,下载过程中,不会和用户有任何互动,不知不觉中,偷连Wi-Fi把这些权限下载。随后使用允许后台组件同时运行的“Small” 安卓开源框架,在移动设备上展示广告。
其次,不管移动设备是否关机或重启,RottenSys都会自动将所在的恶意进程自动重启。为了避免用户的安卓手机系统把这样一个恶意进程关掉,会使用MarsDaemon开源框架,一旦开启便无法关掉。
为此,Check推出了 Infinity Total Protection,这是一款针对第五代 (Gen V) 网络防护的突破性安全模型,利用 Check Point Infinity 架构组件,将实时威胁防御、共享情报与跨网络、云端和移动设备的最高级安全结合起来。
Infinity Total Protection 是现今唯一包含网络安全硬件与软件的订阅式安全解决方案,全天候集成式终端、云端和移动设备保护和零日威胁的防护特点,实现在本地、移动设备、云端等任意环境中的威胁防护。
据了解Check Point Infinity Total Protection 架构提供最高级威胁防护功能,包括:
实时威胁防护:实时沙盒+勒索软件保护,实时云端威胁情报,运用机器学习技术识别新威胁,加之防僵尸网络技术阻击 APT 与未知零日恶意软件。
高级网络安全:采用最高级的防火墙和针对性的应用程序控制工具,支持全球企业在私有云、公有云安全服务的任何规模的网络。
云安全:支撑企业在公有云、私有云、混合云及SDN 环境的高级威胁防护,可在云端内部控制东西向流量。
移动安全:控制IOS 、Android 移动设备恶意软件的入侵,以及对流氓网络的识别,安全容器和数据的保护,文档加密和EMM的集成。
数据保护:防御反勒索软件,无缝文档加密,保护浏览器安全,具备集成式的终端保护套件和安全取证。
集成式安全与威胁管理:多设备、多域、多管理的统一安全管理环境,具备收集、关联和攻击分析功能,以及适用于合规与设计的报告工具。
当今,企业处于大规模、多项量且高强度的网络威胁环境,俗话说防患于未然,企业组织应及早为自身业务环境与第五代防护体系相匹配,建立更为完善的安全防御机制,这样才能有效保障企业数据与资产的安全。