引用格式:祝林,鄔江,劉克斌,等. 操作系統(tǒng)行為理論模型及典型應(yīng)用研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(12):27-32.
引言
為應(yīng)對常見的安全風(fēng)險(xiǎn)(如非法訪問、網(wǎng)絡(luò)惡意攻擊、網(wǎng)絡(luò)數(shù)據(jù)泄露、網(wǎng)絡(luò)病毒、非法外聯(lián)、違規(guī)外設(shè)接入、勒索軟件、終端非授權(quán)使用等),往往會(huì)針對性部署防火墻、主機(jī)入侵檢測/入侵防御系統(tǒng)、終端檢測和響應(yīng)[1](Endpoint Detection and Response,EDR)、惡意代碼查殺、主機(jī)安全管理系統(tǒng)、主機(jī)外設(shè)管控系統(tǒng)、基于電子鑰匙的身份認(rèn)證等安全措施。
當(dāng)前安全防護(hù)措施的處置過程,以網(wǎng)絡(luò)數(shù)據(jù)泄露為例,如圖1所示,主要包括:
(1)針對安全風(fēng)險(xiǎn)(已知漏洞);
(2)部署安全措施(特征匹配、主動(dòng)檢測);
(3)檢測發(fā)現(xiàn)安全事件;
(4)安全響應(yīng)處置。
現(xiàn)有安全防護(hù)機(jī)制是典型的以現(xiàn)象和結(jié)果作為切入點(diǎn),其存在如下問題:一是始終無法有效防范APT[2]攻擊,特別是對基于0day漏洞[3]的未知攻擊往往無法實(shí)現(xiàn)有效防護(hù);二是多重安全機(jī)制導(dǎo)致防護(hù)性能低下,已影響當(dāng)前安全產(chǎn)品廣泛應(yīng)用推廣;三是多維度安全檢測數(shù)據(jù)難以融合分析,異構(gòu)安全數(shù)據(jù)的關(guān)聯(lián)分析一直是困擾安全檢測有效性與準(zhǔn)確性的核心理論問題;四是安全檢測與攻擊規(guī)避對立問題[4],當(dāng)前安全檢測未充分考慮攻擊規(guī)避對抗,導(dǎo)致檢測措施可被攻擊方規(guī)避繞過[5],從而造成檢測失效。
從目前攻防對抗發(fā)展趨勢來看,安全風(fēng)險(xiǎn)的“日新月異”導(dǎo)致安全防護(hù)的“無邊擴(kuò)展”,而這種應(yīng)對式無序發(fā)展,造成的結(jié)果就是終端上安全軟件堆砌、安全防護(hù)系統(tǒng)整體運(yùn)行效能低下,終端安全對抗一直處于“道高一寸,魔高一尺”的追趕局面。
圖1以數(shù)據(jù)泄露為例當(dāng)前攻防檢測與反制措施分析
其產(chǎn)生的原因在于:目前安全防護(hù)機(jī)制是“以現(xiàn)象為切入、以工程思維進(jìn)行分析、亡羊補(bǔ)牢式的”安全防護(hù)。本文針對當(dāng)前安全防護(hù)“頭痛醫(yī)頭,腳痛醫(yī)腳”、治標(biāo)不治本、未從安全防護(hù)本質(zhì)上來解決問題的不足,從安全攻防內(nèi)在機(jī)理上進(jìn)行溯源分析,從根本上分析安全威脅的成因。即要克服現(xiàn)有終端安全機(jī)制的弊端,需要轉(zhuǎn)變方法思路,從清本溯源角度來解決終端安全防護(hù)問題。
本文詳細(xì)內(nèi)容請下載:
http://www.rjjo.cn/resource/share/2000006263
作者信息:
祝林,鄔江,劉克斌,鐘杰
(中電長城網(wǎng)際安全技術(shù)研究院(北京)有限公司,北京100097)
