网络时代

Gartner：2017年11大顶尖信息安全技术

星辉 — Wed, 28 Jun 2017 12:56:23 +0800

米雪儿

近日，Gartner发布了2017年的11大顶尖信息安全技术，同时指出了这些技术对信息安全部门的意义。

Gartner副总裁兼院士级分析师NeilMacDonald表示，

“2017年，企业IT的威胁级别依然处于非常高的水平，媒体上每天都充斥着各种攻击和泄漏信息。随着攻击者的能力不断提升，企业必须提高其防御攻击的能力，安全和风险领导者必须评估和使用最新的安全技术，防止先进的攻击活动，更好地实现数字业务转型，拥抱新的计算风格，如云、移动以及DevOps。”

以下为这11项信息安全技术的具体内容：

1. 云工作负载保护平台（Cloud Workload Protection Platform，简称CWPP）

现代数据中心支持运行在物理设备、虚拟机（VM）、容器以及私有云基础架构中的各种工作负载，并且几乎总是涉及一些在一个或多个公有云基础设施即服务（IaaS）提供商中运行的工作负载。

云工作负载保护平台（CWPP）市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。

2. 远程浏览器技术（RemoteBrowser）

几乎所有成功的攻击都源于公共互联网，而基于浏览器的攻击是用户攻击的主要来源。信息安全架构师无法阻止攻击，但是他们可以通过将终端用户互联网浏览会话与企业端点和网络隔离的方式来抑制损害。通过隔离浏览器功能，可以使恶意软件远离终端用户的系统，企业也可以通过将攻击风险转移到服务器会话中来减少攻击面，它可以在每个新的浏览器会话中重置为已知的良好状态，标记为打开的或URL访问的。

3. 欺骗技术（Deception）

欺骗（Deception）技术，顾名思义，这是一种用来摆脱攻击者的自动化工具，或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程，扰乱攻击者的自动化工具，延迟攻击者的行为或者扰乱破坏计划。

例如，欺骗功能会制造假的漏洞、系统、分享和缓存，诱骗攻击者对其实施攻击，从而触发攻击告警，因为合法用户是不应该看到或者试图访问这些资源的。

Gartner预测，到2018年有10%的企业将采用欺骗工具和策略，参与到与黑客的对抗战争中。

4. 端点检测和响应（EDR）

该技术早在2014年就已经上榜了，Gartner还将其列入五种检测高级威胁的手段之一。端点检测和响应（EDR）解决方案通过监控端点的异常行为和恶意活动迹象，来增强传统的端点预防性控制措施，例如防病毒。Gartner预测，到2020年，80%的大型企业，25%的中型企业和10%的小型企业将投资EDR能力。

5. 网络流量分析（Networktraffic analysis，简称NTA）

网络流量分析（NTA）解决方案是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具。它通过监控网络流量、连接和对象，找出恶意的行为迹象。那些正在寻求基于网络的方法，来识别绕过周边安全性的高级攻击的企业应该考虑使用NTA技术来帮助识别、管理和分类这些事件。

6. 管理检测和响应（MDR）

管理检测和响应（MDR）提供商为寻求改进其威胁检测、事件响应和持续监控功能的买家提供服务，这些买家自身通常不具备专业的技能或资源。由于缺乏对威胁检测能力方面的投资，中小企业（SMB）和小型企业的需求特别强烈，因为MDR服务正好触及了这些企业的“sweet spot（甜蜜点）”。

7. 微分段（Microsegmentation）

一旦攻击在企业系统中站稳脚跟，他们通常会横向移动（东／西）到其他系统中。微分段是在虚拟数据中心内为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样，微分段有助于在威胁发生时限制破坏。之前，微分段技术主要用于描述服务器之间在相同层／区域内的东西／横向通信，但是现在它已经演变为主要用于虚拟数据中心内的通信。

8. 软件定义边界（Software-defined perimeters，简称SDP）

Gartner预测，到2017年底，至少10%的企业组织（目前低于1%）将利用软件定义边界SDP技术来隔离敏感的环境，这项技术在安全保障用户的访问同时，也可以改善便利性，而使用一个固定的边界来保护企业内部网站正在逐渐过时。

软件定义边界（Software Defined Perimeter，SDP）由云安全联盟（CSA）于2013年提出，用应用所有者可控的逻辑组件取代了物理设备，只有在设备证实和身份认证之后，SDP才提供对于应用基础设施的访问。

SDP使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性，该边界可以部署在任意的位置，如网络上、云中、托管中心中、私有企业网络上，或者同时部署在这些位置中。

9. 云端访问安全代理技术（Cloudaccess security brokers ，简称CASBs）

云端访问的安全代理（CASBs）技术是指在云服务客户与云服务提供商之间建立一个启停“安全访问云资源策略”的开关。

CASB重点针对SaaS模式下的云服务商提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景，填补了单个云服务的很多空白，允许首席信息安全官（CISO）同时跨越来越多的云服务做到这一点，包括基础设施即服务（IaaS）和平台即服务（PaaS）提供商。

因此，CASB解决了CSIO要跨整个企业云服务制定政策、监控行为和管理风险这一关键要求。

10. 面向DevSecOps的OSS安全扫描和软件组成分析技术（OSS security scanning and software composition analysis forDevSecOps）

信息安全架构师必须能够将安全控制自动融入到整个DevSecOps周期中，而不需要进行手动配置，在这过程中要尽可能对DevOps团队是透明的，且不会阻碍DevOps的敏捷性，但是又要履行法律和法规合规性以及管理风险要求。为了实现这一目标，安全控制必须能够在DevOps工具链中实现自动化。软件组合分析（SCA）工具专门分析开发人员用于识别和清点OSS组件的源代码、模块、框架和库，并在应用程序运用到生产环境之前，识别任何已知的安全漏洞或是许可问题。

11. 容器安全（Containersecurity）

容器使用共享的操作系统模式。对主机操作系统的漏洞攻击可能导致所有容器都受到破坏。容器本身并不安全，但是它们就是由开发者以不安全的方式进行部署的，很少或完全没有安全团队参与，也很少有安全架构师进行指导。传统的网络和基于主机的安全解决方案对容器是无视的。容器安全解决方案保护容器的整个生命周期（从创建到生产），大多数容器安全解决方案都提供了预生产扫描和运行时间监控和保护功能。

关于Gartner公司

Gartner公司创立于1979年，拥有7,900名顾问，包括 1,700多位世界级分析专家，在全球设有90多个分支机构。Gartner首创了魔力象限，首次提出威胁情报的概念，Gartner报告已经成为IT业界了解新技术的一个重要窗口。

*参考来源：helpnetsecurity，米雪儿编译，转载请注明来自FreeBuf.COM

《2016年中国互联网网络安全报告》分析网络安全态势

星辉 — Wed, 31 May 2017 15:03:08 +0800

2017年5月27日，国家互联网应急中心（CNCERT/CC）发布《2016 年中国互联网网络安全报告》，汇总分析国家互联网应急中心自有网络安全监测数据和通信行业相关单位报送的数据。报告涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面的内容。

2016 年，移动互联网恶意程序捕获数量、网站后门攻击数量以及安全漏洞收录数量较2015 年有所上升，而木马和僵尸网络感染数量、拒绝服务攻击事件数量、网页仿冒和网页篡改页面数量等均有所下降。

一、木马和僵尸网络

抽样监测，2016 年约 9.7 万个木马和僵尸网络控制服务器控制了我国境内 1699 万余台主机，控制服务器数量较 2015 年下降 8.0%，近 5 年来总体保持平稳向好发展。其中，来自境外的约 4.8 万个控制服务器控制了我国境内 1499 万余台主机，其中来自美国的控制服务器数量居首位，其次是中国香港和日本。就所控制的我国境内主机数量来看，来自美国、中国台湾和荷兰的控制服务器规模分列前三位，分别控制了我国境内约 475 万、182 万、153 万台主机。在监测发现的因感染恶意程序而形成的僵尸网络中，规模在100 台主机以上的僵尸网络数量 4896 个，其中规模在 10 万台以上的僵尸网络数量 52 个。

二、移动互联网安全

2016 年，CNCERT/CC 通过自主捕获和厂商交换获得的移动互联网恶意程序数量 205 万余个，较 2015 年增长 39.0%，近 7 年来保持持续高速增长趋势。按恶意行为进行分类，前三位分别是流氓行为类、恶意扣费类和资费消耗类，占比分别为 61.1%、18.2% 和 13.6%。互联网恶意程序下载链接近 67 万条，较 2015 年增长近 1.2 倍，涉及的传播源域名 22 万余个，IP 地址 3 万余个，恶意程序传播次数达 1.24 亿次。

2016 年，CNCERT/CC 重点对通过短信传播，且具有窃取用户短信和通信录等恶意行为的“相册”类安卓恶意程序及具有恶意扣费、恶意传播属性的色情软件进行监测，并开展协调处置工作。全年共发现此类恶意程序 18414 个，累计感染用户超过 101 万人，用于传播恶意程序的域名 6045 个，用于接收用户短信和通信录的恶意邮箱账户 7645 个，用于接收用户短信的恶意手机号 6616 个，泄露用户短信和通信录的邮件 222 万封，严重危害用户个人信息安全和财产安全。

目前，移动互联网 APP 传播途径多样，包括应用商店、网盘、云盘和广告宣传等平台，且大量的未备案网站也在提供 APP 下载服务。在工业和信息化部的指导下，经过连续 4 年的治理，要求国内的应用商店、网盘、云盘和广告宣传等平台积极落实安全责任，不断完善安全检测、安全审核、社会监督举报、恶意 APP 下架等制度，积极参与处置响应与反馈，严格控制恶意 APP 传播途径。2016 年，CNCERT/CC 累计向 141 家已备案的应用商店、网盘、云盘的广告宣传等网站运营者通报恶意 APP 事件 8910 起，较 2015 年减少 47.8%，表明在移动互联网恶意程序持续快速增长的情况下，恶意 APP 在备案网站上传播的途径得到有效控制。

三、拒绝服务攻击

2016 年，CNCERT/CC 牵头组织通信行业和安全行业单位，宣布成立了中国互联网网络安全威胁治理联盟，并着力开展分布式拒绝服务攻击（以下简称“DDoS 攻击”）防范打击工作。经过协同治理，有效缓解了 DDoS攻击的危害，2016 年监测到 1Gbit/s 以上的 DDoS 攻击事件日均 452 起，比 2015 年下降 60%。但同时发现，2016 年大流量攻击事件数量全年持续增加，10Gbit/s 以上的攻击事件数量第四季度日均攻击次数较第一季度增长 1.1 倍，全年日均达 133 次，占日均攻击事件的 29.4%。另外100Gbit/s 以上的攻击事件数量日均在 6 起以上，并监测发现阿里云多次遭受 500Gbit/s 以上的攻击。从攻击流量来源来看，在 2016 年攻击事件中，超过 60% 的攻击流量来自境外；从攻击目的来看，67% 涉及互联网地下黑色产业链；从攻击方式来看，反射攻击依旧占据主流；从攻击源 IP 地址对应的设备来看，除了传统的 PC“肉鸡”和 IDC 服务器外，智能设备逐渐被利用为 DDoS 攻击工具。

四、安全漏洞

2016 年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞 10822 个，较 2015 年增长 33.9%。其中，高危漏洞收录数量高达 4146 个（占38.3%），较 2015 年增长 29.8%；“零日”漏洞 2203 个，较 2015 年增长82.5%。漏洞主要涵盖 Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei 等厂商产品，其中涉及 Google 产品（含操作系统、手机设备以及应用软件等）的漏洞最多，达到 819 个，占全部收录漏洞的 7.6%。按影响对象类型分类，应用程序漏洞占 60.0%， Web 应用漏洞占 16.8%，操作系统漏洞占 13.2%，网络设备漏洞（如路由器、交换机等）占 6.5%，安全产品漏洞占 2.0%，数据库漏洞（如防火墙、入侵检测系统等）占 1.5%。2016 年，CNVD 加强原创通用软硬件漏洞的收录工作，成为全年漏洞收录数量一个新的增长点，全年接收白帽子、国内漏洞报告平台、安全厂商等报送的相关漏洞 1926 个，占全年收录总数的 17.8%。

五、网站安全

2016 年，CNCERT/CC 监测发现约 17.8 万个针对我国境内网站的仿冒页面，页面数较 2015 年下降 3.6%，约 2 万个 IP 地址承载了上述仿冒页面，其中位于境外的 IP 地址占 85.4%。从承载的仿冒页面数量来看，来自中国香港的数量最多，4332 个 IP 地址共承载了仿冒页面 2.8 万余个，其次是中国境内和美国，承载的仿冒页面均约为 1.7 万个。为有效防止网页仿冒引起的网民经济损失，CNCERT/CC 重点针对金融行业、电信行业网上营业厅的仿冒页面进行处置，全年共协调处置仿冒页面 52836 个。从处置的页面类型来看，积分兑换和用户登录仿冒页面数量最多，分别占处置总数的 32%。从承载仿冒页面 IP 地址归属情况来看，绝大多数 IP 地址位于境外，主要分布在中国香港、美国及中国台湾，其中位于中国香港的 IP 地址超过境外总数的一半。针对跨境仿冒页面的处置，继续与国际网络安全组织加强合作，全年协调境外安全组织处置跨境网页仿冒事件 14515 起。

2016 年，CNCERT/CC 监测发现约 4 万个 IP 地址对我国境内 8 万余个网站植入后门，网站数量较 2015 年增长 9.3%。境外有约 3.3 万个（占全部 IP 地址总数的 84.9%）IP 地址通过向网站植入后门对境内约 6.8 万个网站进行远程控制。其中，来自美国的 IP 地址最多，占比 14.0%，其次是来自中国香港和俄罗斯的 IP 地址。从控制我国境内的网站总数来看，来自中国香港的 IP 地址控制数量最多，有 1.3 万余个，其次是来自美国和乌克兰的IP 地址，分别控制了 9734 个和 8756 个网站。

2016 年，CNCERT/CC 监测发现，我国境内约 1.7 万个网站被篡改，较 2015 年减少 31.7%，其中被篡改的政府网站有 467 个，较 2015 年减少47.9%。从网页篡改的方式来看，被植入暗链的网站占全部被篡改网站的比例高达 86%，是我国境内网站被篡改的主要方式。从境内网页被篡改的类型分布来看，以 .com 为后缀的商业网站被篡改的数量最多，占总数的72.3%，其次是以 .net 为后缀的网络服务公司网站和以 .gov 为后缀的政府网站，分别占总数的 7.3% 和 2.8%。

通过报告可以看出，目前移动互联网安全需要格外注意，虽然恶性程序较之前有所减少，但是漏洞依然大量存在。业界应对移动互联网加强安全监测，普通用户也要提高防护意识。