主动防御简述

主动防御

  • 一、定义

  • 二、主动防御和被动防御的比较

  • 三、主动防御的方法

  • 四、主动防御的作用

  • 五、主动防御带来的隐患

  • 六、关于主动防御中防守反击的建议

  • 七、主动防御在国内外的发展

  • 八、总结

主动防御可以指军事或网络安全领域中的防御战略。在网络安全领域,主动防御也称为Active Cyber Defense,主动防御是与被动防御相对应的概念。

一、定义

主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。

主动防御也是一种变相的攻击型安全措施(offensive security)。攻击型安全措施的重点是寻找入侵者,计算机系统在某些情况下会使他们丧失入侵能力或者破坏他们的入侵行动。

二、主动防御和被动防御的比较

被动防御是计算机在受到攻击后,受到攻击后,计算机系统采取的安全措施。例如,系统内部的安全审计工具(防火墙或者杀毒软件)扫描或监测出计算机系统内存在木马或者病毒文件,再将它们杀死或者永久删除。修复系统漏洞或者bug也是被动防御。被动防御也是大部分人口中默认的网络安全防御措施。
被动防御技术主要有以下四种:

  1. 防火墙技术(传统防火墙)

  2. 传统入侵检测技术(IDS)

  3. 恶意代码扫描技术

  4. 网络监控技术

主动防御和被动防御的区别在于,前者可以提前防范威胁,将潜在的威胁扼杀在摇篮里,后者是计算机在被入侵后被动的采取安全措施。举个简单的例子,对于大部分杀毒软件(以下简称杀软)而言,只能被动的查杀已知病毒。这里的被动的是指,先有新病毒,然后杀软安全厂商提取病毒的特征码后录入到自家的杀软数据库中,最后用户使用杀软对计算机进行查杀病毒。而主动防御是主动捕获流量的变化和程序行为,并对此分析,如果有疑似病毒行为的操作则立刻通知用户进行处理,进而达到将威胁扼杀到摇篮里的目的。

主动防御弥补了传统“特征码查杀”技术对新病毒滞后性的特点。

三、主动防御的方法

主动防御主要是对整个计算机系统进行实时监控,能快速捕获网络流量的变化,对程序行为进行分析,禁止一切可疑行为,从而达到保护计算机系统安全的目的。同时主动防御系统也会收集可疑行为的连接计算机的方式(潜在入侵行为)以及其它有用信息(了解入侵者的信息等)。用户可以通过该信息利用一些“攻击”手段来对抗入侵者,使其入侵难以进行。
主动防御技术主要有以下8种:

  1. 数据加密

  2. 访问控制

  3. 权限设置

  4. 漏洞扫描技术(网络安全扫描技术)

  5. 蜜罐技术

  6. 审计追踪技术

  7. 入侵防护技术(布防的新型入侵检测技术)(IPS)

  8. 防火墙与入侵检测联动技术

四、主动防御的作用

  • 让入侵者的入侵速度变慢或入侵脱轨,使其无法继续入侵或者完成入侵行动,从而增加入侵者犯错的概率并暴露其存在(IP地址)或暴露他们的入侵媒介[3]。

  • 增加入侵成本。主动防御也可能意味着'非对称防御',通过增加入侵者攻击的成本和时间。

  • 可以检测和阻止内外威胁。不仅能检测和阻止互联网中(外部威胁)的入侵者对局域网的入侵行为,还能检测局域网中(内部威胁)的攻击行为,包括勒索软件,勒索和加密劫持等。

  • 收集取证入侵者犯罪行为。主动防御使系统能够提前主动检测和破坏入侵行动,收集和了解了入侵手法和威胁情报并记录到主动防御系统的数据库中,主动防御系统会做出对应防范策略,以防止类似事件再次发生。

  • 向入侵者发动反击。某些特殊场合,主动防御系统会向入侵者发动反击行为。这通常是为军事和执法部门保留的权利,这些部门有资源也有权限确认攻击来源并采取适当的行动。
    备注:个人的反击行为可能会触犯当地法律。建议不要私自采取反击行动。

五、主动防御带来的隐患

主要隐患在于主动防御的目的中的第5点——向入侵者发动反击。主动防御的特点之一是通过主动防御系统,被入侵者可以获得入侵者的大部分信息,包括入侵者的地址,入侵的媒介等。主动防御在破环入侵行为的同时,也可以根据收集的有效信息,对入侵者进行反击,从而击退入侵者。当主动防御系统对入侵者进行反击时,虽然是出于安全目的,但是本质上也等同于网络攻击。

也就是说,这些防御方法是否合法,是否达成了社会性的共识是一个问题。换言之,作为安全策略(即反击行为),对入侵者反击的程度的底线在哪里,如果安全策略不合法,则被入侵者可能会被起诉为攻击者,有被认定为犯罪的风险。此外通过防御系统反击入侵行为,也可能会激怒入侵者,从而引发报复行为。

目前没有法律明确定义了防守反击的度量是什么。什么样的情况下可以被认为是正当的安全策略。大家目前只能在模糊的边界来回徘徊。

六、关于主动防御中防守反击的建议

普通用户,包括个人,企业等在应用主动防御系统时,主要使用了主动防御作用中1-4点。在发现计算机系统被入侵的时候,主动防御系统会收集取证入侵者留下来的痕迹,这些痕迹可以作为法律关键证据,用来起诉入侵者。最典型的案例是,1994年,米特尼克向圣地牙哥超级电脑中心入侵,戏弄在此工作的日裔美籍电脑安全专家下村努,并盗走他电脑的文件,还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩,用“电子隐形化”技术进行跟踪,结果1995年米特尼克再次被逮捕。类似的像蜜罐技术和欺骗技术这些是主动防御中的合法行为。很多杀软安全厂商们会在互联网上设置各种类型的蜜罐,用来捕获互联网中的黑客入侵手法,新的病毒和木马。以此来完善他们的防病毒数据库。

特殊用户,包括军方,政府安全部门等启用主动防御系统时,在使用主动防御作用中的1-4点的同时,也会利用主动防御的防守反击。以此来查找入侵者,并对其进行反入侵,破坏黑客们的入侵攻势,甚至通过技术手段反入侵到黑客的电脑中。对于这些特殊用户,他们的这种行为是合法的,军方和政府安全部门是以维护国家安全为目的,因此在法律中他们享有一些权限。或者说有特殊的法律支持他们的反击行为。

七、主动防御在国内外的发展

国内比较著名的主动防御厂商是一个名叫微点的反病毒软件公司。北京东方微点信息技术有限责任公司,简称东方微点,英文名Micropoint。据东方微点在其官网上的介绍,刘旭(东方微点创始人)与其团队“采用'程序行为自主分析判定’技术,于2005年3月,研制成功微点主动防御软件”。微点主动防御软件是北京奥运会开闭幕式运营中心唯一使用的反病毒软件。微点官方声称其“主动防御”技术通过分析程序行为判断病毒,一改过去反病毒软件依据“特征码”判断病毒因而具有的“滞后性”,在防范病毒变种及未知病毒方面具有革命性优势。微点是国际上唯一一款不经升级即能防范“熊猫烧香”病毒的杀毒软件。东方微点的主防在国内称得上屈指可数,但是杀毒能力却一般。

国外知名网络设备供应商思科公司的新一代安全产品中均加入了主动防御系统。根据思科在2019年2月发布的《2019年思科网络安全报告系列 · 威胁报告》[5],下面三种工具中均含有主动防御的功能。

  1. 恶意软件检测和保护技术(例如思科高级恶意软件防护 [AMP])可以跟踪未知的文件,阻止已知的恶意文件,并防止在终端和网络设备上执行恶意软件。

  2. 高级恶意软件检测和防护技术(例如面向终端的思科 AMP)可以防止在终端上执行恶意软件。它还可以帮助隔离、调查和修复受感染的终端,处理绕过最强防御措施的 1% 的攻击

  3. 思科下一代防火墙 (NGFW) 和思科下一代入侵防御系统 (NGIPS) 等网络安全解决方案可以检测试图通过互联网进入网络或在网络中移动的恶意文件。网络可视性和安全分析平台(例如思科 Stealthwatch)可以检测出可能表示恶意软件正在激活其负载的内部网络异常情况。最后,网络分段可以防止威胁在网络中横向移动,并遏制攻击的传播。

其中AMP的构建基于无与伦比的安全情报和动态恶意软件分析。思科 Talos 安全情报和研究团队以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。此数据将从云推送至 AMP 客户端,以便您通过最新的威胁情报,主动防御各种威胁。用户将从以下优势中获益:

  • 每天150万个传入恶意软件样本;

  • 全球有160万个传感器;

  • 每天100TB的数据;

  • 130亿Web请求;

  • 工程师、技术人员和研究人员组成的全球团队;

  • 24小时运行;

八、总结

主动防御一词最早出现在军事用语,后来因为互联网的兴起,互联网安全也愈发受到关注。因为受到技术的原因,早期的互联网安全策略均为被动防御。21世纪初期,国内外防病毒软件厂商们纷纷在自家的杀毒软件中加入主动防御技术。随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展,信息系统安全检测技术对安全态势的分析越来越准确,对安全事件预警越来越及时精准,安全防御逐渐由被动防御向主动防御转变。

一般的,主动防御技术不是单独存在的,它应用于现有的安全系统中。主动防御技术和传统被动防御技术相结合,形成了新一代的安全系统。例如思科公司的下一代防火墙NGFW——Firepower。

与以往的被动安全策略相比,主动防御虽然被认为是有效的安全策略,但法律上或技术上仍存在问题。如果以主动防御的防守反击作用为突破口,用户承认采取过度的安全策略的话,反而有可能有被入侵者倒打一耙的风险。为了今后能有效地利用主动防御技术,不仅需要从技术角度出发,还需要慎重讨论,制定相关的法律规定。

参考文献:
[1]: 主动防御.
[2]: 信息安全工程师笔记关于主动防御与被动防御、主动攻击与被动攻击的分析, 披着文科的技工.
[3]: active defense.
[4]: 2019 年思科网络安全报告系列 · 威胁报告.
[5]: 思科高级恶意软件防护.
[6]: アクティブディフェンスとは?メリットデメリットや今後の展望について徹底解説.

(0)

相关推荐

  • 有效保卫工业控制系统的七个步骤

    美国人得出的结论是:攻击者的能力已被证明,网络事件的频率和复杂性正在持续增加. 以今年的例子来看,美国主要燃油管道运营商殖民管道公司(Colonial Pipeline)遭到了网络攻击,不得不关闭整个 ...

  • 车辆入侵检测与防御系统IDPS介绍

    车辆入侵检测与防御系统IDPS介绍

  • 说起来你可能不信,“一无是处”的长城可把欧洲人坑惨了

    作为我国标志性建筑之一,民间流传"不到长城非好汉"这么一句话,也入选最新的世界"七大奇迹"之一.在2007年之前,世界七大奇迹中是没有中国的万里长城的.世界新七 ...

  • 郭盛华:加强勒索软件防御的三个步骤

    由于对能源部门.食品供应链行业和其他关键基础设施的攻击已成为头条新闻,最近的勒索软件海啸使网络安全专业人士警告的停机和数据丢失的担忧变得栩栩如生. 对于跟踪这种威胁演变的行业专家来说,勒索软件的频率. ...

  • 各个时期景泰蓝特点及真伪鉴定简述

    珐琅器在传入中国后出现了两种分支,一种是源自波斯的铜胎掐丝珐琅,约在元朝传入中国,并在明代开始大量烧制,景泰年间达到了巅峰,因此后世称之为"景泰蓝",这之后景泰蓝就成了铜胎掐丝珐琅 ...

  • 六爻测病用神怎么断,六爻测病六神代表什么,六爻测病断言断卦方法简述。

    ​青龙--酒色虚弱.朱雀--狂言乱语.勾陈--胸满肿胀.螣蛇--坐卧不安.白虎--跌打损伤.玄武--色欲阴虚. 鬼位三爻旺空,腰疾.动而不空,临日,冲克世爻,闪腰. 鬼居间爻,胸膈肿痛.鬼爻持世,原有 ...

  • IS-2重型坦克简述-1

    对抗"虎"式坦克的产物 战争就是这样,敌方出现了一种新兵器,我方就要研制出更新的兵器来对付你.这一点在第二次世界大战期间,表现得尤为突出. 在二战期间中型和重型坦克的较量中,苏联和 ...

  • 简述九星地理水法(辅星水法)

    简述九星地理水法(辅星水法) 1 九星水法的基础理论 1. 九星即:左辅.右弼.武曲.贪狼.巨门.破军.禄存.廉贞.文曲. 2. 依水而立,不与龙相涉.此乃三者合而为一,深得三合联珠之妙用也. 3. ...

  • 范式文字是科学的文字简述之一

    范式文字是科学的文字简述之一 "仰则观象于天,俯则观法于地,视鸟兽之文与地之宜"是需要范式的根源. "近取诸身远取诸物"是范式的来源. "以垂宪象&q ...

  • 一篇文章简述汉族是怎么形成的

    文|寒山忆雪 汉族是中国的主体民族,华夏是他的别名,在某种程度上,华人也是他的代称.汉民族的体量十分庞大,在中国拥有13亿左右的人口,在海外也超过5000万人口,是当之无愧的世界第一大民族. 那么这个 ...

  • 中文是科学的文字简述之二

    中文是科学的文字简述之二 <周易·系辞下>云:"古者包牺氏之王天下也,仰则观象于天,俯则观法于地:观鸟兽之文与地之宜:近取诸身,远取诸物,于是始作八卦,以通神明之德,以类万物之情 ...

  • 一呆解字——干支简述及其合化理论的天文学依据(5)

    书接上回,我们继续说地支六合. 春分日,太阳位于黄经0度,当日戌时,面向北方,对照盘面,可以看到斗杓所指水平镜像(左右翻转)方位为卯,太阳位于奎娄之间,即是戌宫,故卯与戌合. 谷雨日,太阳位于黄经30 ...