引言

為應(yīng)對(duì)常見(jiàn)的安全風(fēng)險(xiǎn)（如非法訪問(wèn)、網(wǎng)絡(luò)惡意攻擊、網(wǎng)絡(luò)數(shù)據(jù)泄露、網(wǎng)絡(luò)病毒、非法外聯(lián)、違規(guī)外設(shè)接入、勒索軟件、終端非授權(quán)使用等），往往會(huì)針對(duì)性部署防火墻、主機(jī)入侵檢測(cè)/入侵防御系統(tǒng)、終端檢測(cè)和響應(yīng)［1］(Endpoint Detection and Response，EDR)、惡意代碼查殺、主機(jī)安全管理系統(tǒng)、主機(jī)外設(shè)管控系統(tǒng)、基于電子鑰匙的身份認(rèn)證等安全措施。

當(dāng)前安全防護(hù)措施的處置過(guò)程，以網(wǎng)絡(luò)數(shù)據(jù)泄露為例，如圖1所示，主要包括：

（1）針對(duì)安全風(fēng)險(xiǎn)（已知漏洞）；

（2）部署安全措施（特征匹配、主動(dòng)檢測(cè)）；

（3）檢測(cè)發(fā)現(xiàn)安全事件；

（4）安全響應(yīng)處置。

現(xiàn)有安全防護(hù)機(jī)制是典型的以現(xiàn)象和結(jié)果作為切入點(diǎn)，其存在如下問(wèn)題：一是始終無(wú)法有效防范APT［2］攻擊，特別是對(duì)基于0day漏洞［3］的未知攻擊往往無(wú)法實(shí)現(xiàn)有效防護(hù)；二是多重安全機(jī)制導(dǎo)致防護(hù)性能低下，已影響當(dāng)前安全產(chǎn)品廣泛應(yīng)用推廣；三是多維度安全檢測(cè)數(shù)據(jù)難以融合分析，異構(gòu)安全數(shù)據(jù)的關(guān)聯(lián)分析一直是困擾安全檢測(cè)有效性與準(zhǔn)確性的核心理論問(wèn)題；四是安全檢測(cè)與攻擊規(guī)避對(duì)立問(wèn)題［4］，當(dāng)前安全檢測(cè)未充分考慮攻擊規(guī)避對(duì)抗，導(dǎo)致檢測(cè)措施可被攻擊方規(guī)避繞過(guò)［5］，從而造成檢測(cè)失效。

從目前攻防對(duì)抗發(fā)展趨勢(shì)來(lái)看，安全風(fēng)險(xiǎn)的“日新月異”導(dǎo)致安全防護(hù)的“無(wú)邊擴(kuò)展”，而這種應(yīng)對(duì)式無(wú)序發(fā)展，造成的結(jié)果就是終端上安全軟件堆砌、安全防護(hù)系統(tǒng)整體運(yùn)行效能低下，終端安全對(duì)抗一直處于“道高一寸，魔高一尺”的追趕局面。

圖1以數(shù)據(jù)泄露為例當(dāng)前攻防檢測(cè)與反制措施分析

其產(chǎn)生的原因在于：目前安全防護(hù)機(jī)制是“以現(xiàn)象為切入、以工程思維進(jìn)行分析、亡羊補(bǔ)牢式的”安全防護(hù)。本文針對(duì)當(dāng)前安全防護(hù)“頭痛醫(yī)頭，腳痛醫(yī)腳”、治標(biāo)不治本、未從安全防護(hù)本質(zhì)上來(lái)解決問(wèn)題的不足，從安全攻防內(nèi)在機(jī)理上進(jìn)行溯源分析，從根本上分析安全威脅的成因。即要克服現(xiàn)有終端安全機(jī)制的弊端，需要轉(zhuǎn)變方法思路，從清本溯源角度來(lái)解決終端安全防護(hù)問(wèn)題。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://m.jysgc.com/resource/share/2000006263

作者信息：

祝林，鄔江，劉克斌，鐘杰

（中電長(zhǎng)城網(wǎng)際安全技術(shù)研究院（北京）有限公司，北京100097）