——訪網康科技執行副總裁左英男

光明網記者 張蕾

　　第二屆國家網絡安全宣傳周公眾體驗展日前在中華世紀壇舉行。其中，網康科技關于“云管端”下一代網絡安全架構的理念與實踐引起業界高度關注。在網康科技執行副總裁左英男看來，傳統安全防護并非毫無價值，但應該用下一代安全方法論重新審視目前所面臨的未知威脅，因為“安全問題永遠是人與人之間的智力對抗，只是下一代網絡安全架構提供了主動對抗的手段”。

　　記者：網絡安全公司卡巴斯基2015年2月的一份分析報告顯示，黑客組織Carbanak在兩年內連續攻擊了俄、烏、白等30多個國家的金融機構，造成損失達10億美元，引發俄羅斯銀行業恐慌。黑客到底采用了何種高超的攻擊手法呢？

　　左英男：黑客采用的是典型的APT攻擊手法：一開始向目標機構的普通職員發送電子郵件，并把發件人偽裝成俄羅斯聯邦中央銀行，誘使他們打開一個包含惡意軟件的附件；突破職員電腦后，黑客會以此為跳板進行滲透平移，找到并攻陷掌握銀行交易權限的高級管理人員；通過在管理人員的電腦植入木馬程序，記錄鍵盤敲擊信息，并每隔20秒鐘進行截屏，源源不斷地傳送到遠端控制服務器，分析得到合法賬號、密碼以及系統操作流程，冒充合法賬號成功轉移資產。

　　盡管俄羅斯警方幾年前已經逮捕了8名犯罪團伙成員，但攻擊并未停止。2015年5月，攻擊目標已經指向俄羅斯安全局，意在嘲諷挑釁。

　　記者：被攻擊機構采取了較完整、先進的網絡安全防護措施，為什么還是被輕易突破？

　　左英男：傳統的網絡安全理論基于兩個核心模型——PPDR防護模型（即Policy安全策略、Protection保護、Detection檢測和Response響應）和安全邊界模型。前者假設信息資產面臨的風險可以充分評估預知，然而這種假設在0-day（即時攻擊）攻擊和APT（高級持續性威脅）攻擊面前完全失效；后者認為網絡有固定的邊界，只要做好邊界防護就高枕無憂，但業務的云化以及移動化使得邊界被拉伸甚至模糊。因此，傳統安全方法論是靜態、被動的，是一種防御性思維，已不適應信息產業架構的變化。

　　記者：傳統的安全模型失效了，目前有沒有更好的安全模型來替代呢？

　　左英男：更好的安全模型應該是PDFP模型（Prediction預測、Detection檢測、Forensics取證、Protection防護），即假設IT系統存在無法預估的風險，甚至認為攻擊已經發生只是人們尚未感知，此時必須進行動態檢測，把異常的人員、行為、應用、內容等日志信息實時匯集到云分析中心，通過跨時空的大數據分析，迅速判定攻擊并進行過程溯源，從而實施對抗策略。這個過程是動態的、主動的，是一種對抗型思維。

　　記者：“云管端”下一代網絡安全架構是怎樣的？

　　左英男：云管端聯動能夠很好地支撐PDFP安全模型，是我們率先踐行的下一代網絡安全架構。在終端設備（包含桌面和移動）部署殺毒與管控策略，對于不識別的灰度文件，實時通過云檢測獲得分析結果，第一時間更新本地防護策略。此外，終端無論訪問內網資源還是互聯網，都需要與邊界設備聯動，進行嚴格的準入準出控制；網絡邊界除了部署對外的防護設備（下一代防火墻、上網行為管理等），還應在內網部署行為審計設備，加強內部違規行為管理。網康云主要是提供云沙箱、云查殺、云信譽評估引擎，除了對惡意文件進行研判，還針對所有終端和邊界設備上傳的異常日志進行大數據分析，將威脅情報實時下發終端與邊界設備，實現云管端智能協同、主動防御。

　　對于俄羅斯銀行大劫案APT攻擊，如果采用上述新的防護模型，無論是郵件誘騙階段、內部滲透平移階段，還是關鍵信息外發遠程命令與控制服務器階段，通過云管端的智能協同，都有機會發現并終止攻擊行為。