主动防御是在入侵行为对计算机系统造成恶劣影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的风险的安全措施。
主动防御也是一种变相的攻击型安全措施(offensive security)。攻击型安全措施的重点是寻找入侵者,计算机系统在某些情况下会使他们丧失入侵能力或者破坏他们的入侵行动。
被动防御是计算机在受到攻击后,受到攻击后,计算机系统采取的安全措施。例如,系统内部的安全审计工具(防火墙或者杀毒软件)扫描或监测出计算机系统内存在木马或者病毒文件,再将它们杀死或者永久删除。修复系统漏洞或者bug也是被动防御。被动防御也是大部分人口中默认的网络安全防御措施。
被动防御技术主要有以下四种:
主动防御和被动防御的区别在于,前者可以提前防范威胁,将潜在的威胁扼杀在摇篮里,后者是计算机在被入侵后被动的采取安全措施。举个简单的例子,对于大部分杀毒软件(以下简称杀软)而言,只能被动的查杀已知病毒。这里的被动的是指,先有新病毒,然后杀软安全厂商提取病毒的特征码后录入到自家的杀软数据库中,最后用户使用杀软对计算机进行查杀病毒。而主动防御是主动捕获流量的变化和程序行为,并对此分析,如果有疑似病毒行为的操作则立刻通知用户进行处理,进而达到将威胁扼杀到摇篮里的目的。
主动防御弥补了传统“特征码查杀”技术对新病毒滞后性的特点。
主动防御主要是对整个计算机系统进行实时监控,能快速捕获网络流量的变化,对程序行为进行分析,禁止一切可疑行为,从而达到保护计算机系统安全的目的。同时主动防御系统也会收集可疑行为的连接计算机的方式(潜在入侵行为)以及其它有用信息(了解入侵者的信息等)。用户可以通过该信息利用一些“攻击”手段来对抗入侵者,使其入侵难以进行。
主动防御技术主要有以下8种:
主要隐患在于主动防御的目的中的第5点——向入侵者发动反击。主动防御的特点之一是通过主动防御系统,被入侵者可以获得入侵者的大部分信息,包括入侵者的地址,入侵的媒介等。主动防御在破环入侵行为的同时,也可以根据收集的有效信息,对入侵者进行反击,从而击退入侵者。当主动防御系统对入侵者进行反击时,虽然是出于安全目的,但是本质上也等同于网络攻击。
也就是说,这些防御方法是否合法,是否达成了社会性的共识是一个问题。换言之,作为安全策略(即反击行为),对入侵者反击的程度的底线在哪里,如果安全策略不合法,则被入侵者可能会被起诉为攻击者,有被认定为犯罪的风险。此外通过防御系统反击入侵行为,也可能会激怒入侵者,从而引发报复行为。
目前没有法律明确定义了防守反击的度量是什么。什么样的情况下可以被认为是正当的安全策略。大家目前只能在模糊的边界来回徘徊。
普通用户,包括个人,企业等在应用主动防御系统时,主要使用了主动防御作用中1-4点。在发现计算机系统被入侵的时候,主动防御系统会收集取证入侵者留下来的痕迹,这些痕迹可以作为法律关键证据,用来起诉入侵者。最典型的案例是,1994年,米特尼克向圣地牙哥超级电脑中心入侵,戏弄在此工作的日裔美籍电脑安全专家下村努,并盗走他电脑的文件,还使用会话劫持技术盗走他网站的流量。后来下村努设立“蜜罐”让米特尼克中计引诱他上钩,用“电子隐形化”技术进行跟踪,结果1995年米特尼克再次被逮捕。类似的像蜜罐技术和欺骗技术这些是主动防御中的合法行为。很多杀软安全厂商们会在互联网上设置各种类型的蜜罐,用来捕获互联网中的黑客入侵手法,新的病毒和木马。以此来完善他们的防病毒数据库。
特殊用户,包括军方,政府安全部门等启用主动防御系统时,在使用主动防御作用中的1-4点的同时,也会利用主动防御的防守反击。以此来查找入侵者,并对其进行反入侵,破坏黑客们的入侵攻势,甚至通过技术手段反入侵到黑客的电脑中。对于这些特殊用户,他们的这种行为是合法的,军方和政府安全部门是以维护国家安全为目的,因此在法律中他们享有一些权限。或者说有特殊的法律支持他们的反击行为。
国内比较著名的主动防御厂商是一个名叫微点的反病毒软件公司。北京东方微点信息技术有限责任公司,简称东方微点,英文名Micropoint。据东方微点在其官网上的介绍,刘旭(东方微点创始人)与其团队“采用‘程序行为自主分析判定’技术,于2005年3月,研制成功微点主动防御软件”。微点主动防御软件是北京奥运会开闭幕式运营中心唯一使用的反病毒软件。微点官方声称其“主动防御”技术通过分析程序行为判断病毒,一改过去反病毒软件依据“特征码”判断病毒因而具有的“滞后性”,在防范病毒变种及未知病毒方面具有革命性优势。微点是国际上唯一一款不经升级即能防范“熊猫烧香”病毒的杀毒软件。东方微点的主防在国内称得上屈指可数,但是杀毒能力却一般。
国外知名网络设备供应商思科公司的新一代安全产品中均加入了主动防御系统。根据思科在2019年2月发布的《2019年思科网络安全报告系列 • 威胁报告》[5],下面三种工具中均含有主动防御的功能。
其中AMP的构建基于无与伦比的安全情报和动态恶意软件分析。思科 Talos 安全情报和研究团队以及 AMP Threat Grid 威胁情报源代表了行业领先的实时威胁情报和大数据分析集合。此数据将从云推送至 AMP 客户端,以便您通过最新的威胁情报,主动防御各种威胁。用户将从以下优势中获益:
主动防御一词最早出现在军事用语,后来因为互联网的兴起,互联网安全也愈发受到关注。因为受到技术的原因,早期的互联网安全策略均为被动防御。21世纪初期,国内外防病毒软件厂商们纷纷在自家的杀毒软件中加入主动防御技术。随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展,信息系统安全检测技术对安全态势的分析越来越准确,对安全事件预警越来越及时精准,安全防御逐渐由被动防御向主动防御转变。
一般的,主动防御技术不是单独存在的,它应用于现有的安全系统中。主动防御技术和传统被动防御技术相结合,形成了新一代的安全系统。例如思科公司的下一代防火墙NGFW——Firepower。
与以往的被动安全策略相比,主动防御虽然被认为是有效的安全策略,但法律上或技术上仍存在问题。如果以主动防御的防守反击作用为突破口,用户承认采取过度的安全策略的话,反而有可能有被入侵者倒打一耙的风险。为了今后能有效地利用主动防御技术,不仅需要从技术角度出发,还需要慎重讨论,制定相关的法律规定。
参考文献:
[1]: 主动防御.
[2]: 信息安全工程师笔记关于主动防御与被动防御、主动攻击与被动攻击的分析, 披着文科的技工.
[3]: active defense.
[4]: 2019 年思科网络安全报告系列 • 威胁报告.
[5]: 思科高级恶意软件防护.
[6]: アクティブディフェンスとは?メリットデメリットや今後の展望について徹底解説.