信息來源：安全內(nèi)參

對付新冠病毒最有效的方法是隔離，對付網(wǎng)絡(luò)犯罪同樣如此。

近日，Critical Stack的CTO和聯(lián)合創(chuàng)始人Dustin Webber在《福布斯》撰文指出，網(wǎng)絡(luò)安全出現(xiàn)了一個似曾相識的新概念——隔離（isolation）有望將網(wǎng)絡(luò)犯罪預(yù)防提升到一個新的水平。該方法類似于將可能包含炸彈（惡意軟件、勒索軟件、間諜軟件等）的包裹（有效載荷）帶到一個安全隔離的區(qū)域，無論該包裹有多大的殺傷力，都可安全引爆。

訣竅是研究爆炸過程并將其重新組合在一起以獲取更好的情報。這個概念類似于大型強子對撞機（LHC）背后的技術(shù)。大型強子對撞機通過將粒子高速撞擊分解來查看粒子內(nèi)部信息。安全研究人員在運行各種操作系統(tǒng)的隔離計算機中以相同方式運行有效負(fù)載并對其進(jìn)行研究。

“隔離”之所以被業(yè)界(重新)重視，是因為當(dāng)下的網(wǎng)絡(luò)安全措施難以應(yīng)對當(dāng)前發(fā)生的大量勒索軟件和惡意軟件攻擊，業(yè)界需要一種更好的預(yù)防（而不是過分依賴檢測和響應(yīng)）方法。最近對1200名安全決策者進(jìn)行的一項調(diào)查顯示，企業(yè)平均部署了76種不同的網(wǎng)絡(luò)犯罪預(yù)防方案。盡管如此，82%的受訪者表示，他們遭遇的安全事件繞過了現(xiàn)有的安全控制措施。

主要問題是惡意軟件作者正變得不但“藝高”而且“膽大”。他們不斷想出新的方法來逃避檢測和遏制系統(tǒng)。今年前五個月，獨立IT安全機構(gòu)AV-TEST檢測到4443萬種新的惡意軟件，全球惡意軟件總數(shù)超過13億。

誠然，網(wǎng)絡(luò)安全系統(tǒng)的供應(yīng)商正忙于設(shè)計對策，其中許多對檢測和響應(yīng)是有效的，至少在一段時間內(nèi)是這樣。但在這場持續(xù)不斷的攻防戰(zhàn)中，惡意軟件作者必然會贏得一些戰(zhàn)斗——這可能意味著災(zāi)難。根據(jù)一份報告，2021年，勒索軟件攻擊的平均支出為54萬美元，許多公司除了支付外別無選擇。

隔離從瀏覽器開始

關(guān)鍵是，如果讓惡意軟件溜進(jìn)計算機，則為時已晚。而且由于絕大多數(shù)惡意軟件將瀏覽器作為部署其惡意負(fù)載的重要方式，因此瀏覽器是設(shè)置障礙和隔離的第一道防線。

為了成功實施瀏覽器隔離，需要在每臺計算機上部署能夠初步篩選的安全應(yīng)用程序（代理或傳感器），因為計算機環(huán)境安全離不開系統(tǒng)安全。

但是“代理”或“傳感器”的名聲并不好，因為老一代代理和傳感器產(chǎn)生了網(wǎng)絡(luò)開銷、部署過程復(fù)雜并且難以管理。今天，這些問題已經(jīng)基本解決或者不再構(gòu)成障礙。

在隔離系統(tǒng)中，計算機上的應(yīng)用程序攔截每個需要調(diào)用瀏覽器和點擊事件的協(xié)議，讓有效負(fù)載通過，或?qū)⑵浒l(fā)送到與網(wǎng)絡(luò)完全隔離的云端隔離虛擬機。如果一個URL被解析為一個可下載的文件，它將被進(jìn)一步測試并被允許傳送到瀏覽器或被隔離。順便說一句，雖然這個過程聽起來很復(fù)雜，但所涉及的預(yù)處理和后處理速度足夠快，以至于用戶不會注意到它。

清零策略

隔離是一種高度謹(jǐn)慎的方法，只有確保安全的活動才能繼續(xù)進(jìn)行。除非測試結(jié)果是“陰性”，否則隔離的會話會始終留在隔離區(qū)。對于大多數(shù)場景來說，默認(rèn)拒絕策略應(yīng)該是通用的。

對于任何關(guān)注勒索軟件和其他惡意軟件的公司來說，隔離都是一種適用的技術(shù)。下面是一些成功秘訣：

• 確保覆蓋了所有計算機設(shè)備。缺乏覆蓋是安全軟件普遍存在的問題，隔離也不例外。

• 確保您的用戶了解系統(tǒng)的工作原理。這并不難，因為實際上沒有學(xué)習(xí)曲線。

• 控制每個在公司計算機系統(tǒng)上安裝的新軟件。每個新軟件都是一個新的攻擊媒介。

鑒于攻擊面的急速膨脹和網(wǎng)絡(luò)犯罪分子對網(wǎng)絡(luò)滲透的不遺余力，一種新的預(yù)防（而不是檢測）方法當(dāng)然值得探索。是時候開始思考為什么我們熱衷于檢測入侵而不是預(yù)防入侵。