Fortinet:用用户信誉系统防御新型网络犯罪

  【天极网网络频道】当前，网络犯罪的性质正在发生变化，攻击不仅针对政府、军队和大型企业，每个单位都可能成为潜在的目标。网络犯罪者对各种现成、廉价的攻击工具手到擒来，所有规模的企业都因各种原因成为被攻击的对象，从窃取经济利益到获得竞争优势，甚至是纯粹为了娱乐。

  具有高度针对性的攻击如今已司空见惯，打击网络犯罪的方法也必须发生根本性的变化。复杂、专业、隐蔽、危害严重的高级持续性攻击(APT)对企业的安全部署提出了更高的要求。大量企业在遭受APT攻击后，甚至没有任何察觉，更不用说对其进行有效防御了。APT攻击者使用极端隐蔽且狡猾的方式绕过安全检测，恶意的payload(载荷)能避开传统的防御方法，仅仅基于特征检测的安全技术已远远不够了。

  现在的恶意软件只需要一个切入点，通过简单的技巧，便可侵入目标系统。例如，许多成功的攻击案例，都利用了针对某个雇员精心设计的包含恶意链接的电子邮件。一旦该雇员点击，他就成为了APT攻击的漏洞，且恶意软件可以通过休眠或极其小心地通信来避开检测。

  那么，企业如何与这样诡异精巧、以游击战见长的APT攻击做斗争？如何在网络被危及之前洞察攻击的蛛丝马迹？

  用户信誉评分系统就是一种在网络犯罪的渗透过程中，及时地发现并防御安全威胁的方法。 用户信誉评分系统是一种动态技术，它从网络中收集各种安全信息，进行聚合和关联，并将其与现有的安全基线做对比。网络用户的“信誉”评估，类似于银行通过贷款申请人的信用记录来对风险进行评估。

  以下是影响用户信誉评分的主要几类网络活动：

  失败的连接尝试

  失败的连接尝试可能意味着恶意软件正试图连接到一个不存在的主机，因为恶意软件的控制者为了逃避检测已修改了自己的地址。当然，一个主机不可用也存在合理的可能性，但是重复地连接失败将会产生一个负面的评分。

  应用程序威胁

  通常一台安装了P2P应用的主机要比安装了游戏程序的主机安全风险更高。虽然这两种行为都可能有问题，但企业可对不同应用或网络行为设定不同的权重，从而获得相应的风险评分。

  地理信息

  频繁访问敌对国家或组织的网络，可能存在较大的安全风险。当然，这项功能也需要结合白名单来排除对已知站点的误报。

  IP会话信息

  一台典型的内网PC通常应该是主动发起会话连接。如果一台PC开始监听某个端口，接受来自外网的连接，便可被视为可疑或危险的活动。

  网站分类

  访问某些类型的网站，如黑客网站，应被视为有风险的活动并获得相应的评分。

  通过不断跟踪网络使用者的行为并累计评分，安全异常或危险将被浮现出来，接受安全管理员的调查分析，避免严重安全事件的发生。用户信誉评分系统也可设置报警阈值，从而在第一时间通知安全管理员，以便更好地控制和防御。

  Fortinet公司在其最新的安全操作系统FortiOS 5.0中，增加了先进的用户信誉评分系统。通过Fortinet公司强大全面的多功能安全引擎(包括访问控制、病毒防御、入侵防御、内容过滤、应用控制等)，从海量安全事件中挖掘关键信息，进行提炼汇总，帮助安全管理员获得更精确的网络安全态势分析及掌控能力。