实战 | 对抗外部威胁防护和勒索病毒,大厂怎么做?

2020 年 7 月 14 日 CSDN

作者 | 杨秀璋,责编 | 夕颜
来源 | CSDN博客
头图 | CSDN付费下载自视觉中国

这篇文章作者将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。


分享之前,作者先感谢深信服的老师和B站UP主漏洞银行大佬,这篇文章包括了大量高级可持续威胁的防御技术,既可运用于科学研究,又可用于实战,并且提供了丰富的思想,再次感谢他们,后续作者会结合实战技术深入理解这些方法,包括基于人工智能的检测和基于词法语法的样本分析。


声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。


网络安全面临的挑战


现在市面上各种勒索病毒、利用服务器资源进行比特币挖矿的病毒、数据库脱裤越来越多。那么,这些外部威胁如何防护呢?深信服老师讲述了《面向外部威胁防护视角的敏捷安全架构》,解决这些安全问题。


首先,介绍几个典型的网络安全事件,包括平昌冬奥会开幕式网站被攻击、中国企业被美俄两国黑客攻击、台积电遭到勒索病毒攻击等等。同时,看到了医疗行业被勒索、思科设备存在高危漏洞、国际黑客攻击我们的系统。



安全事件频发的今天,我们从中分析下为什么会出现这样的状况呢?下图展示了安全事件的演变流程。


  • 早期90年代(恶意代码):国内90年代爆发的是僵尸、木马、蠕虫,包括熊猫烧香这种病毒不断扩散我们的网络。早期是以恶意代码的方式进行的网络攻击,通过简单IP端口、协议、通信机制等网络要素就能隔离传播途径。

  • 互联网时代(应用层威胁):2000年之后进入互联网时代,基于Web的B\S架构的开发越来越多,该阶段衍生出很多面向应用层的高级别威胁,比如通过邮件附件、文件、社交媒体等带来大量病毒入侵企业。此时,仅仅通过IP端口和协议不在适用,如果不能检查其内容会有很多潜藏的病毒,安全事件逐渐向高层次发展。

  • 棱镜门事件(高级可持续):国内比较重视安全是2013年棱镜门事件爆发之后,美国很多年以前就开启了监控计划,棱镜门是把它暴露到了全世界的视角下,我国也做了很多安全措施,包括赛门铁克撤出、政府采购等。国家武器库在该时期也走进了全世界视角,包括利用永恒之蓝、0DAY漏洞去攻击我们的核心系统等,也会看到高持续的威胁,包括社会工程的变化。


利益驱动网络空间威胁不断进化,攻防态势已从已知威胁的防御,升级到对未知威胁甚至高级威胁的对抗。APT网络攻击融合了隐蔽隧道、病毒变种、攻击混淆等技术。




接着看看企业安全建设的情况,安全问题主要包括两方面:


  • 安全暴露面多:现在外部威胁和攻击手法越来越多,包括扫描渗透、邮件传播、社会工程、高危漏洞、恶意软件、0day漏洞、U盘传播等。同时,为了对外提供更加精准的服务和营销,业务和数据变得越来越集中,业务开放之后安全暴露面也不断扩大,会产生更大的安全风险。

  • 被动响应式防御:企业面临的现状是安全人员并不一定能够把当前攻防趋势研究透彻,安全人员会维护各种各样的安全设备,比如Web安全、数据库安全、终端安全等,海量日志充满了噪声,只能通过被动响应式的威胁防御。

随之而来的是企业的安全运营工作开展困难,包括统一运营能力缺失、洞悉风险能力缺失、快速响应能力缺失等。当前很多企业并没有这种设备统一管理以及日志统一分析能力,不能有效地聚合成一个安全事件,从而错过最佳的营救时间。


如何有效应对挑战?


针对上述问题,当前客户面临的安全问题从外至内如下图所示,其中大部分问题都来自于网络和端点,故分为网络安全问题和终端安全问题。包括:


  • 访问控制:对外部互联网主机无法进行有效隔离控制,缺乏访问控制等基本手段。

  • 入侵防御:对操作系统、数据库、Web服务等存在的漏洞利用行为无法有效防御。

  • 业务保护:针对业务服务器的攻击,如非法扫描、数据注入、后门植入等攻击无法有效防御。

  • 网站监测:无法持续监测网站篡改、挂马、黑链、漏洞等事件,需要管理员三班倒监控风险。

  • 勒索病毒:无法在网络流量测防御来自邮件、FTP、SMB协议传输,导致的勒索病毒入侵行为。

  • 未知威胁:本地无法识别的未知文件、未知连接、未知域名直接放心,导致内网受到严重危害。

  • 行为监控:内部员工通过U盘、即时通讯等将病毒带入企业内部,无法有效根治。

  • 威胁隔离:受感染主机会快速将病毒扩散到其他内网主机,导致损失进一步扩大。

  • 环境兼容:企业采用虚拟化技术来提供虚拟桌面,虚拟桌面缺乏有效防御威胁的手段。

  • 终端防御:对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御。


深信服提出了如下的建设思路:


(1) 安全需要纵深保护


加强安全基础性保障建设,通过设备间协同联动在防御机制上形成合力,包括网络保护、终端安全、协同联动。你可能会疑惑?我们企业购买了防火墙,是不是就意味着安全。其实,买了防火墙只是做了访问控制,买了终端只是做了静态的病毒库,而且更新不具有时效性,这种情况应对现在变化的网络很难有效,所以提出了协同联动的机制,网络和终端通过信息共享,威胁情报互换充分二次校验威胁。


以勒索病毒为例,为什么传统的防护方案总是呢?


  • 第一步,外网到内网的传播

首先在攻击手段上就有很多方式,包括钓鱼邮件、水坑站点、捆绑下载等。


  • 第二步,安装与C&C通信

当我们勒索病毒在我们的服务器爆发之后,它通常都会和互联网的主控台建立反向连接,我们称为C&C互联。接着互联网主控台就会下发一些恶意指令,比如加密文件、回传信息、病毒特征掩饰等。


  • 第三步,漏洞利用提权/加密勒索

程序开始在系统中释放,包括很多操作系统提权操作、代码混淆等。


  • 第四步,横向持续扩散

接着横向传播感染更多的服务器,包括RDP爆破、蠕虫式传播等。


所以传统防火墙如果只是做了业务层的访问控制,杀毒仅覆盖已知的病毒库,那很可能方案是失效的。


(2) 安全需要快速处置


第二个主要是安全管理的能力,包括攻击开始、停留时间、响应时间等检测。从扫描入侵开始,如果设备安全能力较足,越早发现越好。同时,从识别到响应也需要一定时间,比如样本提取、样本分析等。威胁清除方法包括:登录防火墙查看安全日志、判断威胁等级及严重性、定位疑似IP及电话询问用户、病毒扫描及定位威胁和事件。如何更好、更快的检测威胁尤为重要。


(3) 安全需要能力不断升级,对抗APT风险


虽然网络设备和端点设备非常依赖样本特征,但如何保障企业限有投资应对未来未知的威胁也非常重要。基于大数据提供动态变化的威胁情报,应用多种创新技术手段加强抵御外部不断变化的高级威胁,包括预测、防御、响应和检测。


举个例子,我本地看到一个IP,我不知道它是好是坏,但是我把这个IP传到云端,云端通过庞大的威胁校验机制判断该IP来自哪个国家、曾经攻击过哪个企业、IP关联的黑客家族、文件样本等。云端把IP信息告诉本地设备,从而确定该IP有害并加入黑名单,通过本地设备和云端实时互联,提高威胁情报检测能力,也是当前业界比较热门的方向。


当然威胁情报提炼会有各种技术,包括人工智能技术、流量分析技术、僵尸网络检测引擎等,最终企业面对勒索病毒、挖矿病毒、0day漏洞等高危攻击,可以持续的利用云端大数据情报进行应对。

简单总结下该部分,深信服公司提出了三点概念用于安全体系建设,包括:


  • 纵深保护

  • 快速处置

  • 能力升级


深信服安全建设之道


具体的建设过程提出了“网络+终端+云端”的体系化建设思路。通过网络终端实现纵深保护,云端和本地结合可视化展现风险及快速处置,并升级能力进行有效保护。日志可以统一发送给云端平台,云端再进行日志分析洞悉威胁,定位位置并给出处理建议。


下图展示了网端云如何保障安全的框架,整个统一安全能力中心包括设备管理、数据分析和威胁处置,结合端点和网络进行双向溯源、智能联动的安全保护,具体能力涉及:


  • 安全规则更新

  • 全球威胁情报查询

  • 勒索病毒响应

  • 云端沙箱监测分析

1.网的保护


使用下一代防火墙进行网的保护(L2-L7层网络风险全面防御),具体内容包括:


  • 响应:联动EDR清除终端病毒、联动封锁攻击源

  • 检测:黑链检测、Webshell后门检测、失陷主机检测模

  • 防御:Web应用防护、入侵防御模块IPS、SAVE防病毒引擎、URL过滤及应用特征识别、ARP欺骗防御及DDoS防御

  • 预防:误配置、弱口令、漏洞检查、资产梳理、端口开放检查

优势如下:


  • 优势一:基于人工智能的网络防病毒能力


通过人工智能有监督学习、无监督学习自动化地监控病毒的微小变化,包括主流及热点病毒防御、人工智能算法抵御未知病毒、不依赖特征更新和资源占用小。

优势二:全面的Web防御能力


针对Webshell、网页木马、目录遍历、SQL注入、XSS攻击、跨站请求伪造等各种攻击防御,从而防止企业数据泄露、网页篡改、行政处罚、信誉受损。之前的检测方法是在SQL语句中寻找静态特征,但会存在很多误判或漏判的情况,目前采用 基于语法词法分析的算法,从代码的执行含义层面进行分析,从而进行精确判断。

优势三:失陷主机的全面检测


我们的服务器在部署防火墙之前,可能有病毒潜伏了很多年,定期偷改数据。如果能在网络侧构建一个反方向的连接流量,由于所有执行指令都需要跟外部主控台做连接,如果能在防火墙或流量侧捕获到这种恶意连接,就表示成功了。 


勒索病毒中招不是最可怕的,最可怕的是它会不断高频回联,定期偷数据或进行恶意指令加密服务器的文档。我们可以基于连接的频率、连接的时段进行检测,比如夜间突然连接频率增大,并且连接国外的服务器,此时就表示主机已经失陷,此时需要在网络侧定义很多域名,告诉终端产品并找到异常进程,最终杀掉该进程即可防御。采用基于网络流量分析及智能算法,持续监测网络异常风险。


2.端的保护


智能检测提供全面的终端保护,具体内容包括:


  • 响应:文件修复、一键隔离风险、溯源分析

  • 检测:病毒全局抑制机制、文件实时监控及主动扫描

  • 防御:恶意程序诱捕及病毒防扩散、勒索及挖矿变种防护、常规及高危病毒防护、东西向微隔离(主机访问控制)

  • 预防:补丁管理及基线检查



优势一:全面的终端病毒防御能力


评价一款杀毒的好坏主要包括两个指标——病毒检出率、病毒误报率。深信服人工智能杀毒引擎SAVE创新人工智能无特征技术,能准确检测未知病毒,并且其代码执行的病毒检出率较高。



优势二:东西向微隔离动态防御技术


病毒和蠕虫通常会传播感染,而东西向访问控制,可以基于主机间访问控制进行主机隔离。



优势三:病毒诱捕及全局抑制


这是另一个创新,会在操作系统的关键路径放置一些伪造的疑似样本,如果鱼钩文件被加密,就认为勒索病毒上钩,把加密的进程特征进行提取,并告知终端管理平台,从而向EDR终端客户端传达,只要发现具有该特征的样本就是勒索病毒。实现单点检测和全局抑制。




3.云的赋能


云端产品具有网端安全赋能、智能安全运营,具体内容如下:


  • 能力实时更新:安全规则更新、云端沙箱监测、全球情报联动、动态引擎更新、动态实时赋能

  • 智能安全运营:统一运维管理、微信告警闭环、统一分析展示、专家在线分析、网端日志聚合



优势一:统一分析与展示信息


在运营侧,会统一分析与展示信息,安全专家和设备都会做相关的分析。架构如下图所示:


具体效果如下图所示,包括核心资产、安全概括、外部攻击等。


最后是威胁事件的概括,包括外部攻击事件、内部脆弱性事件等。



优势二:网端云协同举证、一键处置、智能免疫,简化安全运营


以勒索病毒为例,首先服务器会计算夜间外连多少次,以及手段、模式和IP来自的国家;网络侧会定位域名,推送给终端,终端关联发起域名进程的文件,接着进行反向追溯。



云端大数据会鉴别疑似和有害的域名、进程,从而构建风险标签,比如某个进程对应的是可能木马。



最后进行一键查杀,保证企业安全。




优势三:风险快速处置闭环


由于安全人员不会实时盯着系统,对于安全事件,我们会和微信端或APP结合,快速处置风险。


平台闭环和微信推送相关事件,从而处理掉异常进程。

同样,黑色链接也可以进行网站下线,僵尸网络通信行为也可以隔离。


优势四:统一运维管理


包括设备管理大屏幕、智能监控、智能告警、报表分析、远程接入等。

优势五:动态实时赋能


依赖各种社区和平台进行未知威胁动态监测,安全规则更新,包括融合Virustotal、火绒安全、CNVD、瑞星等安全厂商的情报。

和传统对抗手段的效果对比如下图所示:



版权声明:本文为CSDN博主「Eastmount」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/Eastmount/article/details/105808305


更多精彩推荐

☞Python 编程语言的核心是什么?

☞新一代视频编解码标准正式公布!

B 站 Up 主自制秃头生成器,独秃头不如众秃头?

干货!仅有 100k 参数的高效显著性检测方法

看完这篇 HashMap ,和面试官扯皮就没问题了

密码学应用的四个进化阶段 | 博文精选

点分享
点点赞
点在看
登录查看更多
0

相关内容

专知会员服务
125+阅读 · 2020年8月7日
事件知识图谱构建技术与应用综述
专知会员服务
148+阅读 · 2020年8月6日
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
银行大数据风控平台的建设要点与应用
DBAplus社群
5+阅读 · 2019年10月10日
“出奇制胜”的“欺骗防御”之术
E安全
7+阅读 · 2019年7月6日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
面对信用卡欺诈,AI 能做些什么?
雷锋网
4+阅读 · 2018年2月12日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Deflecting Adversarial Attacks
Arxiv
8+阅读 · 2020年2月18日
Two Stream 3D Semantic Scene Completion
Arxiv
4+阅读 · 2018年7月16日
VIP会员
相关VIP内容
专知会员服务
125+阅读 · 2020年8月7日
事件知识图谱构建技术与应用综述
专知会员服务
148+阅读 · 2020年8月6日
最新《Deepfakes:创造与检测》2020综述论文,36页pdf
专知会员服务
62+阅读 · 2020年5月15日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
报告 | 2020中国5G经济报告,100页pdf
专知会员服务
97+阅读 · 2019年12月29日
相关资讯
银行大数据风控平台的建设要点与应用
DBAplus社群
5+阅读 · 2019年10月10日
“出奇制胜”的“欺骗防御”之术
E安全
7+阅读 · 2019年7月6日
大数据安全技术浅析
计算机与网络安全
14+阅读 · 2019年4月24日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
面对信用卡欺诈,AI 能做些什么?
雷锋网
4+阅读 · 2018年2月12日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Top
微信扫码咨询专知VIP会员