自“WannaCry”勒索病毒爆發以來,慢慢淡出視線的病毒問題又開始在各企事業(ye) 單位大麵積肆虐,據國家互聯網應急中心發布的2018年度安全態勢報告統計,CNCERT 捕獲勒索軟件近 14 萬(wan) 個(ge) ,全年總體(ti) 呈現增長趨勢,重要行業(ye) 關(guan) 鍵信息基礎設施逐漸成為(wei) 勒索軟件的重點攻擊目標,其中,政府、醫療、教育、研究機構、製造業(ye) 等行業(ye) 成為(wei) 重災區。如何有效進行防範病毒成為(wei) 網絡安全工作中亟待解決(jue) 的難題。本文旨在通過對病毒關(guan) 鍵問題的分析,幫助用戶更全麵梳理病毒防禦體(ti) 係的建設思路,同時提出銳捷網絡病毒定位防護全流程解決(jue) 方案。
問題一:為(wei) 什麽(me) 這兩(liang) 年病毒在各重點行業(ye) 大麵積爆發?
對於(yu) 病毒攻擊者來說,核心訴求是利益獲取。以往的病毒攻擊事件,大部分以數據盜取為(wei) 主,同時通過數據倒賣等手段進行變現。受限於(yu) 數據精準獲取及變現渠道限製,更多以單點安全事件為(wei) 主,很難形成規模爆發效應。而近幾年隨著虛擬貨幣的興(xing) 起,病毒攻擊變現變得非常簡單和隱蔽,攻擊者隻要掌握了資源的可用性,就可以借助網絡貨幣快速變現,巨大利益驅使下導致以“勒索病毒”、“挖礦病毒”為(wei) 代表的病毒不斷蔓延。
問題二:為(wei) 什麽(me) 有殺毒軟件、IPS、防火牆等安全防護措施,病毒依然泛濫?
殺毒軟件、IPS、防火牆等傳(chuan) 統防護手段,雖然必不可少,但均屬於(yu) 以特征庫為(wei) 核心的被動防護方案,在病毒防護的實際應用場景中,麵臨(lin) “時效、單點、溯源”三大核心問題。
1、防護時效的滯後
基於(yu) 特征庫的防禦手段,對於(yu) 病毒的防禦均會(hui) 經曆:① 新病毒出現② 樣本采集 ③ 廠商解讀④特征提取⑤ 特征庫更-⑥ 用戶端更新 ⑦ 病毒檢測與(yu) 查殺,七個(ge) 步驟。這個(ge) 周期一般在數小時至數天之間。時效的天然滯後性,在應對頻繁變種病毒時效果往往不盡如人意。據CNCERT統計,2018年全年勒索軟件 GandCrab更新了19 個(ge) 版本,且由於(yu) 勒索病毒性質的特殊性,一旦被感染,即使後續特征庫更新,也可能造成無法彌補的損失。
另外受限於(yu) 用戶網絡環境中,各廠商特征庫差異、設備無法聯網、更新授權過期等各種因素限製,即使是已知病毒也會(hui) 造成嚴(yan) 重傷(shang) 害。以爆發兩(liang) 年多的WannaCry首個(ge) 版本病毒為(wei) 例,在2019年很多的用戶網絡中依然被發現,這讓人們(men) 意識到僅(jin) 僅(jin) 依靠傳(chuan) 統被動防禦方案已經無法滿足日益突出的病毒防護需求。
2、單點防護,體(ti) 係薄弱
在多數的用戶網絡中,常常以部署殺毒軟件為(wei) 唯一的病毒方案措施。銳捷認為(wei) ,殺毒軟件作為(wei) 病毒入侵的最後一道屏障,必不可少,但卻遠遠不夠,一旦殺毒軟件被突破,特別是新型的病毒,則會(hui) 直接碰觸到業(ye) 務係統及數據。病毒防護必須依賴於(yu) 全麵的防護思路,通過多層、多維的防護措施,構建完整的病毒防護體(ti) 係。
3、入侵難以溯源
溯源問題一直是安全防護中非常關(guan) 鍵的一環,找到安全問題的源頭,從(cong) 根本上予以解決(jue) ,才能避免陷
入救火式的工作模式中。而傳(chuan) 統的以查殺為(wei) 主的防範方案,並無法找到病毒入侵的源頭,網絡和係統的脆弱點依然存在,常常被重複利用,造成病毒問題周而複始。如何進行溯源體(ti) 係建設是病毒防護中非常重要的一環。
問題三:如何建立合理、有效的病毒防禦的體(ti) 係,實現病毒問題可管可控。
在病毒防護體(ti) 係建設時,我們(men) 需要分析病毒入侵的本質。雖病毒類型各異,但從(cong) 病毒入侵的過程是存在共性的,這與(yu) 洛克希德-馬丁公司提出的“網絡殺傷(shang) 鏈”理論非常契合。即整個(ge) 入侵過程,一般會(hui) 經曆偵(zhen) 查跟蹤、武器構建、載荷投訴、漏洞利用、安裝植入、命令與(yu) 控製、目標達成七個(ge) 階段,每個(ge) 階段均會(hui) 有對應的行為(wei) 或特征,可用於(yu) 進行檢測防護。當然對應的最有效檢測防護技術手段也不一致,在越早的殺傷(shang) 鏈環節發現和阻止攻擊,病毒防護效果就越好,修複和時間成本就越低,而絕非隻有到安裝植入後,才進行介入檢測防護,否則所做的防護工作往往事倍功半。
問題四:依據網絡殺傷(shang) 鏈為(wei) 指導,每個(ge) 階段應具備什麽(me) 樣病毒防護能力,銳捷可以提供什麽(me) 樣的方案?
從(cong) 每個(ge) 階段所帶來的影響分析,在網絡殺傷(shang) 鏈的前三個(ge) 階段進行有效監測防護,是病毒防護的最佳階段,此時病毒還未對業(ye) 務造成實質的影響,監測防護工作所帶來的價(jia) 值最為(wei) 明顯,下麵我們(men) 通過不同階段的分析,提供合理的防護方案建議。
1、偵(zhen) 查跟蹤階段
主要目標:攻擊者搜尋目標主機的弱點
常用手段:高危端口探測、惡意漏洞掃描、身份憑證嚐試等
關(guan) 鍵問題:如何對可疑的探測行為(wei) 快速的捕獲和判斷?
銳捷解決(jue) 之道:
① RG-DDP 動態防禦:通過虛擬大量虛假主機,快速誘導捕獲探測行為(wei) ,構建病毒入侵的快速監測機製,同時擴大攻擊麵、延長被入侵時長,降低攻擊成功概率。由於(yu) 不采用特征庫,天然解決(jue) 了特征庫模式時效問題。
② RG-BDS分析平台+ 流量探針: 除了基於(yu) “安全特征”,還可依靠“行為(wei) 模型”去發現未知威脅和攻擊,擺脫特征庫時效的束縛。
2、載荷投送階段
主要目標:製作一個(ge) 惡意程序工具,並投送到目標主機
常用手段:惡意郵件鏈接、網站頁麵釣魚、遠程登錄等
關(guan) 鍵問題:如何對網絡傳(chuan) 輸文件進行快速深度檢測。
銳捷解決(jue) 之道:
① RG-Sandbox 沙箱:支持在各類虛擬環境模擬運行文件和URL,根據運行結果而非特征去判斷威脅,對可疑文件進行模擬運行檢測,所以不僅(jin) 能檢測到已知威脅,還可以檢測到未知威脅。
② 流量探針:文件還原檢測,結合威脅情報輔助,實現對文件的還原、檢測、存儲(chu) ,幫助用戶進行威脅溯源。
③ RG-WALL 1600係列下一代防火牆:基於(yu) CPU+ASIC架構設計,結合本地庫和雲(yun) 端庫,提供及時更新的強大AV病毒檢測能力。
3、漏洞利用及安裝植入階段
主要目標:利用主機存在的漏洞,運行植入惡意程序
常用手段:惡意漏洞掃描利用
關(guan) 鍵問題:如何精準評估漏洞風險,讓安全加固更具備針對性
銳捷解決(jue) 之道:
① RG-BDS安全大數據分析平台+ RG-SCAN漏洞評估係統,實現攻擊與(yu) 漏洞的自動關(guan) 聯,讓漏洞不僅(jin) 僅(jin) 是孤立的存在,與(yu) 實際現網情況動態調整風險,讓安全加固更具備針對性。
②銳捷網絡與(yu) 火絨安全等終端殺毒軟件廠商建立合作生態,實現整體(ti) 病毒防護方案能力整合,讓網絡監測與(yu) 終端檢測有效融合。
4、命令與(yu) 控製階段
主要目標:攻擊者建立控製係統的路徑
常用手段:C&C 回連、僵屍網絡
關(guan) 鍵問題:如何在網絡流量中發現異常的命令控製鏈接
銳捷解決(jue) 之道:RG-BDS+探針+威脅情報協同,實現對C&C 回連通信、僵屍網絡等威脅的檢測,發現病毒威脅。
通過以上整體(ti) 病毒防護體(ti) 係的建設,讓病毒防護形成整體(ti) 防護效應,通過各階段多層、多維的監測防護技術,實現從(cong) 病毒入侵開始到結束整體(ti) 過程的監測防護,解決(jue) 時效、單點、溯源的三大難題。
需要強調的是,以上各階段的組件可通過RG-BDS大數據安全平台協同聯動,實現病毒整體(ti) 階段定位分析, 也可單獨工作,實現各階段病毒定位防護,銳捷提供的是一種整體(ti) 方案,更是一種病毒防護的建設思路,讓安全建設不隻是安全設備的盲目壘砌,幫助用戶構建整體(ti) 安全防護體(ti) 係。 |
