用户投稿我们来“解密”一下“云联动”这款国内首个网关级的APT(高级持续性威胁)解决方案。
这里的“解密”并非指揭露其代码,而是从概念、架构、优势等角度,剖析它如何运作以及为何被定位为“首个网关级”的APT解决方案。
"核心概念:网关级APT防御"
传统的安全防护往往是在网络内部或终端层面进行,而“网关级”意味着防御的核心阵地"部署在网络边界或关键的汇聚点(网关)"。对于APT攻击而言,它们最关键的阶段往往是"初始入侵(Initial Access)"和"命令与控制(C2)通信"。网关级APT解决方案的目标就是在这些关键阶段,在攻击者深入内部网络之前或其建立持久化通道之前,就将其识别和阻断。
"“云联动”可能包含的关键特征(基于“网关级APT”的定位推断):"
1. "深度流量检测与分析:"
"位置优势:" 部署在网关,能够捕获和分析进出网络的"所有"(或绝大部分)网络流量,包括HTTP/HTTPS、DNS、ICMP、SMTP、文件传输等常见和加密流量。
"技术手段:" 可能融合了多种检测技术:
"协议分析:" 解析应用层协议,识别异常行为和恶意载荷。
"深度包
相关内容:
2006年之前,我们面临的主要威胁是病毒;2006年之后的6、7年时间里,我们面临的主要威胁是木马;2013年之后及未来很长一段时间,我们面临的主要威胁除了木马之外,还包括定向攻击。大规模爆发的病毒逐渐在减少,但是我们并没有感受到越来越安全,相反,各种网络威胁变得越来越诡秘,它们的打击变得越来越定向,攻击目标也越来越多元,网络所面临的风险提升到了针对特定领域与特定机构的定向apt攻击。
安全网关作为传统的网络安全设备,通常以路由模式部署于用户环境中,集数据转发、安全防护等多方面功能于一体,具有高稳定性、低转发时延等特性。而面对每年数十亿级以上病毒及其他非安全软件的快速增长,安全网关的病毒特征容量有限、被动滞后和更新不及时、av模块对于网关性能的消耗等问题越来越明显,对于文档溢出漏洞攻击、未知恶意代码攻击、0day/1day漏洞等攻击已经显得无能为力。
私有云方案助力网关防御apt攻击
作为安全网关的代表,防火墙经过几次的技术变迁,已经发展了多代产品。纵观防火墙的发展史,都是随着用户的安全需求不断变化而不断演变。虽然很多安全厂商推出了新一代防火墙产品,但大部分产品仅仅是堆叠了不同的模块,例如在防火墙基础上集成了入侵防御、防病毒、上网行为管理、waf、内容过滤、行为管理或内容审计等功能,并不能算作真正意义的新一代防火墙。
启明星辰认为,新一代防火墙既要具有高性能,也要能动态分析和精确防御未知威胁。
1、私有云方案
云服务已经逐步应用在各个行业中,其中大规模多级部署、集中分析、全网资源信息同步等优点也得到了更多人的认可,与此同时,目前应用广泛的公有云所存在的问题也越来越多的被提及,如信息的同步必须要有internet连接才能实现;公网链路传输的安全性、稳定性也得不到保障;用户信息在公有云上集中进行处理,存在信息泄露的安全风险,不适用于政府等机要单位。为此产生了私有云的概念,所谓“私有”是指信息只在可信的网络范围内实现共享,集合可信网络的全网资源,利用分散的运行能力集合成统一结果,任何一个节点发现的威胁均可以通过私有云同步给全网共享,实现单点诱发全网同步,同时也很好的避免了公有云信息共享所存在的安全性问题。
2010年,业界出现了主动云防御的概念,主动云防御实时收集各个安全设备的威胁信息,并将共享的信息动态同步给其他安全设备。但是主动云防御的云端服务器无法对未知威胁形成有效的维护,所以云端服务器本身的安全性受到挑战;受公有云同步机制的限制,处于局域网中的安全设备则无法参与主动云防御;若要实现大范围的覆盖,则会产生高昂的运行成本。诸多问题的存在导致主动云防御在实际环境中的运用效果并不理想。
私有云传承自主动云防御。私有云是通过一套应对已知/未知恶意代码攻击、0day/1day漏洞等攻击的鉴别系统与若干网关设备联动实现的,属于网关级的高级安全防御方案。私有云解决方案利用文件黑名单、恶意代码静态检测、虚拟加载执行、动态监测多种组合方式对一切可能用于攻击的文件进行深度安全分析,从而有效检测0day格式溢出来应对高级安全威胁,深度提取可执行样本,并对未知威胁进行判别,同时将分析结果同步至联动的安全网关,最终由安全网关策略实现访问控制并提供详细的行为报告,大幅度提升了安全网关的检测能力,同时也保障了安全网关的转发性能。
私有云应用场景
2、私有云技术特点
私有云防护解决方案作为网关设备上的核心技术革新,通过安全网关与云中心联动、安全网关与安全网关之间信息共享,大大强化了安全网关的防护能力,真正实现了全网动态防御。
网关私有云主要采用动态分析手段捕获未知0day攻击,利用虚拟机和内核监控手段,将样本投放到虚拟机中运行,监控并记录其运行的本地行为,如注册表的修改、系统文件的修改和网络信息。记录下样本运行态的信息,判定样本的类别,感染程度以及危害等级。
网关私有云针对apt的四类主要威胁(pe类木马、溢出格式、嵌入或独立脚本、url访问),通过静态分析、虚拟执行、动态监控等技术手段进行分析鉴定。
主流apt解决方案对比分析
1、传统特征匹配+虚拟执行引擎。代表:fireeye
基于行为异常的检测方法核心思想是通过沙箱(高级蜜罐)模拟运行环境,把未知程真实运行一遍,从程序工作的行为判断其合法性。
优点:判断准确性较高不易误判或漏判;
缺点:计算资源消耗比较大,部署成本较高;
2、基于白名单的终端安全检测方案。代表:bit9
通过在公有云上部署的80亿条白名单库,对安装在用户终端上的终端软件提供注册服务,凡在白名单库里未注册过的文件均被终端禁止访问,同时其终端软件具有终端管理软件常见的属性,如移动设备控制、注册表保护等。
优点:节省了计算资源,部署成本低;
缺点:不够灵活,根据事先定义的特征,很有可能导致阻断合法应用;
3、私有云解决方案。代表:启明星辰、fortinet
启明星辰私有云解决方案通过系统智能集成的海量黑白名单、规模化虚拟机动态鉴定等,对文件是否包括恶意行为进行判定,形成自动化分析报告,并与安全网关进行联动,在不影响转发性能的前提下大幅增强安全网关的检测能力。
优点:节省了安全网关的计算资源,检测准确性较高不易误判或漏判,结合网关部署方式较灵活。
私有云解决方案 vs 极光攻击
2009-2010年,google等20多家公司遭受了极光攻击。攻击者利用了ie的0day漏洞、十多种恶意代码和多层次的加密避免被发现。攻击者的攻击步骤如下图所示:
“极光”攻击步骤
无论如何,攻击者需要一个突破点。当被渗透目标踏入攻击者设立的圈套时,ie浏览器的0day漏洞被恶意代码利用,下载攻击者精心构造的、可以轻松骗过杀毒引擎的程序。
以前,传统网关、杀毒软件在检测该恶意程序时,多是特征扫描;而攻击被发现之前安全厂商又不可能获取样本,更不可能将该恶意程序的特征更新到威胁特征库中(事实上直到2010年1月份,google公开了此事后特征才被众多厂家获取),安全防范总是滞后的。
如果我们在网络中使用了启明星辰私有云解决方案,结果又会如何呢?
首先我们在网络传输过程中由安全网关捕获到了该程序,经过安全网关本地初步判断,无法确定该程序就是安全的。接下来将该程序送到私有云防御中心,进行动态行为分析。
观察该程序的所有行为,其中至少有三个行为是高度可疑的:
1、连续下载加密的程序;
2、删除自身;
3、构建后门,发起反向连接。
新下载的加密程序仍会运行起来进行动态行为分析,其中有很多特殊的行为都存在危害性,如释放pe文件、获取敏感信息、隐藏文件、添加服务等。通过将分析结果与安全网关联动,足以引起管理员的重视,从而将威胁消灭在初始阶段。
微信扫一扫打赏
支付宝扫一扫打赏
