亚博全站APP登录

披坚执锐 决战终端

时间: 2018年2月02日 作者:安天端点安全产品中心 来源:第五届安天网络安全冬训营内部报告文稿

【题记】

2018年1月(yue)11-12日,第(di)五届(jie)安天(tian)网络安全冬训营(ying)在哈尔(er)滨启幕(mu),安天(tian)端(duan)点安全产品中心的同事(shi)发表了题为(wei)《披坚(jian)(jian)执锐 决战终端(duan)》的演讲。他指(zhi)出,端(duan)是(shi)安全之本,终端(duan)一直(zhi)是(shi)威胁(xie)防(fang)(fang)御(yu)的主(zhu)(zhu)战场(chang),面(mian)临(lin)着高级持续性(xing)威胁(xie)、勒索软(ruan)件肆(si)虐(nve),传统杀毒(du)的单点防(fang)(fang)护(hu)方式已(yi)经“力(li)不从(cong)心”。安天(tian)智(zhi)甲(jia)团(tuan)队基(ji)于多(duo)年主(zhu)(zhu)机(ji)防(fang)(fang)御(yu)经验(yan)(yan),立(li)足敌(di)情想定,在滑动标尺(chi)模(mo)型下,形成(cheng)了从(cong)安全规划、被(bei)动防(fang)(fang)御(yu)、积极防(fang)(fang)御(yu)到(dao)威胁(xie)情报的层次化防(fang)(fang)御(yu)体系,依靠强(qiang)有力(li)的主(zhu)(zhu)防(fang)(fang)驱动、终端(duan)画(hua)像(xiang)和群(qun)体防(fang)(fang)护(hu)模(mo)型。形成(cheng)了能经受实战检验(yan)(yan)、可进行有效防(fang)(fang)御(yu)的终端(duan)安全产品。在终端(duan)的高烈度对抗中,安天(tian)将坚(jian)(jian)定以(yi)有效防(fang)(fang)护(hu)为(wei)目标,“披坚(jian)(jian)执锐,决战终端(duan)”。

以下为报告全(quan)文:

今天的报告主要为大家介绍终端安全防御体系如何应用到实战中。有效防护终端就要求我们应以真实的敌情想定为前提,以实战化作为网络空间安全防御的第一要求,传统的单一的防护方式已经不足以守护终端安全。终端一直是恶意代码攻防的主战场,面临着勒索软件肆虐,高级持续性攻击,地缘政治背景的网络纷争等多重威胁。

终端在重压背景下面临的多维度安全威胁

首先我们一(yi)起来(lai)回顾下2017年(nian)发(fa)生(sheng)的(de)(de)(de)(de)(de)重(zhong)大安全(quan)事(shi)(shi)件(jian),目前勒索(suo)(suo)软(ruan)件(jian)已经(jing)形(xing)成(cheng)了全(quan)球化(hua)的(de)(de)(de)(de)(de)威胁,据(ju)统(tong)计,2015-2017年(nian)全(quan)球勒索(suo)(suo)软(ruan)件(jian)造成(cheng)的(de)(de)(de)(de)(de)损失已增长到50亿美元,以2017年(nian)5月(yue)大规模爆发(fa)的(de)(de)(de)(de)(de)“魔窟”(WannaCry)事(shi)(shi)件(jian)为(wei)例,其(qi)感染了中国大量(liang)的(de)(de)(de)(de)(de)终端,随(sui)着我们对这次事(shi)(shi)件(jian)的(de)(de)(de)(de)(de)深入跟踪(zong),我们也发(fa)现(xian)了越来(lai)越多(duo)的(de)(de)(de)(de)(de)线索(suo)(suo),可以证明(ming)它(ta)(ta)并(bing)不是一(yi)个单纯的(de)(de)(de)(de)(de)勒索(suo)(suo)软(ruan)件(jian),但它(ta)(ta)已具备(bei)了勒索(suo)(suo)软(ruan)件(jian)所有的(de)(de)(de)(de)(de)典型特征(zheng),后续(xu)也出现(xian)了很多(duo)新的(de)(de)(de)(de)(de)关于它(ta)(ta)起源的(de)(de)(de)(de)(de)分析和猜测(ce)。

很多被感染(ran)的终(zhong)(zhong)端(duan)(duan)都(dou)安(an)装了(le)防(fang)护软(ruan)(ruan)件,但(dan)为(wei)什么没(mei)有(you)为(wei)用(yong)户提供有(you)效(xiao)防(fang)御呢?安(an)天(tian)从(cong)2012年开始跟进勒索软(ruan)(ruan)件的分析(xi)和研究(jiu)(jiu),通过(guo)(guo)对其攻击流程的研究(jiu)(jiu)我们发现,如(ru)果(guo)没(mei)有(you)与勒索行(xing)(xing)为(wei)高度匹配的威胁模(mo)型,则(ze)无法达成终(zhong)(zhong)端(duan)(duan)安(an)全(quan)产品的有(you)效(xiao)防(fang)御能力。比如(ru),勒索软(ruan)(ruan)件可利用(yong)终(zhong)(zhong)端(duan)(duan)漏洞绕过(guo)(guo)防(fang)御,针对文(wen)档的加密(mi)行(xing)(xing)为(wei)多数会被终(zhong)(zhong)端(duan)(duan)安(an)全(quan)产品当作用(yong)户的正常操作行(xing)(xing)为(wei)进而放行(xing)(xing)等。

另一方面(mian),针对终端(duan)的(de)(de)(de)(de)(de)高(gao)级(ji)持(chi)续(xu)性攻(gong)(gong)(gong)击(ji)(ji)从(cong)未(wei)停歇,在多数高(gao)级(ji)威(wei)胁(xie)攻(gong)(gong)(gong)击(ji)(ji)场景(jing)中(zhong),终端(duan)是攻(gong)(gong)(gong)击(ji)(ji)落(luo)地的(de)(de)(de)(de)(de)首要目(mu)标,而(er)(er)愈(yu)(yu)来(lai)愈(yu)(yu)多的(de)(de)(de)(de)(de)高(gao)级(ji)持(chi)续(xu)性攻(gong)(gong)(gong)击(ji)(ji)通过利(li)用商(shang)业军(jun)(jun)火的(de)(de)(de)(de)(de)方式达(da)成(cheng)。在商(shang)业军(jun)(jun)火的(de)(de)(de)(de)(de)加持(chi)下,高(gao)级(ji)威(wei)胁(xie)的(de)(de)(de)(de)(de)攻(gong)(gong)(gong)击(ji)(ji)能力(li)进一步增强,其中(zhong)针对终端(duan)的(de)(de)(de)(de)(de)商(shang)业军(jun)(jun)火占很大比(bi)例,包括(kuo):漏洞利(li)用工具、攻(gong)(gong)(gong)击(ji)(ji)载荷投放工具和(he)端(duan)点侧的(de)(de)(de)(de)(de)恶意(yi)代码。商(shang)业军(jun)(jun)火的(de)(de)(de)(de)(de)获取难度低(di)、复制(zhi)成(cheng)本(ben)低(di)的(de)(de)(de)(de)(de)特点导(dao)致(zhi)其可被攻(gong)(gong)(gong)击(ji)(ji)者大量使(shi)用进而(er)(er)达(da)成(cheng)其攻(gong)(gong)(gong)击(ji)(ji)目(mu)的(de)(de)(de)(de)(de),而(er)(er)终端(duan)安(an)(an)全(quan)产品(pin)防御此种攻(gong)(gong)(gong)击(ji)(ji)的(de)(de)(de)(de)(de)难度和(he)成(cheng)本(ben)远高(gao)于(yu)一般(ban)威(wei)胁(xie),这就意(yi)味着(zhe)用户和(he)安(an)(an)全(quan)厂商(shang)始(shi)终面(mian)临在终端(duan)侧与高(gao)级(ji)持(chi)续(xu)性威(wei)胁(xie)进行高(gao)烈度对抗的(de)(de)(de)(de)(de)场景(jing)。

最后,终端(duan)是地缘政治(zhi)引发的(de)(de)(de)网(wang)络(luo)纷争的(de)(de)(de)落点,以“白象”(White Elephant)事件(jian)的(de)(de)(de)攻(gong)击(ji)为例,其始终窃(qie)取(qu)终端(duan)的(de)(de)(de)机要(yao)信(xin)息,威胁其攻(gong)击(ji)目标的(de)(de)(de)信(xin)息化(hua)体(ti)系。这一(yi)来(lai)自南亚某国的(de)(de)(de)系列(lie)网(wang)络(luo)攻(gong)击(ji)活动自2012年至今从未(wei)间(jian)断,体(ti)现了对手在网(wang)络(luo)空间(jian)的(de)(de)(de)持(chi)续(xu)投(tou)入和坚定的(de)(de)(de)攻(gong)击(ji)意(yi)志,无疑为终端(duan)防护带来(lai)了巨大挑(tiao)战。

终端有(you)效防(fang)御是构成战略威慑力的(de)(de)重(zhong)要(yao)环(huan)节(jie)。唯(wei)有(you)在实战化场景中处置(zhi)威胁,才能(neng)实现终端安(an)全产品的(de)(de)用(yong)户(hu)价(jia)值。如(ru)何在内网已(yi)经被(bei)(bei)渗(shen)透(tou)、供(gong)应链被(bei)(bei)上游控制、运营商网络关键路由节(jie)点被(bei)(bei)控制、物(wu)流仓储被(bei)(bei)渗(shen)透(tou)劫(jie)持、关键人(ren)员(yuan)和周边人(ren)员(yuan)被(bei)(bei)从互联网进行定(ding)位(wei)摸底、内部有(you)敌特的(de)(de)人(ren)员(yuan)派驻或(huo)被(bei)(bei)发(fa)展的(de)(de)前提下,做到(dao)应对威胁的(de)(de)有(you)效防(fang)护,我们(men)认(ren)为(wei)要(yao)做到(dao)以下三点:

1.终(zhong)端需要(yao)具有合理的(de)架构(gou)安全体系(xi),增强安全运维能(neng)力,减少攻(gong)击(ji)面;

2.防御体系具(ju)有纵深防御能(neng)力,多维度发现威胁,抵(di)御威胁;

3.具有与威胁(xie)对(dui)抗的实(shi)战能力,可以根据现(xian)有防御资源,快速(su)生(sheng)成并实(shi)施有效的防护策略(lve)。

基于滑动标尺模型的终端防御体系

为(wei)了实现有(you)效防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)的目标(biao),安(an)天基(ji)于(yu)滑动(dong)标(biao)尺(chi)模(mo)型将终(zhong)端防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)体(ti)系划分为(wei)四部分:架(jia)构(gou)安(an)全(Architecture)、被(bei)动(dong)防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)(Passive Defense)、积极防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)(Active Defense)和情(qing)报(Intelligence)。架(jia)构(gou)安(an)全是(shi)终(zhong)端防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)体(ti)系的基(ji)石,主(zhu)要采用合理(li)的网络架(jia)构(gou)与加固等方式(shi)缩小攻击(ji)面(mian);被(bei)动(dong)防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)是(shi)对操作系统内(nei)运行的恶意(yi)代码提供(gong)防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)和处置手段;积极防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)相(xiang)当于(yu)终(zhong)端防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)体(ti)系的“大脑”,可以(yi)与态(tai)势感知(zhi)联动(dong)并适用OODA模(mo)型完成(cheng)对威胁(xie)(xie)的智能应(ying)对;终(zhong)端层面(mian)的威胁(xie)(xie)情(qing)报可以(yi)对积极防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)做(zuo)出有(you)效指导,也可以(yi)利(li)用积极防(fang)(fang)(fang)御(yu)(yu)(yu)(yu)数据形成(cheng)终(zhong)端威胁(xie)(xie)情(qing)报的基(ji)础数据。

图 1基于(yu)滑动标尺模型的终端(duan)防御体系

终(zhong)(zhong)(zhong)(zhong)端层(ceng)(ceng)面(mian)的架构(gou)安(an)全(quan)主要包括:网(wang)络控(kong)制、外设管控(kong)、漏(lou)洞修复、配置加固和(he)资(zi)(zi)产管理(li)等方面(mian),通过规划(hua)合理(li)和(he)健全(quan)的架构(gou)安(an)全(quan)体系,可以有(you)效(xiao)降低(di)终(zhong)(zhong)(zhong)(zhong)端遭(zao)受攻(gong)击(ji)风险,提升攻(gong)击(ji)难度(du);与(yu)架构(gou)安(an)全(quan)同处一个(ge)层(ceng)(ceng)次的终(zhong)(zhong)(zhong)(zhong)端层(ceng)(ceng)面(mian)的被动(dong)防(fang)御,建立在(zai)完善(shan)的架构(gou)安(an)全(quan)基(ji)(ji)(ji)础(chu)上(shang),以攻(gong)击(ji)者存在(zai)的前提下保护终(zhong)(zhong)(zhong)(zhong)端安(an)全(quan);应(ying)用(yong)(yong)OODA模(mo)型(xing)(xing)的终(zhong)(zhong)(zhong)(zhong)端层(ceng)(ceng)面(mian)的积极防(fang)御,可以通过积极地(di)监控(kong)、响(xiang)应(ying)从中吸取经验,采(cai)用(yong)(yong)OODA模(mo)型(xing)(xing)可涵盖威胁(xie)情(qing)报的消费、资(zi)(zi)产识别和(he)网(wang)络安(an)全(quan)监控(kong)、事件(jian)响(xiang)应(ying)、威胁(xie)和(he)环境操控(kong)等四个(ge)阶段;终(zhong)(zhong)(zhong)(zhong)端威胁(xie)情(qing)报与(yu)应(ying)用(yong)(yong)OODA模(mo)型(xing)(xing)的终(zhong)(zhong)(zhong)(zhong)端层(ceng)(ceng)面(mian)的积极防(fang)御相互关联(lian),对(dui)应(ying)用(yong)(yong)OODA模(mo)型(xing)(xing)的积极防(fang)御进行有(you)效(xiao)指导,包括情(qing)报基(ji)(ji)(ji)础(chu)数据采(cai)集和(he)反馈、情(qing)报消费等方式(shi)。基(ji)(ji)(ji)于滑动(dong)标尺模(mo)型(xing)(xing)的终(zhong)(zhong)(zhong)(zhong)端防(fang)御体系可使得终(zhong)(zhong)(zhong)(zhong)端安(an)全(quan)产品在(zai)重(zhong)压之下,实现对(dui)终(zhong)(zhong)(zhong)(zhong)端的有(you)效(xiao)防(fang)御能力。

(注:更多关于滑动标尺模(mo)型(xing)的(de)(de)内容请(qing)参考由(you)安天公(gong)益翻(fan)译(yi)(yi)组翻(fan)译(yi)(yi)的(de)(de)《网络安全滑动标尺模(mo)型(xing)——从架构安全到(dao)超越威胁情(qing)报的(de)(de)叠加(jia)演进》)

终端安全实战化场景和有效防护的实践

实(shi)战(zhan)(zhan)化(hua)场景(jing)是检验终端安全产品提供有(you)效防护能力的必要途径。此处我们将介绍三个终端安全实(shi)战(zhan)(zhan)化(hua)场景(jing)和有(you)效防护的实(shi)践。

第一(yi),以“白象”(White Elephant)事(shi)件的威(wei)胁情报驱动终端(duan)防(fang)御形成的常规威(wei)胁处(chu)置模型(xing)为(wei)例,通(tong)过数(shu)据采集(包括(kuo)(kuo)文(wen)件MD5、C&C、漏洞CVE-2014-4114、文(wen)件访问等(deng))配合威(wei)胁模式识(shi)别(bie)(包括(kuo)(kuo)窃(qie)密、非(fei)法(fa)网络行(xing)为(wei)、文(wen)档溢出、键盘记录等(deng))辅(fu)以防(fang)御策略调(diao)整(包括(kuo)(kuo)边界(jie)防(fang)御、终止和清除威(wei)胁进程、阻断(duan)非(fei)法(fa)外联、溢出攻击防(fang)护等(deng))等(deng)方(fang)式对终端(duan)进行(xing)有效防(fang)护。

第二,以安(an)(an)全(quan)专职人员(yuan)应(ying)对突发(fa)威(wei)(wei)胁(xie)(xie)形成(cheng)的常规(gui)(gui)威(wei)(wei)胁(xie)(xie)处(chu)(chu)置模(mo)型为(wei)例,通过下达人工指令(ling)、威(wei)(wei)胁(xie)(xie)数据(ju)采集、威(wei)(wei)胁(xie)(xie)模(mo)式匹配、防(fang)御(yu)动作决策、防(fang)御(yu)策略执行等一系列规(gui)(gui)定动作,达成(cheng)对突发(fa)威(wei)(wei)胁(xie)(xie)的快速处(chu)(chu)置,针对突发(fa)威(wei)(wei)胁(xie)(xie)形成(cheng)的处(chu)(chu)置策略并非割(ge)裂(lie),终(zhong)端安(an)(an)全(quan)产品需形成(cheng)一套标准处(chu)(chu)置模(mo)式让安(an)(an)全(quan)专职人员(yuan)快速和准确(que)的处(chu)(chu)理突发(fa)威(wei)(wei)胁(xie)(xie)。

第三,以在威胁大(da)数据和AI驱动下形成(cheng)的终端的未知威胁识(shi)别(bie)模型为(wei)例(li),通过海量数据采集、智能数据分析、威胁模式(shi)匹配、防(fang)(fang)御(yu)动作决策、防(fang)(fang)御(yu)策略执行(xing)等(deng)系(xi)列操作进(jin)行(xing)防(fang)(fang)御(yu)。以“魔窟”(Wannacry)勒索(suo)事(shi)件(jian)的有效防(fang)(fang)护实践为(wei)例(li),通过综(zong)合(he)文(wen)件(jian)下载、安装服(fu)务、文(wen)件(jian)操作、C&C、443端口等(deng)向量,形成(cheng)勒索(suo)软件(jian)行(xing)为(wei)识(shi)别(bie)模型。

总结:终端安全产品在实战化场景中如何提供有效防御?

为(wei)(wei)什么诸多(duo)(duo)终端安全产品的(de)(de)(de)防(fang)御是无效的(de)(de)(de)?主(zhu)要(yao)是因为(wei)(wei)多(duo)(duo)数终端防(fang)护产品还(hai)停留在(zai)以黑(hei)白名单为(wei)(wei)基(ji)础的(de)(de)(de)威胁检测(ce)方式,无法有效检测(ce)新型变种(zhong)威胁;同(tong)时采用单一的(de)(de)(de)行(xing)为(wei)(wei)检测(ce)方式局限(xian)于可执行(xing)文件(jian),对文档(dang)文件(jian)默认不(bu)监控;还(hai)缺少针对勒索软件(jian)行(xing)为(wei)(wei)的(de)(de)(de)持续分析,无法准确区分勒索软件(jian)和正常文档(dang)操作的(de)(de)(de)行(xing)为(wei)(wei)。

安(an)(an)天智(zhi)甲(jia)(jia)终端防(fang)御(yu)系统(以下简(jian)称安(an)(an)天智(zhi)甲(jia)(jia))可(ke)有(you)(you)(you)效(xiao)防(fang)护终端安(an)(an)全(quan)。安(an)(an)天智(zhi)甲(jia)(jia)在不(bu)依赖病毒(du)检测、不(bu)升级(ji)软(ruan)件(jian)(jian)的(de)(de)情(qing)况下,可(ke)有(you)(you)(you)效(xiao)防(fang)御(yu)多数勒索软(ruan)件(jian)(jian)(数据源自经(jing)测试(shi)85个(ge)家族的(de)(de)322个(ge)有(you)(you)(you)效(xiao)的(de)(de)勒索软(ruan)件(jian)(jian)样本)。安(an)(an)天智(zhi)甲(jia)(jia)的(de)(de)2016年10月版本可(ke)有(you)(you)(you)效(xiao)防(fang)御(yu)“魔窟”(WannaCry)。此外,安(an)(an)天是国(guo)内较(jiao)早专门针对“勒索软(ruan)件(jian)(jian)”发布分析(xi)报(bao)告(gao)并持续跟进的(de)(de)厂(chang)商。

当前(qian),端(duan)(duan)点的定(ding)义已延展(zhan)至通用操作系统、国产化(hua)软(ruan)硬件(jian)、专用终(zhong)端(duan)(duan)、虚拟(ni)化(hua)平(ping)台、移动终(zhong)端(duan)(duan)等,这(zhei)就要求端(duan)(duan)点安全产品需要覆盖(gai)以上所有(you)终(zhong)端(duan)(duan),安天智甲可跨平(ping)台集中管理,覆盖(gai)全面的终(zhong)端(duan)(duan)类(lei)型(xing)并与国产化(hua)适配,防护(hu)覆盖(gai)所有(you)端(duan)(duan)点。

端点在哪里,智甲的有效防护就在哪里。