安全網(wǎng)關(guān)作為傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,通常以路由模式部署于用戶環(huán)境中,集數(shù)據(jù)轉(zhuǎn)發(fā)、安全防護(hù)等多方面功能于一體,具有高穩(wěn)定性、低轉(zhuǎn)發(fā)時延等特性。而面對每年數(shù)十億級以上病毒及其他非安全軟件的快速增長,安全網(wǎng)關(guān)的病毒特征容量有限、被動滯后和更新不及時、AV模塊對于網(wǎng)關(guān)性能的消耗等問題越來越明顯,對于文檔溢出漏洞攻擊、未知惡意代碼攻擊、0day/1day漏洞等攻擊已經(jīng)顯得無能為力。
私有云方案助力網(wǎng)關(guān)防御APT攻擊
作為安全網(wǎng)關(guān)的代表,防火墻經(jīng)過幾次的技術(shù)變遷,已經(jīng)發(fā)展了多代產(chǎn)品。縱觀防火墻的發(fā)展史,都是隨著用戶的安全需求不斷變化而不斷演變。雖然很多安全廠商推出了新一代防火墻產(chǎn)品,但大部分產(chǎn)品僅僅是堆疊了不同的模塊,例如在防火墻基礎(chǔ)上集成了入侵防御、防病毒、上網(wǎng)行為管理、WAF、內(nèi)容過濾、行為管理或內(nèi)容審計等功能,并不能算作真正意義的新一代防火墻。
新一代防火墻既要具有高性能,也要能動態(tài)分析和精確防御未知威脅。
1、私有云方案
云服務(wù)已經(jīng)逐步應(yīng)用在各個行業(yè)中,其中大規(guī)模多級部署、集中分析、全網(wǎng)資源信息同步等優(yōu)點也得到了更多人的認(rèn)可,與此同時,目前應(yīng)用廣泛的公有云所存在的問題也越來越多的被提及,如信息的同步必須要有Internet連接才能實現(xiàn);公網(wǎng)鏈路傳輸?shù)陌踩、穩(wěn)定性也得不到保障;用戶信息在公有云上集中進(jìn)行處理,存在信息泄露的安全風(fēng)險,不適用于政府等機要單位。為此產(chǎn)生了私有云的概念,所謂“私有”是指信息只在可信的網(wǎng)絡(luò)范圍內(nèi)實現(xiàn)共享,集合可信網(wǎng)絡(luò)的全網(wǎng)資源,利用分散的運行能力集合成統(tǒng)一結(jié)果,任何一個節(jié)點發(fā)現(xiàn)的威脅均可以通過私有云同步給全網(wǎng)共享,實現(xiàn)單點誘發(fā)全網(wǎng)同步,同時也很好的避免了公有云信息共享所存在的安全性問題。
2010年,業(yè)界出現(xiàn)了主動云防御的概念,主動云防御實時收集各個安全設(shè)備的威脅信息,并將共享的信息動態(tài)同步給其他安全設(shè)備。但是主動云防御的云端服務(wù)器無法對未知威脅形成有效的維護(hù),所以云端服務(wù)器本身的安全性受到挑戰(zhàn);受公有云同步機制的限制,處于局域網(wǎng)中的安全設(shè)備則無法參與主動云防御;若要實現(xiàn)大范圍的覆蓋,則會產(chǎn)生高昂的運行成本。諸多問題的存在導(dǎo)致主動云防御在實際環(huán)境中的運用效果并不理想。
私有云傳承自主動云防御。私有云是通過一套應(yīng)對已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統(tǒng)與若干網(wǎng)關(guān)設(shè)備聯(lián)動實現(xiàn)的,屬于網(wǎng)關(guān)級的高級安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態(tài)檢測、虛擬加載執(zhí)行、動態(tài)監(jiān)測多種組合方式對一切可能用于攻擊的文件進(jìn)行深度安全分析,從而有效檢測0day格式溢出來應(yīng)對高級安全威脅,深度提取可執(zhí)行樣本,并對未知威脅進(jìn)行判別,同時將分析結(jié)果同步至聯(lián)動的安全網(wǎng)關(guān),最終由安全網(wǎng)關(guān)策略實現(xiàn)訪問控制并提供詳細(xì)的行為報告,大幅度提升了安全網(wǎng)關(guān)的檢測能力,同時也保障了安全網(wǎng)關(guān)的轉(zhuǎn)發(fā)性能。
圖1 私有云應(yīng)用場景
2、私有云技術(shù)特點
私有云防護(hù)解決方案作為網(wǎng)關(guān)設(shè)備上的核心技術(shù)革新,通過安全網(wǎng)關(guān)與云中心聯(lián)動、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)之間信息共享,大大強化了安全網(wǎng)關(guān)的防護(hù)能力,真正實現(xiàn)了全網(wǎng)動態(tài)防御。
網(wǎng)關(guān)私有云主要采用動態(tài)分析手段捕獲未知0day攻擊,利用虛擬機和內(nèi)核監(jiān)控手段,將樣本投放到虛擬機中運行,監(jiān)控并記錄其運行的本地行為,如注冊表的修改、系統(tǒng)文件的修改和網(wǎng)絡(luò)信息。記錄下樣本運行態(tài)的信息,判定樣本的類別,感染程度以及危害等級。
網(wǎng)關(guān)私有云針對APT的四類主要威脅(PE類木馬、溢出格式、嵌入或獨立腳本、URL訪問),通過靜態(tài)分析、虛擬執(zhí)行、動態(tài)監(jiān)控等技術(shù)手段進(jìn)行分析鑒定。
主流APT解決方案對比分析
1、傳統(tǒng)特征匹配+虛擬執(zhí)行引擎。代表:Fireeye
基于行為異常的檢測方法核心思想是通過沙箱(高級蜜罐)模擬運行環(huán)境,把未知程真實運行一遍,從程序工作的行為判斷其合法性。
優(yōu)點:判斷準(zhǔn)確性較高不易誤判或漏判;
缺點:計算資源消耗比較大,部署成本較高;
2、基于白名單的終端安全檢測方案。代表:Bit9
通過在公有云上部署的80億條白名單庫,對安裝在用戶終端上的終端軟件提供注冊服務(wù),凡在白名單庫里未注冊過的文件均被終端禁止訪問,同時其終端軟件具有終端管理軟件常見的屬性,如移動設(shè)備控制、注冊表保護(hù)等。
優(yōu)點:節(jié)省了計算資源,部署成本低;
缺點:不夠靈活,根據(jù)事先定義的特征,很有可能導(dǎo)致阻斷合法應(yīng)用;
3、私有云解決方案。代表:啟明星辰、Fortinet
啟明星辰私有云解決方案通過系統(tǒng)智能集成的海量黑白名單、規(guī)模化虛擬機動態(tài)鑒定等,對文件是否包括惡意行為進(jìn)行判定,形成自動化分析報告,并與安全網(wǎng)關(guān)進(jìn)行聯(lián)動,在不影響轉(zhuǎn)發(fā)性能的前提下大幅增強安全網(wǎng)關(guān)的檢測能力。
優(yōu)點:節(jié)省了安全網(wǎng)關(guān)的計算資源,檢測準(zhǔn)確性較高不易誤判或漏判,結(jié)合網(wǎng)關(guān)部署方式較靈活。
圖2 私有云解決方案
私有云解決方案 Vs 極光攻擊
2009-2010年,Google等20多家公司遭受了極光攻擊。攻擊者利用了IE的0day漏洞、十多種惡意代碼和多層次的加密避免被發(fā)現(xiàn)。攻擊者的攻擊步驟如下圖所示:
圖3 “極光”攻擊步驟
無論如何,攻擊者需要一個突破點。當(dāng)被滲透目標(biāo)踏入攻擊者設(shè)立的圈套時,IE瀏覽器的0day漏洞被惡意代碼利用,下載攻擊者精心構(gòu)造的、可以輕松騙過殺毒引擎的程序。
以前,傳統(tǒng)網(wǎng)關(guān)、殺毒軟件在檢測該惡意程序時,多是特征掃描;而攻擊被發(fā)現(xiàn)之前安全廠商又不可能獲取樣本,更不可能將該惡意程序的特征更新到威脅特征庫中(事實上直到2010年1月份,Google公開了此事后特征才被眾多廠家獲取),安全防范總是滯后的。
如果我們在網(wǎng)絡(luò)中使用了啟明星辰私有云解決方案,結(jié)果又會如何呢?
首先我們在網(wǎng)絡(luò)傳輸過程中由安全網(wǎng)關(guān)捕獲到了該程序,經(jīng)過安全網(wǎng)關(guān)本地初步判斷,無法確定該程序就是安全的。接下來將該程序送到私有云防御中心,進(jìn)行動態(tài)行為分析。
圖4 私有云應(yīng)用案例
觀察該程序的所有行為,其中至少有三個行為是高度可疑的:
1、連續(xù)下載加密的程序;
2、刪除自身;
3、構(gòu)建后門,發(fā)起反向連接。
新下載的加密程序仍會運行起來進(jìn)行動態(tài)行為分析,其中有很多特殊的行為都存在危害性,如釋放PE文件、獲取敏感信息、隱藏文件、添加服務(wù)等。通過將分析結(jié)果與安全網(wǎng)關(guān)聯(lián)動,足以引起管理員的重視,從而將威脅消滅在初始階段。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:解密國內(nèi)首個網(wǎng)關(guān)級APT解決方案
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839315510.html