[系统安全] 二十九.外部威胁防护和勒索病毒对抗(深信服老师)
前文分享了WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。这篇文章将分享来自深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。基础性文章,希望对您有所帮助,如果存在侵权或不足之处,还望告知,加油!
文章目录:
一.网络安全面临的挑战
二.如何有效的应对挑战
三.深信服安全建设之道
1.网的保护
2.端的保护
3.云的赋能
四.总结
从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵!
接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~推荐前文:网络安全自学篇系列-100篇
https://blog.csdn.net/eastmount/category_9183790.htm
作者的github资源:
逆向分析:
https://github.com/eastmountyxz/
SystemSecurity-ReverseAnalysis
网络安全:
https://github.com/eastmountyxz/
NetworkSecuritySelf-study
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后)
早期90年代(恶意代码): 国内90年代爆发的是僵尸、木马、蠕虫,包括熊猫烧香这种病毒不断扩散我们的网络。早期是以恶意代码的方式进行的网络攻击,通过简单IP端口、协议、通信机制等网络要素就能隔离传播途径。
互联网时代(应用层威胁): 2000年之后进入互联网时代,基于Web的B\S架构的开发越来越多,该阶段衍生出很多面向应用层的高级别威胁,比如通过邮件附件、文件、社交媒体等带来大量病毒入侵企业。此时,仅仅通过IP端口和协议不在适用,如果不能检查其内容会有很多潜藏的病毒,安全事件逐渐向高层次发展。
棱镜门事件(高级可持续): 国内比较重视安全是2013年棱镜门事件爆发之后,美国很多年以前就开启了监控计划,棱镜门是把它暴露到了全世界的视角下,我国也做了很多安全措施,包括赛门铁克撤出、政府采购等。国家武器库在该时期也走进了全世界视角,包括利用永恒之蓝、0DAY漏洞去攻击我们的核心系统等,也会看到高持续的威胁,包括社会工程的变化。
安全暴露面多: 现在外部威胁和攻击手法越来越多,包括扫描渗透、邮件传播、社会工程、高危漏洞、恶意软件、0day漏洞、U盘传播等。同时,为了对外提供更加精准的服务和营销,业务和数据变得越来越集中,业务开放之后安全暴露面也不断扩大,会产生更大的安全风险。
被动响应式防御: 企业面临的现状是安全人员并不一定能够把当前攻防趋势研究透彻,安全人员会维护各种各样的安全设备,比如Web安全、数据库安全、终端安全等,海量日志充满了噪声,只能通过被动响应式的威胁防御。
二.如何有效的应对挑战
访问控制: 对外部互联网主机无法进行有效隔离控制,缺乏访问控制等基本手段。
入侵防御: 对操作系统、数据库、Web服务等存在的漏洞利用行为无法有效防御。
业务保护: 针对业务服务器的攻击,如非法扫描、数据注入、后门植入等攻击无法有效防御。
网站监测: 无法持续监测网站篡改、挂马、黑链、漏洞等事件,需要管理员三班倒监控风险。
勒索病毒: 无法在网络流量侧防御来自邮件、FTP、SMB协议传输,导致的勒索病毒入侵行为。
未知威胁: 本地无法识别的未知文件、未知连接、未知域名直接放心,导致内网受到严重危害。
行为监控: 内部员工通过U盘、即时通讯等将病毒带入企业内部,无法有效根治。
威胁隔离: 受感染主机会快速将病毒扩散到其他内网主机,导致损失进一步扩大。
环境兼容: 企业采用虚拟化技术来提供虚拟桌面,虚拟桌面缺乏有效防御威胁的手段。
终端防御: 对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御。
纵深保护
快速处置
能力升级
三.深信服安全建设之道
安全规则更新
全球威胁情报查询
勒索病毒响应
云端沙箱监测分析
1.网的保护
响应:联动EDR清除终端病毒、联动封锁攻击源
检测:黑链检测、Webshell后门检测、失陷主机检测模
防御:Web应用防护、入侵防御模块IPS、SAVE防病毒引擎、URL过滤及应用特征识别、ARP欺骗防御及DDoS防御
预防:误配置、弱口令、漏洞检查、资产梳理、端口开放检查
优势一:基于人工智能的网络防病毒能力
通过人工智能有监督学习、无监督学习自动化地监控病毒的微小变化,包括主流及热点病毒防御、人工智能算法抵御未知病毒、不依赖特征更新和资源占用小。
优势二:全面的Web防御能力
针对Webshell、网页木马、目录遍历、SQL注入、XSS攻击、跨站请求伪造等各种攻击防御,从而防止企业数据泄露、网页篡改、行政处罚、信誉受损。之前的检测方法是在SQL语句中寻找静态特征,但会存在很多误判或漏判的情况,目前采用 基于语法词法分析的算法,从代码的执行含义层面进行分析,从而进行精确判断。
优势三:失陷主机的全面检测
我们的服务器在部署防火墙之前,可能有病毒潜伏了很多年,定期偷改数据。如果能在网络侧构建一个反方向的连接流量,由于所有执行指令都需要跟外部主控台做连接,如果能在防火墙或流量侧捕获到这种恶意连接,就表示成功了。
勒索病毒中招不是最可怕的,最可怕的是它会不断高频回联,定期偷数据或进行恶意指令加密服务器的文档。我们可以基于连接的频率、连接的时段进行检测,比如夜间突然连接频率增大,并且连接国外的服务器,此时就表示主机已经失陷,此时需要在网络侧定义很多域名,告诉终端产品并找到异常进程,最终杀掉该进程即可防御。采用基于网络流量分析及智能算法,持续监测网络异常风险。
2.端的保护
响应:文件修复、一键隔离风险、溯源分析
检测:病毒全局抑制机制、文件实时监控及主动扫描
防御:恶意程序诱捕及病毒防扩散、勒索及挖矿变种防护、常规及高危病毒防护、东西向微隔离(主机访问控制)
预防:补丁管理及基线检查
优势一:全面的终端病毒防御能力
评价一款杀毒的好坏主要包括两个指标——病毒检出率、病毒误报率。深信服人工智能杀毒引擎SAVE创新人工智能无特征技术,能准确检测未知病毒,并且其代码执行的病毒检出率较高。
优势二:东西向微隔离动态防御技术
病毒和蠕虫通常会传播感染,而东西向访问控制,可以基于主机间访问控制进行主机隔离。
优势三:病毒诱捕及全局抑制
这是另一个创新,会在操作系统的关键路径放置一些伪造的疑似样本,如果鱼钩文件被加密,就认为勒索病毒上钩,把加密的进程特征进行提取,并告知终端管理平台,从而向EDR终端客户端传达,只要发现具有该特征的样本就是勒索病毒。实现单点检测和全局抑制。
3.云的赋能
能力实时更新:安全规则更新、云端沙箱监测、全球情报联动、动态引擎更新、动态实时赋能
智能安全运营:统一运维管理、微信告警闭环、统一分析展示、专家在线分析、网端日志聚合
优势一:统一分析与展示信息
在运营侧,会统一分析与展示信息,安全专家和设备都会做相关的分析。架构如下图所示:
优势二:网端云协同举证、一键处置、智能免疫,简化安全运营
以勒索病毒为例,首先服务器会计算夜间外连多少次,以及手段、模式和IP来自的国家;网络侧会定位域名,推送给终端,终端关联发起域名进程的文件,接着进行反向追溯。
优势三:风险快速处置闭环
由于安全人员不会实时盯着系统,对于安全事件,我们会和微信端或APP结合,快速处置风险。
优势四:统一运维管理
包括设备管理大屏幕、智能监控、智能告警、报表分析、远程接入等。
优势五:动态实时赋能
依赖各种社区和平台进行未知威胁动态监测,安全规则更新,包括融合Virustotal、火绒安全、CNVD、瑞星等安全厂商的情报。
四.总结
网络安全面临的挑战
如何有效的应对挑战
深信服安全建设之道
– 网的保护
– 端的保护
– 云的赋能
前文回顾(下面的超链接可以点击喔):
[系统安全] 二十八.CS逆向分析 (1)你的游戏子弹用完了吗?Cheat Engine工具入门
[系统安全] 二十九.外部威胁防护和勒索病毒对抗(深信服视频学习)
2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。2021年继续加油!
晚安女神,爱你和小宝❤
(By:Eastmount 2021-07-24 周六夜于武汉)