目錄
1.終端安全風險
對於一個企業來說,90% 以上的員工需要每天使用PC終端辦公,而終端是和互聯網“數據交換”的重要節點,且員工的水平參差不齊,因此企業網絡中80% 的安全事件來自於終端。終端已經成爲黑客的戰略攻擊點。
黑客攻擊的目的是獲取有價值的“數據”。他們控制終端以後,可以直接種植勒索病毒勒索客戶,更嚴重的是,黑客的目標往往是那些存儲着重要“數據”的服務器。受控的終端將成爲黑客的跳板,黑客將通過失陷主機橫向掃描內部網絡,發現組織網絡內部重要的服務器,然後對這些重要服務器發起內部攻擊。
互聯網出口實現了組織內部網絡與互聯網的邏輯隔離。對於內部網絡接入用戶來說,殭屍網絡是最爲嚴重的安全問題,黑客利用病毒木馬蠕蟲等等多種入侵手段控制終端,形成殭屍網絡,進一步實現終端存儲的信息被竊取、終端被引導訪問釣魚網站、終端被利用作爲攻擊跳板危害其他的各類資源等問題。
黑客可以利用殭屍網絡展開更多的危害行爲,如APT攻擊最常採用的跳板就是殭屍網絡。黑客利用殭屍網絡來實現滲透、監視、竊取敏感數據等目的,危害非常大。殭屍網絡的主要危害有:
1.看不見的風險
互聯網應用複雜,各種病毒變種和惡意代碼往往隱藏在大量的互聯網應用流量當中。傳統的邊界防禦基於靜態特徵檢測技術,不僅存在特徵庫不全,更新不及時的問題,而且對於應用層的內容,缺乏有效識別技術。因此,傳統的防禦導致客戶看不到網絡中應用和應用內容,無法分別內容的好壞;也無法感知威脅,不知道PC是否中毒;即使發現中毒後,也不知道感染的影響面。整個網絡對於管理員來說是不可視的,看不見風險,感知不到威脅和威脅影響面。
2.高級持續威脅
我們知道APT攻擊往往攻擊目標明確、時間週期比較長、採用的攻擊方法比較多、而且隱蔽性很好。而研究發現,黑客進行APT攻擊最常採用的跳板就是殭屍網絡,大量的殭屍機給了發動APT攻擊的黑客很多選擇,並且爲了達到繼續滲透、監視、敏感數據竊取等目的,黑客會讓這些殭屍機很好的潛藏起來,減少暴漏的可能。
3.本地滲透擴散
由於病毒、木馬植入被害主機後,會主動通過控制節點和攻擊者取得聯繫,執行攻擊者的命令,攻擊者可利用此功能向被控主機傳送新病毒、木馬程序或者其它的惡意軟件,從而實現在感染網絡內部滲透擴散。單位內部新目標主機或者服務器將成爲滲透感染的目標,從而控制更多的主機或者服務器,掌握組織單位網絡內部更多的資源和信息。
4.敏感信息竊取
殭屍網絡相當於黑客在殭屍主機上安裝了間諜程序,因此它能監視和記錄被害主機的各種活動行爲,也能竊取用戶的敏感信息,如用戶的賬號密碼、身份信息、銀行卡信息、研發代碼等,給用戶造成直接或間接的經濟損失。
5.脆弱信息收集
攻擊者通過植入的殭屍程序或掃描程序進行內部業務系統的漏洞等信息收集。各種殭屍程序偷偷的探測、收集網絡內部的各種脆弱性信息,如賬戶口令、弱密碼、開放端口、不安全配置、系統漏洞、應用程序漏洞等,並且把收集到的脆弱性信息悄悄的傳遞給控制者,黑客可以利用這些弱點實現更多入侵和信息竊取等目的。
2.終端可視可控技術
應用控制策略可對應用/服務的訪問做雙向控制,AF存在一條默認拒絕所有服務/應用的控制策略。
基於應用的控制策略:通過匹配數據包特徵來進行過濾動作,需要一定數量的包通行後才能判斷應用類型,然後進行攔截動作的判斷。
基於服務的控制策略:通過匹配數據包的五元組(源地址、目的地址、源端口、目的端口、協議號)來進行過濾動作,對於任何包可以立即進行攔截動作判斷。
WEB過濾是指針對符合設定條件的訪問網頁的數據進行過濾。
- 包括URL過濾、文件過濾。
- 根據HTTP不同動作進行區分。
- 可以針對HTTPS URL進行過濾。
3.網關殺毒技術
3.1 病毒工作原理
基於殺毒軟件的防禦是一種比較被動的解決方案,特別容易遭受到病毒的侵襲,每當出現新的病毒時,管理員往往會發現他們分身乏術,需要確保網絡中的每一臺終端設備都要升級到最新的病毒庫,如果哪一個節點沒有按要求進行更新,就會成爲網絡中的一塊短板,病毒將會乘機而入,迅速對我們的系統造成影響。
殺毒網關對企業的進站數據進行病毒掃描,把病毒完全攔截在企業的外部,以減少病毒滲入企業後造成的危害,同時構建立體化的反病毒體系,從以往傳統的單機版的殺毒、網絡版的殺毒轉變到全網立體化的病毒防護。
防病毒網關:
- 基於應用層過濾病毒
- 過濾出入網關的數據
- 網關阻斷病毒傳輸,主動防禦病毒於網絡之外
- 部署簡單,方便管理,維護成本低
- 與殺毒軟件聯動,建立多層防護
3.2 網關殺毒
- 代理掃描方式
將所有經過網關的需要進行病毒檢測的數據報文透明的轉交給網關自身的協議棧,通過網關自身的協議棧將文件全部緩存下來後,再送入病毒檢測引擎進行病毒檢測。
- 流掃描方式
依賴於狀態檢測技術以及協議解析技術,簡單的提取文件的特徵與本地簽名庫進行匹配。
基於代理的反病毒網關可以進行更多如解壓,脫殼等高級操作,檢測率高,但是,由於進行了文件全緩存,其性能、系統開銷將會比較大。基於流掃描的反病毒網關性能高,開銷小,但該方式檢測率有限,無法應對加殼、壓縮等方式處理過的文件。
特點:
- 防火牆提供捕獲文件能力和攔截處置能力;
- SAVE提供本地無規則的檢測能力;
- 雲腦提供安全能力的更新和雲端威脅情報,雲查的能力;
- 具備威脅情報、本地引擎SAVE查殺、雲沙箱能力。
3.3 AF網關殺毒優勢
- 支持各類主流協議文件傳播殺毒,包括SMB v1/v2/v3協議,通過採用SAVE智能文件檢測引擎(殺毒),大幅提高惡意文件識別率
- 支持對郵件正文中的惡意域名、URL進行檢測
- 提供覆蓋更廣的殺毒能力,支持文檔類、腳本類的非PE文件檢查、office宏病毒的殺毒功能
- 殺毒文件的大小限制可以靈活調整,界面可調整的大小限制爲1-20M
- 支持對壓縮文件的檢測,且可設置層級,界面可調整的層級最多16層
3.4 SAVE引擎優勢
- 基於AI技術提取穩定可靠的高層次特徵,擁有強大的泛化能力,能夠識別未知病毒或者已知病毒的新變種;
- 對勒索病毒檢測效果達到業界領先,影響廣泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒,save均有檢出新變種的案例。同時,對非勒索病毒也有較好的檢出效果;
- 輕量級,資源佔用少,隔離網環境檢測能力業界領先;
- 雲+邊界設備+端聯動,依託於深信服安全雲腦海量的安全數據,SAVE能夠持續進化,不斷更新模型並提升檢測能力,未知威脅能夠在雲端分鐘級返回檢測結果並全網同步,構成了深信服的安全雲腦+安全網關AF/SIP/AC+終端安全EDR的整體解決方案。
3.5 配置思路
4.殭屍網絡防護技術
殭屍網絡 Botnet 是指採用一種或多種傳播手段,將大量主機感染bot程序(殭屍程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。黑客常說的殭屍電腦或肉雞組織成一個個控制節點用來發送僞造包或者是垃圾數據包,使預定攻擊目標癱瘓並“拒絕服務”。通常蠕蟲病毒也可以被利用組成殭屍網絡。
傳統防毒牆和殺毒軟件查殺病毒木馬的效果有限,在APT(高級持續性威脅)場景下,傳統防毒牆和殺毒軟件更是形同虛設 。
需要一種事後檢測機制用於發現和定位客戶端受感染的機器,以降低客戶端安全風險。同時,記錄的日誌要求有較高的可追溯性。感染了病毒、木馬的機器,其病毒、木馬試圖與外部網絡通信時,AF識別出該流量,並根據用戶策略進行阻斷和記錄日誌 。
注意事項:原殭屍網絡中的惡意鏈接功能從8017版本已經合入到內容安全功能中,通過配置內容安全策略進行防護,惡意鏈接合入到URL庫。
4.1 異常流量檢測
通過對當前的網絡層及應用層行爲與安全模型進行偏離度分析,能夠發現隱藏的網絡異常行爲,並根據行爲特徵確定攻擊類型,發現特徵匹配無法發現的攻擊。
外發流量異常功能是一種啓發式的dos攻擊檢測手段,能夠檢測源IP不變的syn flood、icmp flood、dns flood與udp flood攻擊。
外發流量異常功能的原理爲:當特定協議的外發包pps超過配置的閾值時,基於5分鐘左右的抓包樣本檢測數據包是否爲單向流量、是否有正常響應內容,得出分析結論,並將發現的攻擊提交日誌顯示。
其他檢測方法:
- 與殭屍網絡連接是最基礎的判定方式,信息來源包括:上萬臺在線設備收集、與google等機構合作共享
- 對於未知的殭屍網絡(存在大量DGA生成的C&C域名),通過模擬DGA算法總結特徵/總結一般正常域名的構成方式來判定未知的殭屍網絡
- 危險的外聯方式檢測,如使用已知的(IRC、HFS)與殭屍網絡進行通訊
- 使用標準端口傳輸非標準協議(如:在80端口中傳輸RDP協議)
- 對外發起CC攻擊
- 對外傳播惡意文件
- 對外發送shellcode
- 檢測出下載惡意文件、惡意PDF等行爲
- 檢測出下載文件與後綴名不符
- 上下行流量不符
規則庫
4.2 誤判排除
1. 發現某個終端的流量被AF殭屍網絡規則誤判,可以在殭屍網絡功能模塊下的排除指定IP,那麼此IP將不受殭屍網絡策略的攔截。
2. 發現某個規則引起的誤判攔截所有內網終端流量,可以在【安全防護對象】-【殭屍網絡規則庫】找到指定規則禁用後,所有殭屍網絡策略都不會對此規則做任何攔截動作。
3.也可以直接在內置數據中心中,查詢殭屍網絡日誌後使用“添加例外”排除。
4.DNS誤判技術排除
通過蜜罐技術解決內網存在DNS服務器時,用於定位內網感染殭屍網絡主機的真實IP地址。防止配置過程中忽略蜜罐設置,導致後續無法溯源的問題,策略配置界面新增DNS服務器服務界面。
殺毒推送
AF檢測到的風險主機,可以推送殺毒通知;
重定向頁面支持自定義,同時支持下載病毒查殺軟件;
注意事項:
- 殺毒通知推送設定的時間內,風險主機下載工具並查殺後,也無法直接上網,需要等待指定時間,或者管理員取消推送,纔可恢復正常的網站訪問;
- 重定向的頁面只對HTTP生效,HTTPS的不會生效。同時NAT場景推送也不會生效。
5.勒索病毒防護
勒索病毒,是一種新型電腦病毒,主機感染勒索病毒文件後,會在主機上運行勒索程序,遍歷本地所有磁盤指定類型文件進行加密操作,加密後文件無法讀取。然後生成勒索通知,要求受害者在規定時間內支付一定價值的虛擬幣才能恢復數據,否則會被銷燬數據。從直觀現象而言,勒索病毒的現象主要包含以下兩種場景。
病毒感染過程:
- 首先,黑客通過SMB、RDP等口令暴力破解、勒索常用端口利用、以及服務器漏洞等的利用想方設法讓勒索病毒感染用戶主機
- 當主機感染了勒索病毒文件之後,會在主機上運行勒索程序,同時黑客也會嘗試利用SMB、RDP手動進行橫向傳播,感染更多的主機
- 接着,當勒索程序在一臺或者多臺主機上被運行後,勒索病毒會遍歷本地所有磁盤,對指定類型的文件進行加密,加密後的文件無法再被讀取
- 生成勒索信息文件 ,告知受害者這臺機器已經中了勒索病毒了,並要求受害者在規定時間內支付一定價值的比特幣才能恢復數據,否則贖金會加倍或者不再提供解密
- 加密後數據正常無法自己解密,因爲勒索採用的是高強度非對稱加密方式,受害者在沒有私鑰情況下無法恢復文件
防護措施:
- 事前加固:勒索病毒風險評估,精準評估勒索病毒進入點風險,配置勒索病毒專項策略,全面防護勒索風險
- 事中積極防禦:通過配置的勒索病毒專項策略,全面防護勒索風險
- 事後快速響應與處置:隔離識別已失陷的主機,專項工具進行殺毒
5.1 事前加固
梳理資產暴露面,屏蔽勒索入侵進入點,對勒索常用端口、勒索常用漏洞、弱口令做事前的識別,並給出對應處理建議
5.2 事中防禦
- 支持勒索專項防護策略自動生成,全面防護勒索黑客攻擊。配置:【運行狀態】-【勒索專項防護】-【勒索防護配置】
- 通過安全策略深度檢測入侵手段,對抗隱蔽勒索攻擊,通過web應用防護、漏洞防護、內容安全、慢速爆破檢測對勒索病毒做全面入侵防禦,可根據勒索分析的日誌展示,對勒索做進一步詳細分析。
5.3 事後快速響應與處置
- 聯動EDR查殺,隔離失陷資產,快速處置勒索病毒
- 根據勒索分析的日誌展示,對勒索做進一步詳細分析, 功能:【勒索專項防護】
