目录
1.终端安全风险
对于一个企业来说,90% 以上的员工需要每天使用PC终端办公,而终端是和互联网“数据交换”的重要节点,且员工的水平参差不齐,因此企业网络中80% 的安全事件来自于终端。终端已经成为黑客的战略攻击点。
黑客攻击的目的是获取有价值的“数据”。他们控制终端以后,可以直接种植勒索病毒勒索客户,更严重的是,黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板,黑客将通过失陷主机横向扫描内部网络,发现组织网络内部重要的服务器,然后对这些重要服务器发起内部攻击。
互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说,僵尸网络是最为严重的安全问题,黑客利用病毒木马蠕虫等等多种入侵手段控制终端,形成僵尸网络,进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。
黑客可以利用僵尸网络展开更多的危害行为,如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的,危害非常大。僵尸网络的主要危害有:
1.看不见的风险
互联网应用复杂,各种病毒变种和恶意代码往往隐藏在大量的互联网应用流量当中。传统的边界防御基于静态特征检测技术,不仅存在特征库不全,更新不及时的问题,而且对于应用层的内容,缺乏有效识别技术。因此,传统的防御导致客户看不到网络中应用和应用内容,无法分别内容的好坏;也无法感知威胁,不知道PC是否中毒;即使发现中毒后,也不知道感染的影响面。整个网络对于管理员来说是不可视的,看不见风险,感知不到威胁和威胁影响面。
2.高级持续威胁
我们知道APT攻击往往攻击目标明确、时间周期比较长、采用的攻击方法比较多、而且隐蔽性很好。而研究发现,黑客进行APT攻击最常采用的跳板就是僵尸网络,大量的僵尸机给了发动APT攻击的黑客很多选择,并且为了达到继续渗透、监视、敏感数据窃取等目的,黑客会让这些僵尸机很好的潜藏起来,减少暴漏的可能。
3.本地渗透扩散
由于病毒、木马植入被害主机后,会主动通过控制节点和攻击者取得联系,执行攻击者的命令,攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件,从而实现在感染网络内部渗透扩散。单位内部新目标主机或者服务器将成为渗透感染的目标,从而控制更多的主机或者服务器,掌握组织单位网络内部更多的资源和信息。
4.敏感信息窃取
僵尸网络相当于黑客在僵尸主机上安装了间谍程序,因此它能监视和记录被害主机的各种活动行为,也能窃取用户的敏感信息,如用户的账号密码、身份信息、银行卡信息、研发代码等,给用户造成直接或间接的经济损失。
5.脆弱信息收集
攻击者通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息收集。各种僵尸程序偷偷的探测、收集网络内部的各种脆弱性信息,如账户口令、弱密码、开放端口、不安全配置、系统漏洞、应用程序漏洞等,并且把收集到的脆弱性信息悄悄的传递给控制者,黑客可以利用这些弱点实现更多入侵和信息窃取等目的。
2.终端可视可控技术
应用控制策略可对应用/服务的访问做双向控制,AF存在一条默认拒绝所有服务/应用的控制策略。
基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。
基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、源端口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动作判断。
WEB过滤是指针对符合设定条件的访问网页的数据进行过滤。
- 包括URL过滤、文件过滤。
- 根据HTTP不同动作进行区分。
- 可以针对HTTPS URL进行过滤。
3.网关杀毒技术
3.1 病毒工作原理
基于杀毒软件的防御是一种比较被动的解决方案,特别容易遭受到病毒的侵袭,每当出现新的病毒时,管理员往往会发现他们分身乏术,需要确保网络中的每一台终端设备都要升级到最新的病毒库,如果哪一个节点没有按要求进行更新,就会成为网络中的一块短板,病毒将会乘机而入,迅速对我们的系统造成影响。
杀毒网关对企业的进站数据进行病毒扫描,把病毒完全拦截在企业的外部,以减少病毒渗入企业后造成的危害,同时构建立体化的反病毒体系,从以往传统的单机版的杀毒、网络版的杀毒转变到全网立体化的病毒防护。
防病毒网关:
- 基于应用层过滤病毒
- 过滤出入网关的数据
- 网关阻断病毒传输,主动防御病毒于网络之外
- 部署简单,方便管理,维护成本低
- 与杀毒软件联动,建立多层防护
3.2 网关杀毒
- 代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
- 流扫描方式
依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本地签名库进行匹配。
基于代理的反病毒网关可以进行更多如解压,脱壳等高级操作,检测率高,但是,由于进行了文件全缓存,其性能、系统开销将会比较大。基于流扫描的反病毒网关性能高,开销小,但该方式检测率有限,无法应对加壳、压缩等方式处理过的文件。
特点:
- 防火墙提供捕获文件能力和拦截处置能力;
- SAVE提供本地无规则的检测能力;
- 云脑提供安全能力的更新和云端威胁情报,云查的能力;
- 具备威胁情报、本地引擎SAVE查杀、云沙箱能力。
3.3 AF网关杀毒优势
- 支持各类主流协议文件传播杀毒,包括SMB v1/v2/v3协议,通过采用SAVE智能文件检测引擎(杀毒),大幅提高恶意文件识别率
- 支持对邮件正文中的恶意域名、URL进行检测
- 提供覆盖更广的杀毒能力,支持文档类、脚本类的非PE文件检查、office宏病毒的杀毒功能
- 杀毒文件的大小限制可以灵活调整,界面可调整的大小限制为1-20M
- 支持对压缩文件的检测,且可设置层级,界面可调整的层级最多16层
3.4 SAVE引擎优势
- 基于AI技术提取稳定可靠的高层次特征,拥有强大的泛化能力,能够识别未知病毒或者已知病毒的新变种;
- 对勒索病毒检测效果达到业界领先,影响广泛的如WannaCry、BadRabbit、Globelmposter等勒索病毒,save均有检出新变种的案例。同时,对非勒索病毒也有较好的检出效果;
- 轻量级,资源占用少,隔离网环境检测能力业界领先;
- 云+边界设备+端联动,依托于深信服安全云脑海量的安全数据,SAVE能够持续进化,不断更新模型并提升检测能力,未知威胁能够在云端分钟级返回检测结果并全网同步,构成了深信服的安全云脑+安全网关AF/SIP/AC+终端安全EDR的整体解决方案。
3.5 配置思路
4.僵尸网络防护技术
僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT(高级持续性威胁)场景下,传统防毒墙和杀毒软件更是形同虚设 。
需要一种事后检测机制用于发现和定位客户端受感染的机器,以降低客户端安全风险。同时,记录的日志要求有较高的可追溯性。感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志 。
注意事项:原僵尸网络中的恶意链接功能从8017版本已经合入到内容安全功能中,通过配置内容安全策略进行防护,恶意链接合入到URL库。
4.1 异常流量检测
通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现的攻击。
外发流量异常功能是一种启发式的dos攻击检测手段,能够检测源IP不变的syn flood、icmp flood、dns flood与udp flood攻击。
外发流量异常功能的原理为:当特定协议的外发包pps超过配置的阈值时,基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容,得出分析结论,并将发现的攻击提交日志显示。
其他检测方法:
- 与僵尸网络连接是最基础的判定方式,信息来源包括:上万台在线设备收集、与google等机构合作共享
- 对于未知的僵尸网络(存在大量DGA生成的C&C域名),通过模拟DGA算法总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络
- 危险的外联方式检测,如使用已知的(IRC、HFS)与僵尸网络进行通讯
- 使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
- 对外发起CC攻击
- 对外传播恶意文件
- 对外发送shellcode
- 检测出下载恶意文件、恶意PDF等行为
- 检测出下载文件与后缀名不符
- 上下行流量不符
规则库
4.2 误判排除
1. 发现某个终端的流量被AF僵尸网络规则误判,可以在僵尸网络功能模块下的排除指定IP,那么此IP将不受僵尸网络策略的拦截。
2. 发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后,所有僵尸网络策略都不会对此规则做任何拦截动作。
3.也可以直接在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除。
4.DNS误判技术排除
通过蜜罐技术解决内网存在DNS服务器时,用于定位内网感染僵尸网络主机的真实IP地址。防止配置过程中忽略蜜罐设置,导致后续无法溯源的问题,策略配置界面新增DNS服务器服务界面。
杀毒推送
AF检测到的风险主机,可以推送杀毒通知;
重定向页面支持自定义,同时支持下载病毒查杀软件;
注意事项:
- 杀毒通知推送设定的时间内,风险主机下载工具并查杀后,也无法直接上网,需要等待指定时间,或者管理员取消推送,才可恢复正常的网站访问;
- 重定向的页面只对HTTP生效,HTTPS的不会生效。同时NAT场景推送也不会生效。
5.勒索病毒防护
勒索病毒,是一种新型电脑病毒,主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据,否则会被销毁数据。从直观现象而言,勒索病毒的现象主要包含以下两种场景。
病毒感染过程:
- 首先,黑客通过SMB、RDP等口令暴力破解、勒索常用端口利用、以及服务器漏洞等的利用想方设法让勒索病毒感染用户主机
- 当主机感染了勒索病毒文件之后,会在主机上运行勒索程序,同时黑客也会尝试利用SMB、RDP手动进行横向传播,感染更多的主机
- 接着,当勒索程序在一台或者多台主机上被运行后,勒索病毒会遍历本地所有磁盘,对指定类型的文件进行加密,加密后的文件无法再被读取
- 生成勒索信息文件 ,告知受害者这台机器已经中了勒索病毒了,并要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则赎金会加倍或者不再提供解密
- 加密后数据正常无法自己解密,因为勒索采用的是高强度非对称加密方式,受害者在没有私钥情况下无法恢复文件
防护措施:
- 事前加固:勒索病毒风险评估,精准评估勒索病毒进入点风险,配置勒索病毒专项策略,全面防护勒索风险
- 事中积极防御:通过配置的勒索病毒专项策略,全面防护勒索风险
- 事后快速响应与处置:隔离识别已失陷的主机,专项工具进行杀毒
5.1 事前加固
梳理资产暴露面,屏蔽勒索入侵进入点,对勒索常用端口、勒索常用漏洞、弱口令做事前的识别,并给出对应处理建议
5.2 事中防御
- 支持勒索专项防护策略自动生成,全面防护勒索黑客攻击。配置:【运行状态】-【勒索专项防护】-【勒索防护配置】
- 通过安全策略深度检测入侵手段,对抗隐蔽勒索攻击,通过web应用防护、漏洞防护、内容安全、慢速爆破检测对勒索病毒做全面入侵防御,可根据勒索分析的日志展示,对勒索做进一步详细分析。
5.3 事后快速响应与处置
- 联动EDR查杀,隔离失陷资产,快速处置勒索病毒
- 根据勒索分析的日志展示,对勒索做进一步详细分析, 功能:【勒索专项防护】